Noua lege europeana privind confidentialitatea si securitatea datelor include sute de pagini cu cerinte noi pentru organizatiile din intreaga lume, iar cei care vor participa la un curs responsabil protectia datelor, vor avea posibilitatea sa studieze cu mare atentie toate aceste pagini.

Pentru dvs. insa, cei care nu participati la un curs de responsabil protectia datelor, dar doriti sa aflati mai multe detalii, in mod evident aceasta imagine de ansamblu a GDPR va va ajuta sa intelegeti legea si sa determinati ce parti ale acesteia vi se aplica.

Regulamentul general privind protectia datelor (GDPR) este fara doar si poate, cea mai importanta lege de confidentialitate si securitate din lume. Desi a fost redactata si adoptata de Uniunea Europeana (UE), aceasta se impune organizatiilor de oriunde, atat timp cat vizeaza sau colecteaza date referitoare la persoane din UE.

Regulamentul cu privire la confidentialitatea si securitatea datelor a intrat in vigoare la data de 25 mai 2018. GDPR va amenda cu sume mari organizatiile care vor incalca standardele de confidentialitate si securitate, penalitatile ajungand la ordinul zecilor de milioane de euro.

Cu noua lege europeana privind confidentialitatea si securitatea datelor, Europa isi semnaleaza pozitia ferma in ceea ce priveste confidentialitatea si securitatea datelor, intr-un moment in care mai multe persoane incredinteaza datele lor serviciilor cloud, iar datele le sunt incalcate zilnic.

Cerintele GDPR vor fi aplicate fiecarui stat care este membru al Uniunii Europene, urmarind crearea unei protectii mai consistente a datelor cu caracter personal si a consumatorilor in toate tarile UE. Unele dintre principalele cerinte privind confidentialitatea si protectia datelor GDPR includ:

Acordul subiectilor pentru prelucrarea datelor.

Furnizarea de notificari privind incalcarea datelor.

Anonimizarea datelor colectate pentru a proteja confidentialitatea.

Manevrarea in conditii de siguranta a transferului de date peste granite.

Solicitarea anumitor companii sa stabileasca un agent care sa se ocupe de protectia datelor pentru a supraveghea conformitatea GDPR.

Mai simplu spus, GDPR are un set de standarde de referinta pentru companiile care gestioneaza datele cetatenilor UE pentru a proteja mai bine procesarea si circulatia datelor cu caracter personal ale cetatenilor.

Cine trebuie sa se supuna conformitatii GDPR?

Scopul GDPR este de a impune o lege uniforma de securitate a datelor tuturor membrilor UE, astfel incat fiecare stat membru sa nu mai fie nevoit sa scrie propriile sale legi pentru protectia datelor.

In afara de membrii UE, este important de retinut ca orice companie care comercializeaza bunuri sau servicii catre rezidentii UE, indiferent de locatia sa, este supusa regulamentului. Acest lucru inseamna automat ca, GDPR va avea un impact semnificativ asupra cerintelor de protectie a datelor la nivel global.

CERINTE ALE REGULAMENTULUI GENERAL PRIVIND PROTECTIA DATELOR DIN 2018

GDPR in sine contine 11 capitole si 91 de articole. Urmatoarele sunt cateva dintre capitolele si articolele care au cel mai mare impact potential asupra operatiunilor de securitate:

Articolele 17 si 18 – Articolele 17 si 18 din GDPR ofera persoanelor vizate un control mai mare asupra datelor cu caracter personal care sunt prelucrate automat.

Rezultatul este ca persoanele vizate isi pot transfera mai usor datele personale intre furnizorii de servicii (numit si „dreptul la portabilitate”) si pot dirija un operator sa le stearga datele personale in anumite circumstante (denumit si „dreptul la stergere”).

Articolele 23 si 30

Articolele 23 si 30 impun companiilor sa implementeze masuri rezonabile de protectie a datelor pentru a proteja datele personale si confidentialitatea consumatorilor impotriva pierderilor sau expunerii.

Articolele 31 si 32

Notificarile in ceea ce priveste incalcarea datelor joaca un rol important in textul GDPR. Articolul 31 specifica cerintele pentru incalcarile unice ale datelor: controlorii trebuie sa notifice autoritatilor de supraveghere (SA) despre o incalcare a datelor cu caracter personal in termen de 72 de ore de la aflarea incalcarii si trebuie sa furnizeze detalii specifice ale incalcarii, precum natura acesteia si numarul aproximativ de persoanele vizate afectate.

Articolul 32 impune operatorilor de date sa notifice persoanele vizate cat mai repede posibil despre incalcari atunci cand incalcarile isi plaseaza drepturile si libertatile cu un risc ridicat.

Articolele 33 si 33a

Articolele 33 si 33a impun companiilor sa efectueze evaluari de impact privind protectia datelor pentru a identifica riscurile pentru datele consumatorilor si recenziile privind respectarea protectiei datelor pentru a se asigura ca aceste riscuri sunt abordate.

Articolul 35

Articolul 35 prevede ca anumite companii sa numeasca ofiteri de protectie a datelor. Concret, orice companie care prelucreaza date care dezvaluie datele genetice ale unui subiect, sanatatea, originea rasiala sau etnica, credintele religioase etc., trebuie sa desemneze un responsabil pentru protectia datelor; acesti ofiteri trebuie sa sfatuiasca companiile referitor la respectarea regulamentului, si actioneaza ca un punct de contact cu SA.

Unele companii pot fi supuse acestui aspect al GDPR pur si simplu pentru ca colecteaza informatii personale despre angajatii lor ca parte a proceselor de resurse umane.

Articolele 36 si 37

Articolele 36 si 37 contureaza pozitia responsabilului cu protectia datelor si responsabilitatile sale in asigurarea respectarii GDPR, precum si raportarea catre autoritatile de supraveghere si persoanele vizate.

Articolul 45

Articolul 45 extinde cerintele de protectie a datelor companiilor internationale care colecteaza sau prelucreaza datele cu caracter personal ale cetatenilor UE, supunandu-le acelorasi cerinte si sanctiuni ca si companiile din UE.

Articolul 79

Articolul 79 prezinta sanctiunile pentru nerespectarea GDPR, care poate fi de pana la 4% din veniturile anuale globale ale companiei care incalca in functie de natura incalcarii.