GDPR. Ce este și ce înseamnă pentru compania ta

General Data Protection Regulation (pe scurt GDPR) reformează modul în care sunt prelucrate datele cu caracter personal. Acest nou set de reguli nu sunt o noutate, ci o evoluție a unor reglementări vechi de mai bine de 20 de ani, adică din perioada incipientă a mediului online.

GDPR este aplicabil pentru companii de toate mărimile atât pentru cele din Uniunea Europenă, dar și din afara spațiului european, cât timp prelucrează datele cetățenilor europeni.

Scopul reformei este de a proteja datele personale a cetățenilor europeni în fața noilor tehnologii. Atitudinea Comisiei Europene față de setările de confidențialitate nu este nouă.

Ce este GDPR?

Spoiler: Regulamentul General de Protecție a Datelor protejează de fapt persoanele și nu datele.

Indiferent de domeniul pe care îl reglementează, normele juridice sunt doar un nivel de abstractizare a relațiilor sociale. Așadar ce se petrece în societate încât avem nevoie de un regulament cu sancțiuni de până la 4% din cifra globală de afaceri?

„Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrare datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.”

Din păcate, ”prelucrarea datelor” are o definiție destul de largă, și poate însemna orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cu sau fără utilizare de mijloace automatizate. Practic orice atingere cât de mică. De exemplu, jurnalizarea interfeței unei aplicații pentru simpla vizualizare este considerată prelucrare a datelor.

Nu vei găsi o listă cu ce se poate face și ce nu se poate face, Regulamentul oferă doar direcții generale.

GDPR este un framework scris într-un jargon tipic legal. Este aproape imposibil să găsești în clar care vor if efectele pentru că este vorba despre viețile oamenilor, nu despre date. Dacă încă nu crezi ca datele personale pot schimba vieți, atunci fă-ți timp să citești despre scandalul Cambridge Analytica.

Încă este interpretat de actorii implicați, inclusiv de autoritățile publice responsabile de protecția datelor și asta e normal. Cel mai probabil reglementările vor fi clarificate de instanțele judecătorești când vor apărea procese. Probabil peste 1-2 ani vom ști ce trebuie și ce nu trebuie făcut când vine vorba de aplicarea acestor prevederi legale. Oricum, sensul reglementării este ca operatorul de date personale să ia măsuri cât mai serioase de prevenire.

Pentru unii, incertitudinea sună înfricoșător, dar este doar un nou risc pe care afacerile și-l asumă, în niciun caz cel mai periculos sau singurul.

Pe scurt, dacă lucrezi în mediul digital (deții un site, aplicație etc.) și serviciul/produsul este accesat de cetățeni europeni, cel mai probabil va trebui ca afacerea ta să fie conformă cu prevederile GDPR.

Din punctul meu de vedere, Comisia Europeană încearcă să clarifice responsabilitatea actorilor care lucrează cu date personale. Nu se vor opri aici pentru că există și alte propuneri precum ePrivacy.

GDPR de fapt reglementeză Facebook, Google, Amazon, Microsoft?

Disclaimer: Regulamentul NU reglementează nicio companie, este doar o metaforă.

Acum este posibil să te întrebi: cum poate fi impus un regulament companiilor care nu se află în Uniunea Europeană?

Obligația de conformare cu General Data Protection Regulation nu distinge între mărimea companiei sau domeniul în care activează.

Acest lucru face ca subsidiarele Facebook, Amazon, Google, Microsoft din Uniunea Europeană care deseori procesează date cu caracter personal în numele afacerilor mai mici să analizeze mai bine care ar fi costul de conformare versus riscul asumat.

Riscul fiind reprezentat de sancțiunile care se aplică la cifra de afaceri globală. Așadar, cu cât este mai mare compania cu atât mai mult va fi interesată să respecte regulile.

În această ipoteză, companiile mai mari probabil vor trasa către companiile mai mici o parte dintre reglementări, inclusiv companiilor din afara U.E pentru că vor trebui să se asigure că datele cu caracter personal ale cetățenilor europeni sunt prelucrate cu responsabilitate.

