Microsoft: Ce impact va avea noul Regulament U.E. privind protecţia datelor. Amenzile pentru nerespectarea acestuia pot ajunge până la 4% din cifra de afaceri
GDPR (General Data Protection Regulation) oferă un nou cadru general complex pentru protecția datelor, cu obligații sporite pentru orice organizație, iar amploarea, complexitatea și impactul operațional sunt fără precedent. Noul regulament se aplică oricărei organizații care gestionează datele cu caracter personal ale cetățenilor Uniunii Europene și înseamnă, practic, o realiniere a proceselor, procedurilor, strategiei, angajaților, departamentului de marketing și departamentului legal. Din nefericire, ca de obicei, orice fel de act normativ sau cadru legislativ adoptat de U.E. găsește România total nepregătită, însă în acest caz impactul va fi semnificativ chiar și pentru țările mai dezvoltate din Uniune.
Unul dintre primii pași în alinierea cu noile reguli pentru organizații va fi să numească un responsabil pentru protecția datelor (DPO – Data Protection Officer), iar IAPP (The International Association of Privacy Professionals) estimează că vor fi necesari mai mult de 75.000 de noi angajați certificați la nivelul U.E. pentru a îndeplini cerințele de conformitate cu GDPR.
Ce înseamnă, mai exact, GDPR?
Parlamentul European a adoptat în 14 aprilie 2016 pachetul legislativ privind protecţia datelor personale, care cuprinde un Regulament General privind Protecţia Datelor, cu aplicabilitate directă la nivelul tuturor statelor membre, precum şi o Directivă privind protecţia datelor personale în cadrul activităţilor desfăşurate de autorităţile de aplicare a legii. Prevederile Regulamentului au intrat în vigoare odată cu publicarea în Jurnalul Oficial al Uniunii Europene, în 27 aprilie 2016, dar vor fi aplicabile după expirarea unui termen de 2 ani, adică începând cu primăvara anului 2018.
Mai precis, regulamentul asigură dreptul persoanelor vizate de a obţine informaţii clare şi cuprinzătoare cu privire la scopul şi modul în care le sunt prelucrate datele personale şi exprimă – într-o manieră mai clară – dreptul de a fi uitat, un drept care – altfel – este destul de controversat. De asemenea, documentul prevede dreptul la portabilitatea datelor, adică posibilitatea persoanei vizate de a-şi transfera în totalitate datele la un alt operator de date, oferindu-i, astfel, un mai bun control asupra modului în care aceste date sunt prelucrate.
În plus, prin noul Regulament protecţia vieţii private a minorilor beneficiază de mai multă atenţie, mai ales în mediul online. Regulile stabilite de noul document sunt aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliţi aceştia, în măsura în care serviciile acestora presupun prelucrarea datelor personale ale cetăţenilor Uniunii Europene.
Două miliarde de arhive de date compromise în ultimul an
Specialiștii în protecția datelor au prezentat, în cadrul unui eveniment organizat de Microsoft România, principalele prevederi care ar urma să se aplice în toate ţările UE din 25 mai 2018, dar și impactul acestora asupra mediului de business din România.
Vassilis Tziokas, Manager strategii pentru soluţii Microsoft în Europa Centrală şi de Est, a punctat câteva dintre provocările pe care le aduce GDPR, dar și principalele oportunități pentru companii. „Conform datelor de care dispunem, până în 25 mai 2018 mai puţin de 50% dintre organizaţii vor fi pregătite pentru GDPR. De asemenea, trebuie să avem prezent că în ultimii doi ani au fost create mai multe date decât în întreagă istorie a rasei umane, dar şi faptul că, în următorii cinci ani, vor exista peste 50 de miliarde de smart device-uri, toate dezvoltate să adune, să analizeze şi să distribuie date. Ca fapt divers, în acest moment mai puţin de 0.5% din datele existente sunt analizate şi folosite, iar în ultimul an au fost compromise nu mai puțin de două miliarde de arhive de date. Pentru mediul business, oportunităţile GDPR ar fi recâştigarea încrederii clienţilor, oferirea de customer experience personalizat, crearea unei platforme de tip Data Passport şi stabilirea unei culturi organizaționale optimizate pentru lumea digitală”, a spus Tzioakas.
