P GDPR - controlul asupra datelor cu caracter personal, înapoi în mâinile individului

GDPR - controlul asupra datelor cu caracter personal, înapoi în mâinile individului

Regulile generale privind protecția datelor cu caracter personal au intrat în vigoare pe 25 mai 2018 în întreaga Uniune Europeană și urmăresc să protejeze drepturile digitale ale cetățenilor prin legi mai stricte privind datele și o mai mare supraveghere a modului în care companiile gestionează informațiile personale ale cetățenilor.

Concret, agenții economici sunt obligați să obțină permisiunea activă a clienților înainte de a le utiliza adresele de e-mail, numerele de telefon sau de a le stoca obiceiurile de navigare pe internet, cookie-urile unui site cu alte cuvinte.

Noul Regulament General pentru Protecția Datelor (GDPR) oferă noi competențe de a accesa și controla datele personale, precum și de a oferi autorităților de reglementare o mai mare putere de a aplica amenzi firmelor care nu folosesc date sau care nu reușesc să fie transparente în modul în care colectează și utilizează acestea.

Reporter: În mintea colectivă, toată această nebunie a început o dată cu scandalul Analytica, deși legea era gata de acum trei ani.

Camelia Lung: Revolta folosirii datelor personale în manipularea unor alegeri a fost doar scânteia ce a adus pregnant în atenția opiniei publice vulnerabilitatea noastră în contextul unor asemenea situații. Nu cred că mulți dintre noi și-au pus cu adevărat această problemă înainte de izbucnirea scandalului legat de giganții Facebook și Google.

Tot ce a urmat arată că Regulamentul General pentru Protecția Datelor este în mod clar conceput pentru a ne proteja dreptul la confidențialitate.

Reporter: Au trecut deja două săptămâni de la intrarea în vigoare a Regulamentului. Cum se aplică sau mai exact: se aplică acesta?

Camelia Lung: Cu o lună înaintea intrării în vigoare a lui, majoritatea covârșitoare a firmelor declarau că nu sunt pregătite să-l aplice. O dată cu apropierea termenului limită de punere în aplicare, 25 mai 2018, lucrurile erau destul de agitate. Este limpede că s-au cheltuit o mulțime de bani și resurse în încercarea, disperată pe alocuri, de a se ajunge la conformitate cu prevederile Regulamentului. Dar în acest moment, firmele încă lucrează intens la acest capitol.

Reporter: Unde apar aceste probleme de conformitate, de punere în aplicare a Regulamentului?

Camelia Lung: Noi, de la IC Consulting, am observat că dificultățile cele mai mari par să le întâmpine intreprinderile, afacerile mici, în sensul că parcă nu știu de unde să înceapă și cum să pună în aplicare acest Regulament. Și asta nu pentru că nu s-ar fi pregătit anterior pentru o protecție suplimentară a datelor cu caracter personal, și spun asta pentru că, ceea ce sărea mai degrabă în ochi, era amenințarea cu sancțiuni în cazul neaplicării acesteia. Și nu vorbim aici de orice amenzi, nici măcar de unele mari, ci de-a dreptul drastice, la un nivel care îți pot pune îndată lacătul pe firmă.

Reporter: Care este, totuși, reacția la noua lege privind datele personale?

Camelia Lung: Am constatat că noi, românii, încă nu suntem pe deplin pregătiți pentru schimbările uriașe aduse de noile legi ale Uniunii Europene privind datele cu caracter personal. Sunt încă destule cazuri în care oamenii nici măcar nu știu că acest lucru s-a întâmplat, iar pentru cei care sunt conștienți că se întâmplă și că trebuie acționat imediat, este poate o pălărie prea mare, ceva prea complicat și nu foarte important.

Aici, Autoritatea de supraveghere are un rol determinant. Cei care controlează punerea în aplicare a Regulamentului ar trebui să arate clemență în aplicarea acestuia, aș spune că există chiar o nevoie reală de sprijin în rândul comunității mici de afaceri pentru ca lucrurile să se rezolve calm și fără a cădea într-o patimă a sancțiunilor. Consider, deci, că este necesar ca autoritățile de control să se ocupe de cazurile de neconformitate într-o manieră rezonabilă, și nu să înceapă să arunce cu amenzi în stânga sau în dreapta.

Reporter: Spuneți, practic, că cei care gestionează întreprinderile mici ar trebui să vadă în autoritatea statului un loc în care, mai degrabă, să primească sfaturi, care să-i ajute la realizarea modificărilor necesare?

Camelia Lung: Exact. De altfel, până în prezent, nu am auzit de cazuri în care să se recurgă la amenzi. Intrăm, astfel, pe un făgaș firesc al lucrurilor. Mai mult, și aici merg mai departe, spun că există o conștientizare a faptului că o acțiune de o asemenea amploare necesită timp, un grad ridicat de înțelegere a dificultăților care pot să apară în procesul de conformare. Până la urmă, procedându-se de o asemenea manieră, este limpede că, în sfârșit, cineva pune în prim plan consumatorul și cetățeanul.

Reporter: Odată cu intrarea în vigoare a noului regulament, interesul față de acesta este uriaș. De ce anume sunt interesați oamenii când vine vorba de datele lor personale?

Camelia Lung: Oamenii au devenit brusc interesați de detalii, și este un lucru prefect justificat. Dacă până acum ceva vreme, interesul pentru soarta datelor nu părea să intereseze multă lume, acum este exact pe dos. Toți vor să știe ce se întâmplă cu numele lor, cu adresa de acasă, unde ajung, cine le folosește, în ce scop, pe cât timp. În contextul noului Regulament, persoanele fizice sunt mult mai atente în momentul în care își oferă datele cu caracter personal, ceea ce va duce la nenumărate plângeri la Autoritate și procese pe rolul instanțelor împotriva operatorilor care nu respectă drepturile persoanelor vizate.

Pe de altă parte, Regulamentul se aplică tuturor și cu toții am observat că în ultima perioadă e-mailurile noastre sunt efectiv bombardate de solicitări venite de la societăți, de la companii cu un spectru larg de activitate, care ne solicită, în mod panicard uneori, să optăm în mod explicit, să le oferim acceptul la utilizarea datelor noastre personale.

Fie că vorbim despre firme care vând tricouri sau pantofi, ferestre sau termostate inteligente, care își oferă servicii de ocupare și pregătire profesională, toate ne asaltează cu termeni actualizați de utilizare, care trebuie aprobați înainte de a putea beneficia în continuare de serviciile lor.

Reporter: Cum a fost primit acest lucru? Nu cumva oamenii au reacționat exact pe dos?

Camelia Lung: Afluxul mare de e-mailuri a fost întâmpinat cu sentimente contradictorii, ceva între obositor și confuzie. Dar unii au considerat benefică toată această bătălie, practic, pentru obținerea mult doritelor acorduri, și au văzut-o drept o modalitate utilă de a elimina spamurile, ignorând pur și simplu cererile de înscriere în baza de date a firmelor.

Mai mult, sunt și voci care susțin că multe dintre mesaje ar putea chiar să nu fie necesar a fi expediate către clienți, mai ales dacă aceștia au optat anterior să primească mesaje de la o companie.

Aici, însă, lucrurile nu stau deloc așa, în sensul în care acest consimțământ acordat anterior, înainte de introducerea GDPR, nu mai este suficient fără dovada optării explicite pentru acordul de folosire a datelor personale. În plus, în prezent, se poate solicita o copie a tuturor datelor în termen de 30 de zile și există opțiunea de a cere ștergerea lor, în conformitate cu legile "dreptul de a fi uitat".

În concluzie, GDPR va așeza controlul asupra datelor personale înapoi în mâinile individului, permițând o serie de drepturi, inclusiv accesul la datele lor și posibilitatea de a le face uitate. De asemenea, înseamnă că organizațiile nu pot pur și simplu să adune date fără un motiv întemeiat și trebuie să demonstreze că fac tot ce pot pentru a proteja datele pe care le dețin.

Reporter: Amenzile? Chiar pot duce la falimentul unor firme?

Camelia Lung: Categoric da, și asta depinde de gravitatea abaterilor. Vorbim de sancțiuni într-adevăr uriașe în unele cazuri, fie că este vorba de faptul că nu a fost implementat Regulamentul, fie că este nesocotită obligația operatorilor de date personale de a raporta orice încălcare a prevederilor legale sau a existenței unor atacuri cibernetice, în termen de 72 de ore de la producerea lor.

Concret, sancțiunile prevăd amenzi de până la 20 de milioane de euro sau 4 la sută din cifra de afaceri anuală globală a unei companii. În concluzie, nu este vorba aici de opțiunea fiecăruia, aplicăm sau nu acest Regulament. Este, un caz tipic și concret de ”musai” sau de a-ți asuma conștient consecințele abordării de o manieră superficială, neglijentă, a datelor personale. Nu există societate sau operator care să nu cadă sub incidența acestui Regulament, toate companiile fiind obligate să își facă implementarea procedurilor.

În plus, GDPR specifică faptul că organizațiile trebuie să numească un agent de protecție a datelor specifice, care să se distingă de un ofițer de risc și de toate funcțiile IT care există în prezent. Este un post, o poziție care trebuie situată în afara domeniului IT și în afara sălilor de consiliu, pentru a asigura independența acesteia și, în definitiv, pentru a avea siguranța că businessul respectă întocmai Regulamentul.

Reporter: Am înțeles că oferiți servicii de evaluare și implementare a procedurilor GDPR.

Camelia Lung: Da, IC Consulting oferă servicii de consultanță având ca scop implementarea procedurilor și îndeplinirea obligațiilor de către fiecare societate, privitor la Regulamentul 2016/679 al Uniunii Europene.

Pe lângă serviciile de consultanță, organizăm, împreună cu cab. Avocat Păun Ciprian, cursuri de protecție a datelor cu caracter personal, în care se pune accentul pe gestionarea relațiilor de muncă în contextul GDPR, respectiv cum influențează GDPR relațiile de colaborare între partenerii de afaceri. Organizăm aceste cursuri tocmai pentru că vrem să ajutăm companiile să-și gestioneze corect datele cu caracter personal pe care le au de la angajați, colaboratori și clienți. În plus, oferim și audit personalizat fiecărei societăți comerciale în parte, tocmai pentru că în gestionarea datelor cu caracter personal trebuie ținut cont de fiecare detaliu al companiei.

IC Consulting Cluj-Napoca este furnizor de formare profesională autorizat de Ministerul Muncii și Justiției Sociale, Ministerul Educației și Autoritatea Națională pentru Calificări, societate manageriată de Camelia LUNG de aproape 20 de ani. Camelia Lung este consilier juridic de două decenii, iar profesionalismul a dus-o în structura aparatului guvernamental, unde a ocupat, pe rând, funcțiile de șef de cabinet în MMFPSPV, consilier al ministrului de Interne, consilier în Cancelaria Primului-ministru. Experiența sa dobândită în sectorul de stat, dar și în cel privat, vine în sprijinul agenților economici care doresc consultanță de specialitate în domeniul Human Resources, legislația muncii, respectiv în obținerea Formularului A1.

 

Comenteaza