In curand se implinesc 2 ani de la data aplicarii GDPR si toata lumea vorbeste in continuare despre acest regulament. De ce este important GDPR? O discutie cu Raluca Puscas, partener Filip & Company, despre ultimele modificari GDPR, sanctiunile impuse si la ce sa ne asteptam in continuare.

Legislatia in acest domeniu nu a inceput cu GDPR, au existat inca din anii '80, a urmat apoi o directiva in 1995, doar ca inainte de GDPR legislatia era foarte fragmentata, aplicarea regulilor de la o tara la alta in cadrul UE era foarte diferita. In orice domeniu economic companiile se bazeaza pe prelucrarea de date. De exemplu, in transporturi - din ce in ce mai multe date pot fi citite de masini si exista conexiuni in modul in care aceste date citite ajung la producatori, la dealeri, la autoritatile care aplica legea, la cei care supravegheaza pe baza de geolocalizare. In domeniul medical, GDPR ofera niste garantii pentru prelucrarea datelor pacientilor. Exista reglementari si in domeniul studiilor clinice. Bancile prelucreaza seturi mari de date, inteligenta artificiala si in special tehnicile de profilare care conduc la marketing se bazeaza pe prelucrarea datelor.

In orice domeniu putem vorbi de prelucrarea datelor si de aceea este important GDPR, ca sa protejeze datele persoanelor fizice, acesta este scopul regulamentului.

Modificari GDPR

La doi ani de la GDPR, constatam ca regulamentul trebuie aplicat proportional, adica nu toate companiile prelucreaza un volum mare de date, exista diferente, de exemplu, intre un hotel si o firma de catering, primul prelucreaza mai multe date. GDPR ar trebui aplicat raportat la riscul pe care il prezinta fiecare companie, nu trebuie sa existe exagerari, sa folosim consimtamant in fiecare situatie.

Ce s-a intamplat in Romania in ultimii 2 ani? "In Romania am observat o tendinta, mai ales la inceput, sa se ceara consimtamantul la orice, existau companii care puneau clientii sa semneze un acord de prelucrare a datelor, desi nu era neaparat necesar. In Grecia, de exemplu, a fost sanctionat un operator care a cerut consintamant de la angajati pentru prelucrarea datelor in toate situatiile, cand de fapt el trebuia sa prelucreze in baza unei obligatii legale, a contractului de munca.

Sanctiuni GDPR in Romania

Companiile romanesti s-au pregatit in special pe formularistica necesara GDPR, care e foarte importanta, dar nu este totul. (...) Trebuie sa creezi o cultura de privacy in organizatie si fiecare angajat, cu rolul sau, sa fie constient de ceea ce are de facut concret in acest sens.

Daca ne uitam la sanctiuni, multe s-au aplicat pentru nerespectarea masurilor tehnice si organizatorice care au dus la pierdea datelor, adica este posibil ca o companie sa fi avut toate formularele puse la punct, dar angajatii nu au fost trainuti corespunzator si asta a dus la o pierdere de date, sau masurile tehnice nu au fost corespunzatore. In alta situatie operatorii nu au identificat corect temeiul legal al prelucrarii. Sanctiuni au mai fost aplicate si cand nu s-au respectat masurile dispuse de autoritate.

Este important sa ne uitam la sanctiuni pentru ca astfel se contureaza o cultura organizationala de protectie a datelor. Important este sa invatam din aceste sanctiuni. Un element esential este trainingul angajatilor - nu trebuie sa fie toti experti in protectia datelor, dar ar trebui sa fie o constientizare la nivel de board, de management; in unele companii mai mari mai exista niste privacy champions - care primesc un training intens in acest sens - dar exista si traininguri pentru marea masa de angajati care sa fie pregatiti si sa recunoasca incidente in protectia datelor.

Ce pot face organizatiile pentru a fi conforme cu GDPR

  • Sa-si evalueze activitatile de prelucrare pe care le realizeaza
  • Sa se gandeasca cum sa informeze persoanele vizate asupra modului in care le prelucreaza date
  • Sa stabileasca temeiul legal al prelucrarii (cand este o obligatie legala, contract cu persoana vizata, consimatamant, interes legitim)
  • Sa-si puna la punct politici si proceduri - e important sa stabileasca niste fluxuri interne de lucru, de exemplu pentru raspunderea la cererile adresate de persoanele vizate, daca un consumator face o cerere si vrea sa afle ce date prelucreaza compania, compania trebuie sa fie in masura sa identifice in sistemele interne si sa ii raspunda; sunt obligatii in caz de data breach - incidente de securitate - trebuie facuta o evoluare rapid si este necesar sa se notifice autoritatea in 72 de ore; daca exista riscuri mari privind persoanele vizate, compania trebuie sa le anunte si pe ele

Ce se intampla cu transferul de date personale catre Marea Britanie in contextul Brexit, la ce ar trebui sa fie atent un comerciant cand deschide o platforma online, cum se poate realiza monitorizarea angajatilor compliant cu GDPR - aflati din interviul video Into the retailArena cu Raluca Puscas.

Abonează-te pe

Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »

Despre autor
Andra Imbrea
Andra Imbrea s-a alaturat echipei Wall-Street in 2015. A studiat jurnalismul si economia, pe care incearca sa le imbine in cadrul materialelor sale despre industria de fashion, retail&FMCG si Media&Advertising. Iubitoare de pisici, carti si festivaluri de muzica.   

Te-ar putea interesa și:



Mai multe articole din secțiunea Companii »


Setari Cookie-uri