Legislația privind protecția datelor personale în Europa se va schimba în mod drastic din 25 mai 2018, odată cu intrarea în vigoare a Regulamentului (UE) 679/2016, cunoscut drept Regulamentul General privind Protecția Datelor Personale (GDPR). Specialiștii spun ca asistăm chiar la o adevărată revoluție în domeniu, dacă analizăm magnitudinea la care schimbările din legislație vor afecta bunul mers al afacerilor mici și mari din Europa și nu numai.

Potrivit avocatului Bogdan Mihai, Partener Mușat & Asociații, “GDPR va produce schimbări majore în modul în care se face business, pentru că, de acum înainte, în primul rând trebuie să ținem cont de securitatea bazelor noastre de date și să fim mai atenți la oamenii cu care lucrăm.”

Pe scurt, dacă din cadrul unei companii “se scurg” informații cu caracter personal, iar aici vorbim despre CNP, serie, nr C.I. , pașaport, numele complet, numele părinților, precum și date parțiale de identificare (ex. culoarea ochilor, un semn distinctiv etc ) care prin asociere cu alte date conduc spre persoane fizice identificabile, compania va fi sancționată cu până la 20 milioane de euro sau 4% din cifra de afaceri.

Ghid practic de implementare GDPR

Reprezentanții casei de avocatură Mușat & Asociații au realizat un Ghid practic de implementare a măsurilor de conformare GDPR în care sunt explicate cerințele principale ale GDPR-ului, aplicate tuturor companiilor care prelucrează date personale. Acestea au obligația de documentare a tuturor activităților de prelucrare a datelor, evaluarea riscurilor asupra drepturilor și libertăților persoanelor vizate, de a lua măsuri organizatorice și tehnice pentru protejarea datelor, de a minimiza cantității de date cu caracter personal prelucrate și să fie în masură să probeze conformitatea cu GDPR, să notifice autoritatea de supraveghere cu privire la încălcarea datelor, să desemneze un responsabil cu protecția datelor (DPO), să actualizeze datele personale inexacte, să verifice transferul datelor în afara UE. Practic companiile trebuie să mențină în baza lor de date, foarte bine securizată, strict datele de care au neapărată nevoie și fără de care nu pot lucra cu clienții, iar alte detalii despre clienții companiei să fie complet șterse. Minimizarea datelor este una dintre soluțiile recomandate de specialiști pentru ca, în cazul unui atac cibernetic, dezastrul să fie cât mai mic.

Drepturile cetățenilor

O altă noutate adusă de GDPR este dreptul persoanelor fizice de a cere companiilor ca datele  lor personale să le fie complet șterse din baza de date a organizațiilor, cu aceeași ușurință cu care au fost colectate. Aici apare o mică dificultate atunci când vine vorba despre clienții băncilor, ale căror date nu pot fi șterse complet, acestea fiind necesare pentru respectarea reglementărilor privind prevenirea infracțiunii de spălare a banilor sau pentru că sunt în derulare diferite clauze contractuale.

Educarea angajaților

Organizațiile sunt obligate să anunțe în momentul în care colectează date, în ce scop o fac și să asigure că datele nu vor fi folosite în alte scopuri decât cel declarat. Pentru acest lucru una dintre soluțiile principale și chiar vitale este educarea personalului și aici vorbim de la portarul care trebuie să fie conștient că nu are voie să aibă acces juridic la anumite documente, până la CEO. Angajații companiei trebuie să fie foarte atenți la datele cu care intră în contact și să urmeze instrucțiunile primite de la conducere în ceea ce privește prelucrarea acestora.

Conform avocatului Bogdan Mihai, Partener Muşat & Asociaţii, ”angajații trebuie să știe care sunt sarcinile și responsabilitățiile lor, ce ar trebui să facă, ce nu ar trebui să facă cu datele cu care lucrează, care sunt riscurile la care expun compania pentru care lucrează. Dacă acest lucru poate fi cuantificat într-o sumă de bani, vorbind de amenzile riscate, atunci compania ar trebui să investească în instruirea angajaţilor, sumele actuale alocate fiind insignifiante.”

În opinia specialiștilor de la Mușat & Asociații, mai întâi este o nevoie de educarea directorului executiv, echipei de conducere și a personalului de prelucrare a datelor. Soluția pentru această educare stă în punerea în aplicare a cerințelor stipulate de regulament, crearea unui grup de lucru comun, instruirea personalului cu privire la protecția datelor personale.
Iar cel mai important element pentru aliniere la noul GDPR este practic înființarea unei noi autorități în cadrul organizației, un Data Protection Officer (DPO) care oferă consultanță la nivel executiv și se asigură că toate reglementările GDPR sunt respectate.

Cum se poate acționa la nivel tehnic?

La nivel tehnic, recomandările din partea acelorași specialiști sunt: Instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație; capabilități de prevenire a pierderilor de date (DLP) pentru a examina fluxurile de date și a identifica datele cu caracter personal care nu fac obiectul garanțiilor sau autorizațiilor adecvate. Instrumentele DLP pot bloca sau pune în carantină astfel de fluxuri de date, în așteptarea rectificării adecvate; criptarea datelor; capacitățile de identificare, blocare și investigare a criminalității pentru identificarea rapidă a tentativelor de acces neautorizat la date și alte amenințări, capabilitati de export de date.

Toate aceste soluții și multe altele au fost prezentate joi, 12 octombrie, în cadrul evenimentului Q&A ”GDPR 2018- cât de pregătiți sunteți?”, Ediția a III-a, organizat de Concord Communication și care s-a desfașurat la sediul Mușat & Asociații.

Fotografii de la eveniment: https://concordcom.ro/evenimente/protectia-datelor-personale/