Regulamentul General privind Protecția Datelor (GDPR) reprezintă cea mai mare schimbare adusă la nivelul legilor legate de protecția datelor din ultimii 20 de ani, iar când acesta va intra în vigoare pe 25 mai 2018 urmează să înapoieze cetățenilor europeni controlul asupra datelor personale. Cu toate acestea, impactul nu va fi resimțit doar pe teritoriul Europei, deoarece Regulamentul va avea implicații pentru companiile din întreaga lume ce dețin date ale unor cetățeni din comunitate.

În timp ce este un lucru benefic pentru persoanele fizice, el ridică probleme complexe pentru companii. De altfel, acestea s-ar putea confrunta cu amenzi în valoare de zeci de milioane de euro în cazul în care încalcă noua directivă. Având aceste aspecte în minte, punem la dispoziție acest ghid explicativ simplu pentru a răspunde la întrebările cheie.

Încă o dată, ce este GDPR?

Este un nou set de reguli care reglementează confidențialitatea și securitatea datelor cu caracter personal, stabilite de către Comisia Europeană.

Noul act unic de protecție a datelor presupune schimbări majore în toate legile de confidențialitate de pe teritoriul Europei și va înlocui vechea Directivă privind Protecția Datelor din 1995.

Care este scopul noilor legi?

Acestea au fost proiectate pentru a da înapoi puterea cetățenilor asupra modului în care sunt prelucrate și utilizate datele lor.

Conform noilor reguli, persoanele fizice au “dreptul de a cere ca datele lor să fie uitate”, ceea ce înseamnă că vor fi în măsură să solicite companiilor să șteargă datele cu caracter personal ce nu mai sunt necesare sau exacte.

În plus, intenția este de a simplifica mediul de reglementare.

Cum va afecta acest regulament persoanele fizice?

Identic ca în cazul dreptului de a fi uitat, legea are prevederi care ar putea crește drepturile consumatorilor asupra datelor lor.

Dar există o întreagă dezbatere cu privire la modul în care legea se va aplica în realitate. Legile presupun că, în teorie, cineva ar putea cere rețelelor de socializare, precum Facebook să șteargă profilul lor în întregime.

Legile care vizează libertatea de exprimare vor împiedica “dreptul de a fi uitat”, cu referire de pildă la articolele de știri.

Dar există potențial pentru ca persoanele fizice să poată transfera datele lor de la un serviciu la altul mai ușor - ceea ce este o veste importantă pentru consumatori, pentru că face mai simplă schimbarea utilităților sau a asigurărilor.

Cum va afecta afacerea mea? 

Această reformă a legislației privind protecția datelor este bine-venită și bună pentru persoanele fizice, dar ar putea însemna amenzi uriașe pentru companiile care nu respectă legile.

Acest lucru se datorează faptului că breșele de date au devenit din ce în ce mai frecvente în ultimii ani. Cu toate acestea, procesul prin care se oferă cetățenilor din nou controlul asupra datelor personale complexe nu este neapărat unul simplu.

În plus, gestionarea modului în care vor fi înapoiate și asigurarea că datele vor fi stocate în mod adecvat pe parcursul angajării  și apoi eliminate în siguranță, reprezintă un fel de un câmp minat ce combină domeniul tehnic cu cel al resurselor umane.

Ce costuri va implica?

Cea mai mare schimbare adusă la nivel legislativ este reprezentată de creșterea numărului de reglementări ce pot duce la amenzi pentru companiile care nu sunt conforme - până la 4% din cifra de afaceri globală sau sume în valoare de 20 de milioane de euro, fiind aleasă suma mai mare.

Această amenințare este cu siguranță suficient de mare pentru a speria companiile și pentru a le determina să aibă în vedere schimbarea modului de gestionare a datelor.

Totuși, nu mă aflu pe teritoriul Uniunii Europene – va avea acest lucru impact asupra afacerii mele?

GDPR are implicații serioase pentru companiile din țările aflate în exteriorul Uniunii Europene. Prin urmare, chiar dacă operați de pe alte continente, dar dețineți date care aparțin oricărei persoane cu rezidența în Europa, sunteți răspunzător în fața noilor legi.

Pe scurt, dacă veți procesa date ce aparțin persoanelor care trăiesc și lucrează în cadrul UE, veți fi supus aspectelor directive.

De ce ar trebui să fie conștiente companiile?

Biroul Comisarului pentru Informații din Marea Britanie a lansat recent un set de linii directoare pentru a ajuta companiile să se pregătească pentru GDPR.

De asemenea, li se recomandă companiilor să-și revizuiască notificările de confidențialitate și să se asigurare că există un plan pus în aplicare, care să le permită să facă orice modificări necesare pentru a fi conforme cu GDPR.

Cu toate acestea, nu este prea înfricoșător, întrucât ICO insistă că noile măsuri vor conține multe dintre aceleași principii și concepte regăsite în Legea actuală privind Protecția Datelor.

Ceea ce înseamnă că firmele care respectă deja cu succes legislația din 1995 vor fi, probabil, acoperite.

Dar, există previziuni conform cărora afacerile vor începe să recrutare ofițeri de protecția datelor - în scopul de a se asigura că au implementat personalul potrivit.

Ce alte posibile ramificații are acest regulament?

Odată ce GDPR intra în vigoare, companiile ar putea întâmpina mai multe provocări juridice din partea persoanelor fizice și din partea grupurilor care se ocupă de probleme de confidențialitate, în numele cetățenilor.

De asemenea, pot avea parte de mai puține provocări din partea autorităților de reglementare din fiecare țară, deoarece va exista o clauză de tip „ghișeu unic“ care ar duce sarcina către autoritatea de reglementare din țara în care societatea are sediul central pentru a continua o acțiune în justiție.

Autorităților de reglementare, de asemenea, li se acordă mai multă puteri în scopul de a interveni în cazul în care se sesizează că o altă autoritate este prea indulgentă.

Pentru mai multe informații în ceea ce privește Regulamentul General privind Protecția Datelor, ESET are o pagină dedicată pentru a vă putea asigura că, atunci când vine momentul, aveți totul pregătit.