GDPR: Prima sursă de informare – Portalul UE

 

AU MAI RĂMAS: 245 zile

GDPR Ready! este o inițiativă care își propune să ofere asigure un transfer deschis de know-how către toți cei interesați de obținerea compatibilității cu Regulamentul Uniunii Europene 679/ 2016, care va intra in vigoare pe 25 mai 2018. Prin această inițiativă se dorește catalizarea eforturilor unui număr cât mai mare de organizații guvernamentale și private care oferă servicii de evaluare și consultanță tuturor celor care operează cu date personale.  

După un prim articol introductiv intitulat ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolul menționat, am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Vom continua acum cu prezentarea sursei de informare primară, Portalul General Data Protection Regulation administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Puțină istorie

După patru ani de intense dezbateri și peste 3000 de amendamente, noul regulament GDPR intră în funcțiune pe 24 Mai 2016, la 20 de zile după aprobarea de către Parlamentul European, oferind tuturor țărilor un răgaz de aplicare de 2 ani, cu dată limită de asigurare a conformității pe 25 Mai 2018. Dar preocupările legislative privitoare la protecția datelor personale au o lungă istorie în Europa. Iată câteva repere în timp:

1981/ 2 Ianuarie – În cadrul Convenției 108 a Consiliului Europei se semnează primul tratat de protecție a cetățenilor europeni referitor la procesarea automată a datelor personale, care a intrat în vigoare pe 1 Octombrie 1985.

1995/ 24 Octombrie – Este creată Directiva 95/46/EC, prima directivă europeană privitoare la procesarea și protecția datelor personale și libera circulație a acestora, ca element esențial drepturilor personale ale cetățenilor europeni. Directiva devine valabilă în 13 Decembrie 1995 și le-a oferit statelor membre un răgaz de aplicare până la 24 Octombrie 1998.

2012/ 25 Ianuarie – Comisia Europeană propune o reformare comprehensivă a Directivei EC 95/46 pe linia progresului tehnologic și a globalizării care au afectat felul în care sunt colectate, accesate și folosite datele personale.

2012/ 23 Martie – Grupul de lucru intitulat ”Article 29 Data Protection” și-a publicat Opinia 01/ 2012 ca sinteză a discuțiilor și dezbaterilor legate de noile imperative legate de protecția datelor personale în noul context al unei politici europene unitare pentru o piață unică digitală.

2012/12 Aprilie – germanul Jan Philipp Albrecht, membru al Committee for Civil Liberties, Justice and Home Affairs (LIBE) este numit oficial ca Raportor al Parlamentului European pentru GDPR.

2016/ 2 Februarie – Grupul de Lucru ”Articolul 29” lansează un plan de acțiune pentru implementarea GDPR care reanalizează un mare număr de drepturi existente și stabilește unele noi la nivel individual, precum dreptul la portabilitatea datelor și dreptul ca datele personale să nu fie procesate în alte scopuri decât cele legale sau cele prevăzute printr-un contract.

2016/ 24 Mai – Noul Regulament UE 2016/ 679 înlocuiește vechea Directivă 95/46/EC și are ca menire armonizarea legislației privitoare la protecția datelor personale din întreaga Europă.

Care sunt principalele modificări

Iată o trecere în revistă a principalelor modificări ale vechii legislații, care poate fi citită pe Portalul GDPR: Principalul scop al noului Regulament de Protecție a Datelor Personale este de a oferi cetățenilor europeni cadrul modern legal necesar pentru protejarea datelor personale într-o economie tot mai dependentă de mobilitate și tehnologii digitale.

Aplicabilitatea extra-teritorială – una dintre cele mai importante modificări legislative se referă la extinderea jurisdicției GDPR, care devine aplicabil pentru toate companiile care procesează date personale ale cetățenilor care au reședința în Uniunea Europeană, indiferent de locația geografică a companiei. În versiunea precedentă, aplicabilitatea teritorială a directivei era ambiguă și se referea la procesarea datelor doar ”în contextul unei instituții”, ceea ce a generat o serie amplă de dezbateri și numeroase cazuri nerezolvate în justiție.

