Regulamentul va reprezenta singurul set de reguli aplicabil afacerilor pe tot teritoriul UE si se va aplica, in egala masura, companiilor care, desi nu au sediul in UE, activeaza pe teritoriul UE. Spre deosebire de perioada precedenta, companiile vor avea o singura autoritate de supraveghere (principala), indiferent de numarul sediilor sau de cel al statelor membre pe care acestea se afla. Criteriul pe baza caruia se determina aceasta autoritate de supraveghere principala este cel al sediului principal care poate fi stabilit pe baza unor reguli clare din Regulament.

Ce trebuie sa stie companiile

Companiile vor fi responsabile de asigurarea transparentei cu privire la procesarea de date personale, ceea ce inseamna ca vor avea obligatia de a informa fiecare persoana ale carei date sunt prelucrate. Mai mult, orice comunicare a companiilor despre procesarile de date personale va trebui sa respecte un limbaj simplu si clar, care sa poata fi inteles cu usurinta.

Noul Regulament impune reguli mai stricte la obtinerea consimtamantului pentru procesarea datelor: consimtamantul va trebui sa fie dat in mod clar si explicit, fara dubii. Daca acesta este dat intr-o declaratie scrisa care se refera si la alte aspecte, este posibil sa fie considerat neclar in ceea ce priveste procesarea de date si, prin urmare, sa nu poata fi folosit de companie. Este foarte important de stiut ca, indiferent daca se obtine consimtamantul sau nu, persoana ale carei date sunt procesate trebuie sa fie informata cu privire la aceasta procesare.

Un mare avantaj pentru companii este disparitia obligatiei generale de notificare a autoritatii de supraveghere competente cu privire la procesarea de date, una dintre cele mai impovaratoare obligatii ale companiilor, care a generat pentru acestea un cost total de 130 de milioane de euro pe an (conform statisticilor anuntate de Comisia Europeana). Noul Regulament stabileste obligatia notificarii autoritatii doar in cazul unei incalcari a securitatii datelor personale, situatie in care, insa, companiile vor trebui sa notifice de indata autoritatea, preferabil, nu mai tarziu de 72 de ore de la momentul in care au aflat despre incalcare. In caz contrar, companiile vor trebui sa suporte amenzi administrative considerabile, care pot ajunge pana la suma de 10 milioane euro sau 2% din cifra de afaceri mondiala anuala, luandu-se in calcul valoarea cea mai mare sau, in unele cazuri, chiar pana la suma de 20 de milioane euro sau 4% din cifra de afaceri mondiala anuala, luandu-se in calcul valoarea cea mai mare.

Citeste si:

O noua responsabilitate a companiilor va fi obligatia de a desemna un responsabil cu protectia datelor, in anumite cazuri, cum ar fi acela in care compania are peste 250 de angajati. Acesta va avea atributii specifice si va desfasura activitati prin care se va asigura aplicarea conforma a Regulamentului si respectarea datelor personale.

Pe de alta parte, Regulamentul contine o serie de derogari pentru IMM-uri, cum ar fi scutirea de la obligatia de a desemna un responsabil cu protectia datelor, in masura in care prelucrarea datelor nu reprezinta activitatea lor de baza sau de la obligatia de a efectua o evaluare a impactului cu exceptia cazului in care exista un nivel de risc ridicat. De asemenea, companiile vor fi in masura sa perceapa o taxa pentru furnizarea de informatii, daca cererile de acces la datele personale sunt vadit nefondate sau excesive.

Drepturile garantate ale persoanelor fizice

Unul dintre scopurile principale declarate ale reformei protectiei datelor a fost de a permite indivizilor sa-si recapete controlul asupra datelor personale, in contextul unei dezvoltari tehnologice fara precedent. In acest scop, noul Regulament obliga companiile sa garanteze urmatoarele drepturi ale persoanelor fizice:

  • un acces mai facil la datele personale: companiile vor trebui sa puna la dispozitia persoanelor fizice informatii suplimentare, intr-un mod clar si usor de inteles, cu privire la modul de procesare a datelor lor;
  • dreptul la portabilitatea datelor: persoanele au dreptul de a primi datele lor cu caracter personal intr-un format structurat, utilizat in mod obisnuit si standardizat si au dreptul de a transmite aceste date catre un alt furnizor de servicii;
  • dreptul de a fi uitat: in cazul in care nu exista existe motive legitime pentru pastrarea datelor, indivizii au dreptul de a obtine stergerea datelor cu caracter personal, fara intarzieri nejustificate;
  • dreptul de a fi informat cu privire la incalcarea securitatii datelor cu caracter personal: atunci cand incalcarea securitatii datelor cu caracter personal este de natura sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, acestea trebuie sa fie informate cu privire la o astfel de incalcare, fara intarzieri nejustificate.

Urmatorii pasi pentru companii

Chiar daca noile reguli vor deveni aplicabile de la date de 25 mai 2018, companiile vor trebui sa aduca prelucrarile in derulare in conformitate cu Regulamentul pana la acel moment. Aceasta perioada de tranzitie ar trebui sa ofere companiilor suficient timp pentru a se stabili reguli si procese de baza clare pentru respectarea noilor cerinte in domeniul prelucrarii datelor. In acest sens, o companie ar trebui sa identifice in primul rand care sunt obligatiile legale care se aplica in cazul sau si ar trebui sa isi actualizeze procedurile si regulamentele in consecinta.