Ce prevede totuși Regulamentul General de Protecție a Datelor?

Fără a avea pretenția de a fi un sfat juridic și cu recomandarea de a discuta cu o persoană specializată în data protection, aș spune că este mai bine definită responsabilitate actorilor. Pe scurt:

  • GDPR unifică reglementarea și pentru statele care nu sunt în U.E.;
  • consolidează drepturile persoanelor vizate (adică a consumatorilor);
  • propune o abordare proactivă (fără accept tacit sau ascunderea breșelor de securitate);
  • se aplică direct, fără a fi nevoie de adoptarea unei legislații naționale.

Pe lângă drepturile deja existente, este introdus dreptul la portabilitate. Companiile vor trebui sa ofere soluție userilor ca în cazul în care vor să părăsească un serviciu, să poată lua și datele aferente profilului. O situație asemănătoare este în industria telecom. Unde îți poți păstra numărul de telefon dacă te muți la alt furnizor.

Cred că GDPR clarifică responsabilitatea actorilor, chiar dacă și în reglementările actuale există, tocmai pentru că nimeni nu prea se simțea responsabil cu ce se întâmpla cu datele personale.

Un exemplu este lista aceasta cu breșele de securitate din diverse domenii. În general aceste situații au devenit publice la mult timp după ce a fost descoperită problema.

După 25 mai, conform Regulamentului, din momentul în care o companie descoperă o breșă de securitate este obligată în termen de 72 de ore să anunțe autoritatea națională responsabilă (în România ANSPDCP) și să informeze utilizatorii afectați.

Evident, sunt mult mai multe aspecte pe care trebuie să le știi. Îți recomand să mergi la sursa oficială a regulamentului și să îți faci timp să îl citești.

Dacă ai întrebări după, le poți lăsa în comentarii și voi încerca să îți răspund.

Ce poți să faci pentru compania ta?

Regulamentul nu este o revoluție, ci doar o evoluție a unor prevederi pe care trebuia deja să le fi respectat.

Totul depinde de tine și tipul de afacere. Din punctul meu de vedere, nimeni nu poate fi sigur de ce va urma după intrarea în vigoare a GDPR.

Sunt scenarii optimiste dar și negative, este important să înțelegem că fiecare dintre noi este și consumator de servicii și produse, și dorim ca datele personale să nu fie doar o monedă de schimb pentru interese pe care nu le înțelegem.

De aceea asigurarea transparenței în colectarea și prelucrarea datelor, existența unor proceduri interne specifice și instruirea personalului sunt câteva lucruri cu care poți începe.

Trebuie să învățăm să lucrăm cu datele personale. Este normal să fim transparenți cu userii, să cunoască scopul pentru care sunt colectate datele personale, să obținem pro-activ  consimțământul, userii să aibă posibilitatea de a primi un extras cu datele colectate.

În principiu oferă informări mult mai clare, și cred că sunt două întrebări principale la care poți răspunde:

  • ce date ai nevoie pentru procesare;
  • ce date procesezi și cu ce finalitate.

Pe lângă conștientizarea impactului GDPR, un audit este pasul recomandat de majoritatea consultanților de privacy. Acesta ar putea include, dar fără a se limita la:

  1. clarifică ce date cu caracter personal sunt colectate;
  2. cum sunt ele prelucrate;
  3. dacă și cum sunt transmise colaboratorilor;
  4. securitatea datelor – dovada efortului că datele sunt în siguranță;
  5. definirea scopului pentru colectare datelor;
  6. descrierea modului prin care sunt prelucrate;
  7. un audit tehnic a infrastructurii IT (rețea, hardware etc.).

În final, sensul în care trebuie intrepretat GDPR este acela de a readuce viața privată în controlul persoanelor și nu doar a companiilor. GDPR este doar un proces de transformare și cred că e momentul să nu mai considerăm că datele sunt gratuite.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.