Amenzile – Penalizările financiare pentru nerespectarea prevederilor Regulamentului sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală sau maximum 20 milioane de euro pentru situațiile în care operatorul de date nu are consimțământul clienților într-o proporție suficientă sau afectează elementele cheie de confidențialitate prin-o abordare eronată a conceptului. Cele mai puțin aspre penalități prevăd amenzi de 2% din cifra de afaceri anuală pentru o slabă gestionare a înregistrărilor referitoare la prelucrarea datelor (Articolul 28), pentru ne-notificarea autorității de supraveghere în situația apariției unei breșe, sau pentru neafectarea de evaluări de impact. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă servicii de hosting sau furnizorilor de Cloud.

Consimțământul – condițiile de obținere a unui consimțământ din partea clienților s-au înăsprit, iar companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau în condiții greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere și solicitat într-un format inteligibil și ușor de accesat, fiind însoțit de o explicare clară a scopului pentru care se procesează datele. Limbajul trebuie să fie simplu și clar, iar consimțământul trebuie să fie la fel de simplu de solicitat și de acordat.

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității, unde prin breșă se înțelege ”orice incident de securitate care induce un risc pentru drepturile și libertățile individuale”. Orice incident trebuie comunicat către autoritățile de raportare într-un interval de maximum 72 de ore, de la momentul în care breșa a fost constatată. Procesatorii vor trebui de asemenea să își anunțe clienții, fără nici-o întârziere, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora.

Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scopuri. Mai mult, operatorii vor trebui să furnizeze gratuit o copie a datelor personale, într-un format electronic.

Dreptul de a fi uitat – cunoscut și ca ”dreptul de a fi șters”, asigură cetățenii de posibilitatea de a își asigura deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către o terță parte. Condițiile de ștergere sunt prevăzute în Articolul 17, fiind valabile pentru situațiile în care datele devin irelevante pentru scopurile asumate inițial sau când posesorul datelor își retrage consimțământul. De notat aici, că există încă unele neclarități asupra moduli în care unii operatori de date pot considera aceste date de interes public, situații în care datele trebuie să rămână disponibile.

Portabilitatea datelorse referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date.

Confidențialitate prin design
– ”Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR.  În esență, acest concept constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic. Mai exact, un operator de date personale trebuie să adopte cerințele tehnice și operaționale într-o manieră efectivă, pentru a corespunde cerințelor regulamentului și a proteja datele personale ale clienților. Articolul 23 recomandă operatorilor să păstreze și să proceseze doar datele absolut necesare pentru îndeplinirea sarcinilor (minimizarea datelor), precum și să limiteze accesul celor interesați de prelucrarea datelor în alte scopuri.

Data Protection Officers (DPO) – în mod curent, operatorii de date erau obligați să notifice activitățile de procesare a datelor către diferite autorități, ceea ce a condus la generarea multor probleme birocratice, în special pentru companiile multinaționale, obligate să trimită multiple feluri de notificări către diferite autorități. Conform noului Regulament, nu va mai fi necesar ca o multinațională să trimită notificări către fiecare autoritate de supraveghere și nici nu va fi o cerință de notificare / obținere a aprobării transferurilor pe baza unui Model Contract Clauses (MCC). În schimb, vor exista cerințe interne de păstrare a înregistrărilor. Numirea unui responsabil Data Protection Offcier devine obligatorie doar pentru acei operatori care au ca activitate de bază operațiuni de procesare care necesită monitorizarea regulată și sistematică a datelor la scară largă, sau doar pentru anumite categorii de date legate de activitățile ce intră sub incidența legii.

 Numirea unui DPO se va face după un set riguros de criterii:

  • Alegerea DPO trebuie făcută pe baza unor calități profesionale foarte clare, ce în bună parte presupune și un nivel mediu de cunoaștere a legilor și practicilor de protecție a datelor.
  • Poate fi un angajat propriu sau un furnizor extern de servicii
  • Detaliile de contact trebuie furnizate autorității de supraveghere
  • Trebuie să raporteze direct, la cel mai înalt nivel de management
  • Nu trebuie să I se atribuie nicio altă sarcină care ar putea intra în conflict de interese cu protecția datelor personale.

Urmăriți viitoarele articole din categoria GDPR Ready!

%d bloggers like this: