Cateva idei gresite despre modul cum trebuie aplicate prevederile GDPR

Cateva idei gresite despre modul cum trebuie aplicate prevederile GDPR Va reamintim, incepand cu 25 mai 2018, o noua amenintare pluteste deasupra companiilor si institutiilor de orice fel din Romania: este vorba despre amenda de 20 de milioane de euro sau 4% din cifra de afaceri stabilita de Regulamentul General pentru Protectia Datelor (GDPR) pentru nerespectarea confidentialitatii informatiilor despre clientii sau angajatii proprii.
Stim, amenda vi se pare exagerata si din acest motiv aveti impresia eronata ca prevederile GDPR se aplica doar companiilor foarte mari, care colecteaza si prelucreaza cantitati impresionante de date personale.

Dar adevarul este ca si dvs., o companie mica sau mijlocie, puteti primi oricand vizita organului de control abilitat in acest sens, indiferent de dimensiunea sau specificul activitatii pe care o desfasurati.

E suficienta o simpla sesizare la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) facuta de o persoana care considera ca i-ati incalcat dreptul la confidentialitatea informatiilor personale si ANSPDCP este obligata sa solutioneze respectiva sesizare!

Nu conteaza ca reclamantul este un fost angajat care vrea doar sa va creeze necazuri, nu conteaza ca sesizarea nu are de fapt niciun temei, ANSPDCP va veni la firma dvs. pentru verificari. Si cu aceasta ocazie chiar poate descoperi ceva in neregula, fara nicio legatura cu sesizarea initiala!

Alte exemple de idei gresite despre aplicarea GDPR:

1. “Firma mea nu prelucreaza date cu caracter personal, doar la colecteaza!”
Trebuie sa constientizati faptul ca orice firma care detine informatii despre persoane fizice are implicit si calitatea de operator care desfasoara operatiuni de prelucrare a datelor cu caracter personal. Si, ca urmare, intra sub incidenta prevederilor GDPR. Simpla trimitere prin curier a unei facturi sau a unui material promotional catre un client se supune, incepand cu 25 mai 2018, cerintelor impuse de GDPR.

Ca sa fie mai clar, GDPR stabileste niste conditii atat de cuprinzatoare privind ceea ce inseamna “prelucrarea datelor personale” incat chiar si detinerea de astfel de date, stocate sub o forma oarecare, reprezinta o activitate de prelucrare.

2. “Nu orice informatii pe care le detin despre cineva constituie date personale!”
Ba cam da. Va ganditi probabil ca doar numele, CNP-ul, adresa si numarul de telefon sunt date personale, insa GDPR are in vedere o definitie mult mai larga, ce include chiar si amprentele sau culoarea ochilor. Orice aspecte legate de identitatea fizica, psihologica, genetica, economica, sociala si culturala intra in sfera de reglementare a GDPR.

3. “Daca am un software de securitate performant, sunt in regula in cazul unui control!”
Chiar daca beneficiati de solutii de securitate furnizate de giganti IT, asta nu e suficient pentru a va conforma cerintelor GDPR. GDPR vizeaza intr-un sens foarte larg respectarea drepturilor fundamentale ale persoanelor fizice si nu se refera in exclusivitate la aspecte privind securitatea informatica. 

Retineti! GDPR este un act normativ foarte complex si din acest motiv respectarea lui nu este deloc usoara. Sunt foarte multe aspecte de luat in calcul si orice scapare poate deveni imediat un motiv solid pentru o sanctiune din partea inspectorilor ANSPDCP. Acestia au o lista cuprinzatoare de drepturi:

a) sa efectueze investigatii, inclusiv inopinate;
b) sa ceara si sa obtina orice informatii si documente indiferent de suportul de stocare, de la operator si persoana imputernicita de operator/reprezentantul acestora, la fata locului si/sau in termenul stabilit;
c) sa ridice copii de pe acestea;
d) sa aiba acces la oricare dintre incintele operatorului si persoanei imputernicite de operator;
e) sa aiba acces si sa verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfasurarii investigatiei, in conditiile legii.

Iar sanctiunile pe care le pot aplica inspectorii sunt cele mentionate in introducerea acestui articol: 4% din cifra de afaceri sau 20 milioane de euro. Si, foarte important, Regulamentul nu prevede amenzi minimale si nici un anumit cuantum diferentiat. Tot ce se recomanda este o anumita gradualitate a aplicarii sanctiunilor, in functie de o serie de factori:

• gravitatea faptei in sine si consecintele ei
• atitudinea operatorului fata de fapta comisa si modalitatea in care se straduieste sa reduca consecintele sau prejudiciul
• eventualele antecedente ale operatorului (incalcari in trecut ale dispozitiilor privind datelor cu caracter personal)

Sursa foto: www.pexels.com