Un an de GDPR - Importanța și securitatea datelor cu caracter personal au trecut la un alt nivel

 Pe 26 mai 2019 se împlinește un an de la intrarea în vigoare a Regulamentului general privind protecția datelor cu caracter personal (GDPR), și, cu toate acestea, sunt multe situații în care importanța aplicării acestui instrument nu este pe deplin conștientizată. Riscurile tratării cu ușurință a GDPR, ori neaplicarea conformă a acestuia, sunt uriașe și pot duce la amenzi de până la 20 de milioane de euro, sau 4% din cifra de afaceri înregistrată în ultimul an.

DPO PCA &IC Consulting a organizat la Baia Mare o conferință, ”Impactul GDPR – Suntem cu adevărat pregătiți?”, pe tema importanței și impactului pe care noul Regulament  general de protecție a datelor (GDPR) îl are asupra mediului de afaceri, dar și asupra fiecăruia dintre noi. În fața unei numeroase asistențe, formată din oameni de afaceri și reprezentanți ai administrației publice locale și județene, specialiștii în domeniul protecției datelor cu caracter personal de la IC Consulting Cluj și ai Cabinetului de Avocatură Păun Ciprian au ținut să precizeze cât de importante au devenit acestea în prezent,  despre impactul pe care GDPR îl are asupra organizațiilor, dar și despre pașii de urmat pentru conformarea cu noul Regulament și, implicit, evitarea sancțiunilor uriașe care se acordă în cazul în care nu se respectă prelucrarea datelor personale.

Temele abordate în cadrul conferinței ”Impactul GDPR – Suntem cu adevărat pregătiți?” au fost diverse și au cuprins noțiuni generale privind noile reglementări în domeniul protecției datelor cu caracter personal, precum și modalitățile de implementare a acestora în diverse domenii de activitate, precum cel de afaceri, sistemul medical sau Horeca, și, nu în ultimul rând, a fost subliniată importanța și necesitatea desemnării unui Responsabil cu protecția datelor (DPO) în organizațiile unde acest lucru este necesar.

”Importanța și securitatea datelor cu caracter personal au trecut la un alt nivel. Noul regulament al Uniunii Europene stabilește un echilibru între drepturile persoanelor fizice la intimitate și modul cum vor funcționa procedurile interne ale companiilor. Constatăm că încă nu suntem cu adevărat pregătiți pentru aplicarea noilor reglementări în ce privește protecția datelor cu caracter personal. Sunt încă multe întrebări la care se așteaptă răspunsuri. Acesta a fost și motivul pentru care DPO PCA &IC Consulting a decis să lanseze aceste conferințe la nivel național. Am decis să pornim de la Baia Mare cu această inițiativă, având în vedere dezvoltarea pe care a avut-o în ultimă perioadă această zonă.”, a declarat  Camelia Lung, manager general IC Consulting Cluj.

”La un an de la intrarea în vigoare, marea majoritate a agenților economici sau ai instituțiilor publice din România nu s-au conformat încă cu noile reglementări. Din fericire, Autoritatea Națională pentru Supravegherea Datelor cu Caracter Personal nu a început să dea amenzi, așa cum s-a întâmpklat de exemplu în Franța, unde compania Google a fost amendată cu 50 de milioane de euro pentru încălcarea normelor privind prelucrarea datelor personale. Cu siguranță, foarte multe companii din România nu și-au pus încă la punct procedurile de implementare a GDPR, însă de acum a devenit esențial acest lucru. Conștientizarea și responsabilitatea sunt puncte cheie în implementarea GDPR și consider că acest eveniment a fost un real success datorită interesului și proactivității participanților.  ” a declarat Ciprian Păun, avocat în cadrul casei de avocatură PCA Law.

Operatorii de date şi persoanele împuternicite de aceștia au obligaţia de a pune în aplicare măsuri tehnice şi organizatorice pentru a asigura un nivel de securitate adecvat riscului care decurge din prelucrarea datelor cu caracter personal pentru drepturile şi libertăţile persoanelor fizice și de a efectua evaluări periodice ale impactului în ceea ce priveşte protecţia datelor.

În ce privește sectorul public, GDPR are reglementări stricte în privința utilizării și folosirii datelor cu caracter personal. Instituțiile publice trebuie să se asigure că acestea sunt prelucrate într-un mod care asigură securitatea lor, inclusiv protecția împotriva folosirii neautorizate sau ilegale, dar și împotriva pierderii, distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

De altfel, în cazul instituțiilor publice, Regulamentul 679/2016 prevede obligativitatea desemnării unui Responsabil cu protecția datelor (DPO).  Apreciem că acesta este foarte util nu doar în sectorul public, ci în toate categoriile de operatori cu caracter personal, având în vedere și sarcinile stabilite pentru DPO chiar prin Regulamentul general privind protecția datelor cu caracter personal (GDPR).

DPO informează și consiliază operatorul/instituția, dar și angajații acestora care prelucrează datele cu caracter personal asupra obligațiilor cele revin în temeiul GDPR dar și a altor reglementări interne în protecția datelor cu caracter personal.

De asemenea, DPO asigură consilierea cu privire la evaluarea impactului asupra protecției datelor cu caracter personal și urmărește implementarea unor măsuri tehnice și organizatorice de asigurare a securității și prelucrării datelor cu caracter personal.

O atenție deosebită trebuie acordată aplicării GDPR în domeniul medical. Sănătatea este un domeniu extrem de delicat și, totodată, destul de vulnerabil în ce privește siguranța datelor personale.

”Sănătatea este unul dintre domeniile în care GDPR este a devenit esențial, deoarece prelucrăm date cu caracter sensibil și aici există o sarcină suplimentară pentru a menține "datele privind sănătatea", "datele genetice" și "datele biometrice" ale pacienților la un nivel mai ridicat de protecție decât datele cu caracter personal clasice. ”, a precizat Diana Feldrihan, avocat în cadrul casei de avocatură PCA Law.

Un alt domeniu în care aplicarea Regulamentului produce efecte majore este HORECA, și asta pentru că se aplică fiecărui departament în parte. În HORECA, toate datele clienţilor sunt considerate date cu caracter personal şi intră sub incidenţa unor prevederi speciale: numele clienţilor, adresele de e-mail, aderesele de domiciliu, datele cărţilor de identitate, informaţiile despre convingerile lor politice, religioase sau despre starea lor de sănătate, înregistrări video, CV-uri din cadrul procesului de recrutare, datele angajaţilor şi fişele medicale ale acestora, datele de înregistrare ale turiştilor, istoricul şi comportamentul de consum în cadrul programelor de fidelizare.

Conformarea sau neconformarea cu GDPR reprezintă o condiție impusă de către partenerii de afaceri pentru a continua sau iniția noi raporturi comerciale/contractuale, nemaifiind permis/posibil transferul de responsabilitate între compania care controlează datele personale și compania care procesează datele personale pentru cea dintâi, cu alte cuvinte ambele vor răspunde în nume propriu.

                                                                                             S.M.