Amenzi de până la 4% din cifra de afaceri
La rândul său, Irina Vasiliu, team leader pe noul regulament UE privind protecţia datelor (GDPR) în cadrul Comisiei Europene, a prezentat motivațiile din spatele noului Regulament. ,,Am dorit să realizăm un Regulament care să fie proporţionat şi autorităţile de supraveghere să aibă aceleaşi puteri în toate ţările membre. Prin noul Regulament, autorităţile vor avea puteri uniforme şi posibilitatea de a aplica amenzi care pot ajunge până la 4% din cifra anuală de afaceri. Aplicarea amenzilor va depinde de la caz la caz şi există o proporţionalitate. Se va lua în calcul ce a făcut operatorul înainte, dacă a avut o conduită corectă sau nu.”, a precizat Vasiliu. Oficialul european a mai spus că amenda-procent din cifra de afaceri va fi dată – probabil – doar în cazuri foarte grave sau în situații de recidivă. De asemenea, potrivit oficialului U.E., firmele care operează cu date cu caracter personal şi deţin baze de date cu informaţii vor trebui să ia măsuri sporite de securitate, să aibă responsabili cu prelucrarea datelor, să facă evaluări de impact a riscurilor şi să notifice încălcările de securitate.
Dreptul de a fi uitat și dreptul la portabilitate
Oficialul U.E. a mai precizat că ,,noul regulament e, de fapt, o evoluție, nu o revoluție, principiile-cheie rămân aceleași. Am clarificat temeiurile juridice pe baza cărora putem prelucra datele. Ceea ce am încercat să facem este să creăm un standard. Standardul este o acţiune fără echivoc, care poate fi exprimată fie prin declaraţie scrisă, fie printr-un orice alt act care poate să exprime un consimţământ. În privința drepturilor, am introdus două principii importante: transparență și gratuitate. Mai precis, atunci când ne adresăm unui operator de prelucrare a datelor nu trebuie să plătim pentru asta. De asemenea, avem dreptul să avem acces la toate datele pe care o rețea de socializare le are despre noi, să primim o copie a acestor date și să fim uitați. Dreptul de a fi uitat se aplică în momentul în care datele noastre personale nu mai sunt necesare pentru scopul în care au fost solicitate inițial. Iar dacă ne retragem consimțământul, din nou avem dreptul să solicităm ștergerea datelor.”, a mai spus oficialul U.E. Adevărul e, însă, că dreptul de a fi uitat e unul destul de contoversat și greu de respectat. Deși sună foarte bine în teorie, legea ,,dreptului de a fi uitat” e supusă mai multor criterii de aplicare, iar numărul celor care beneficiază de ștergerea informațiilor personale este, de fapt, extrem de scăzut. Astfel, problemele persistă și ești mereu nevoit să cauți soluții în afara celor oferite de cadrul legal. Decizia de a aplica această lege a fost luată Curtea de Justiție Europeană și permite eliminarea la cerere a ,,datelor cu caracter personal”. Totuși, conform noului Regulament, dreptul de a fi uitat nu se aplică în cazul în care un operator are o obligaţie legală, statutară pentru a păstra şi prelucra anumite date personale. Un drept cu adevărat nou este, însă, dreptul la portabilitate. Mai precis, cetățenii U.E. au dreptul să ceară datele și să le transmită altui operator pentru a le prelucra. Această idee a fost împrumutată din domeniul telecom, potrivit oficialului U.E.
220.000 de euro, valoarea amenzilor aplicate în România anul trecut
În cadrul evenimentului Microsoft a fost prezentată și o situație a amenzilor aplicate în prezent pentru încălcarea legislaţiei protecţiei datelor în România, Belgia şi Marea Britanie. Astfel, autoritatea responsabilă de protecţia datelor din U.K. are, începând din 2010, puterea de a impune amenzi de până la 400.000 de euro, iar cea mai mare amendă aplicată în 2016 a fost de 300.000 de euro. Această autoritate are 460 de angajaţi şi un buget anual de 5 milioane euro. În Belgia, autoritatea de supraveghere, care are doar 16 angajaţi, a aplicat o amendă-record, de peste 100.000 de euro. În România, autoritatea de protecţie a datelor, care are 50 de angajaţi, a aplicat anul trecut 193 de amenzi în valoare totală de 220.000 de euro.
CITEŞTE MAI DEPARTE PE HRMANAGERONLINE.RO.