In ultimele săptămâni m-am întâlnit cu foarte multe persoane în legătura cu Regulamentul GDPR, asa zisa Sperietoarea GDPR, noul regulament referitor la protecția datelor cu caracter personal, ce intra în vigoare pe 25 mai 2018.
Acest regulament este o sperietoare pentru cei mai multi, în primul rând pentru ca nu sunt informați.
Chiar dacă se fac 2 ani, adică 24 luni de la publicare, sunt persoane care nu au auzit de el, și pe ultima suta de metri vor repede documentația, doar ca sa bifeze acest punct.
Cred ca este greșit. Ar trebui sa înțeleagă ca responsabilitatea este mai mare decât a bifa o cerință obligatorie pentru ca amenzile pot fi mari.
Ca sa fie clar, Regulamentul se aplica tuturor, dar, în funcție de activitate, unele firme au mai multe atribuții, altele mai puține. Toate firmele trebuie sa protejeze datele, cel putin ale angajaților sau ale altor persoane vizate, chiar dacă acele date sunt necesare pentru a îndeplini unele obligații legale, cum ar fi contractul de munca sau o factura emisa către o persoana fizica.
Printre acțiunile pe care orice companie trebuie sa le ia se afla: analiza datelor ce sunt colectate, scopul pentru care sunt colectate, cine are access la informații și cum sunt stocate informațiile.
Notificarea către Autoritatea Naționala de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) se face numai în cazul în care se prelucrează date sensibile, cu ar fi date medicale, sau despre religie, împreună cu date prin care persoana respectiva poate fi identificata.
In teorie ai nevoie de un DPO atunci când prelucrezi informații cu caracter personal la scara mare.
In practica un DPO este necesar atunci când volumul datelor personale colectate este mare, când prelucrezi date pentru clienți sau atunci când lucrezi cu o multinațională.
Fiecare firma trebuie, cel putin, sa întocmească un plan de măsuri pentru protecția datelor, proceduri cu privire la manipularea informațiilor cu caracter personal și proceduri de stocare / distrugere al informațiilor respective.
Poate ca unele cerințe par exagerate, dar în viata normala ar trebui sa întrebi înainte de a transmite telefonul unei cunoștințe către o alta persoana. Cam asa este și cu Regulamentul GDPR.
Mai întâi, înainte de a prelua informațiile pentru a fi prelucrate trebuie sa întrebi dacă poți si sa ai acceptul. Nu mai este permis acceptul implicit, acesta trebuie sa fie explicit.
In mod normal, persoana vizata trebuie sa știe ce faci cu datele și cui le mai transmiți.
Sa luam exemplul unei societăți care deține un magazin și livrează prin curier. Persoana care comanda trebuie sa știe ca datele sunt folosite pentru facturare și livrare.
Ca livrarea se face de către firma X și ca datele sunt păstrate pentru o perioada de Z ani. (cel putin minimul legal pentru documentele fiscale).
Dar firma are și angajați. Ca o prelucrare sa fie corecta, înainte de angajare ar trebui sa ai acceptul pentru a putea întocmi contractul de munca sau o cere de angajare.
Eu am ales varianta de a informa pana la 25 mai 2018 despre datele pe care le dețin și faptul ca începând cu 25 mai 2018 se schimba modul de colectare. De asemenea persoanele vizate trebuiesc informate despre posibilitatea de a se opune.
Voi reveni cu mai multe informatii intr-un articol viitor
Pana data viitoare, va indemn sa cititi informatiile publicate de Comisia Europeana referitor la conformarea la regulamentul EU 2016/679