Regulamentul European 679/2016 (GDPR) este o componentă nouă adăugată reglementărilor europene care abordează modul în care datele cetățenilor UE pot fi utilizate de corporații, introducând noi reguli stricte în ceea ce privește obținerea consimțământului clienţilor de a procesa datele lor. Acesta a fost aprobat de Parlamentul European și intră în vigoare din 25 Mai 2018.
GDPR oferă cetăţenilor europeni o serie de drepturi suplimentare în ceea ce privește datele lor personale. Companiile trebuie să solicite clienților datele lor într-un mod clar și explicit. La rândul lor, clienţii vor putea cere informații despre cum și de ce datele lor sunt prelucrate. Vor putea, de asemenea, să solicite copii ale datelor lor într-un format care să poată fi procesat, astfel încât să poată fi preluat cu uşurinţă şi în altă parte.
În cazul prelucrării datelor unui copil sub 16 ani, este necesar acordul titularului răspunderii părintești asupra copilului. Operatorul trebuie să depună toate eforturile rezonabile pentru a verifica consimțământul părintelui.
Când sunt colectate date cu caracter personal, în momentul actual, companiile sunt obligate să dea persoanelor informaţii cu privire la identitatea lor şi cum intenţionează să folosească datele lor personale, acest lucru realizându-se cu ajutorul notificărilor.
Conform noului regulament, trebuie aduse la cunoştinţă şi alte câteva lucruri cum ar fi dreptul legal al companiei de a prelucra date cu caracter personal, perioada în care vor fi păstrate aceste date. De asemenea, persoanele vizate trebuie informate de faptul că au dreptul să facă plângere la autoritatea de supraveghere în cazul în care consideră că există o problemă în modul de prelucrare şi păstrare a datelor. Regulamentul GDPR cere ca informaţiile ce vor fi comunicate să fie făcute într-un limbaj concis, uşor de înţeles şi clar.
Organizațiile care încalcă Regulamentul GDPR nu vor primi doar un avertisment – există sancțiuni foarte serioase. O companie care încalcă acest Regulament poate fi sancționată cu până la 4% din cifra de afaceri anuală globală (adică nu numai veniturile generate în Europa) sau 20 milioane EUR, oricare dintre acestea este mai mare.
Regulamentul 679/2016 al UE (GDPR) solicită ca organizațiile să desemneze un responsabil cu protecția datelor cu caracter personal (DPO – Data Protection Officer) dacă sunt întrunite anumite condiții care necesită existența unui DPO.
GDPR introduce noi cerințe și provocări pentru legalitate și funcționalitate. Se estimează că este necesară formarea a peste 2.800.000 de DPO numai în Europa. Nivelul amenzilor este cel ma ridicat în istoria UE. Se pune un accent deosebit pe responsabilitatea organizațională care necesită un management proactiv și robust al confidențialității datelor. Obligă organizațiile să analizeze serios modul în care elaborează politici de protecție a datelor private.
Organizațiile care prelucrează pe scară largă date personale sau au peste 250 angajați trebuie să aibă desemnat un DPO cu experienţă, cunoștințe și abilități adecvate. DPO trebuie să aibă o poziție specifică în organizație pentru a impune măsurile de securitate.
TÜV Austria România organizează cursul Data Protection Officer (DPO) – Responsabil cu protecția datelor cu caracter personal (DPO).
Practic, ce responsabilităţi are un DPO (intern sau extern) în cadrul unei organizaţii:
- Consiliere/consultanţă acordată organizaţiei cu privire la obligaţiile specifice care rezultă din cerințele GDPR;
- Consiliere/consultanţă acordată organizaţiei în cadrul evaluării impactului pierderii confidenţialităţii (DPIA – Data Privacy Impact Assessment);
- Consiliere/consultanţă acordată organizaţiei în managementul riscurilor informaţionale asociate datelor cu caracter personal;
- Monitorizarea respectării cerinţelor GDPR în cadrul organizaţiei;
- Reprezintă persoana de contact cu organizaţia în probleme legate de protecţia datelor cu caracter personal;
- Cooperează cu Autoritatea de Supraveghere;
- Coordonează sau face parte din echipa de management al securităţii informaţiilor din cadrul organizaţiei.
GDPR presupune modificări ale modului în care sunt proiectate și gestionate tehnologiile de prelucrare a datelor. Se solicită evaluări de riscuri privind confidențialitatea pentru a proiecta și implementa sisteme și tehnologii. Se pune accent pe anonimizarea, pseudonimizarea și criptarea datelor.
Organizațiile trebuie să stabilească un set de reguli bine concepute în sensul protecției datelor private încă din faza de proiectare a sistemelor de prelucrare a datelor sau în situația dezvoltării și implementării de noi soluții și tehnologii.
Certificarea sistemului de management al securităţii informaţiilor conform ISO/IEC 27001 reprezintă o decizie strategică a managementului companiei ce aduce numeroase beneficii ce intră în armonie cu adoptarea normelor Regulamentului European GDPR. Implementarea sistemului de management pentru securitatea informatiei şi certificarea ISO 27001 a companiei demonstrează angajamentul pentru protecţia datelor procesate, continuitatea activităţilor şi respectarea legislaţiei naţionale şi internaţionale în domeniu. TÜV Austria România oferă servicii de certificare a sistemului de management al securităţii informaţiei (SMSI).
În domeniul instruirii, compania noastră organizează cursuri pentru managementul securităţii informaţiilor conform standarului ISO 27001. În cadrul cursurilor, responsabilii cu securitatea informaţiei sau specialiştii IT primesc informaţii valoroase referitoare la proiectarea şi implementarea unui Sistem de Management al Securităţii Informaţionale.
