Regulamentul General privind Protecția Datelor Personale (GDPR) - Regulamentul (UE) 2016/679 a intrat în vigoare la data de 25 mai 2017, fiind general obligatoriu tuturor companiilor care operează pe spațiul Uniunii Europene. Orice persoană juridică, indiferent de mărime cade sub incidența noului regulament GDPR. Așa cum reiese și din numele regulamentului, principalul aspect avut în vedere este protejarea datelor cu caracter personal printre care se numără: numele, adresa, CNP-ul, adresa de e-mail, numărul de telefon, data nașterii, adresa IP, orientarea politică, orientarea religioasă, etc.
Principiul fundamental al regulamentului este transparența pe care trebuie să o adopte orice procesator de date cu caracter personal și protejarea prin metode adecvate a acestor date. Un alt principiu important este acordul expres exprimat de către persoana a cărei date personale urmează să fie prelucrate, evitând astfel comunicările comerciale nesolicitate.
Amenzile pentru nerespectarea regulamentului GDPR pot ajunge până la 20 milioane de euro sau până la 4% din cifra de afaceri anuală totală, la nivel mondial, al exercițiului Financiar precedent, (alegându-se cea cu valoare mai mare)
Regulamentul General privind Protecția Datelor Personale(GDPR) introduce o serie de drepturi pentru persoanele vizate de prelucrarea datelor cu caracter personal:
- dreptul de acces la date;
- dreptul de rectificare a datelor;
- dreptul de ștergere a datelor(dreptul de a fi uitat);
- dreptul la restricționare a datelor;
- dreptul la portabilitatea datelor;
- dreptul la opoziție;
- dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrare automată, inclusiv profilare;
- dreptul de a se adresa Autoritatii Naționale pentru Supravegherea Prelucrării Datelor cu Caracter Personal și Justiției;
Ce înseamna regulamentul GDPR pentru site-ul tau?
Marea majoritate a site-urilor colectează date cu caracter personal direct prin înregistrarea/autentificarea conturilor de clienți, liste personalizate de produse, formulare de contact, etc. sau indirect prin cookie-uri pentru statistici ori analiză. În cazul din urmă, de cele mai multe ori, proprietarii site-urilor ignora faptul că prin aceste statistici se colectează date cu caracter personal. Cel mai întalnit exemplu este Google Analytics care colectează multe date de acest tip cum ar fi:locația, adresa, vârsta, genul, etc. Sistemele de analiză se pot seta astfel încat să anonimizeze datele cu caracter personal.
Principalele obligații ce revin proprietarilor de site-uri care prelucrează date cu caracter personal sunt:
- informarea în legătura cu datele de contact ale procesatorului;
- informarea în legătura cu tipul datelor cu caracter personal care sunt colectate;
- informarea în legătura cu modul de colectare a datelor cu caracter personal;
- informarea în legătura cu scopul și temeiurile preluării datelor cu caracter personal;
- informarea în legătura cu perioada pentru care sunt stocate datele cu caracter personal;
- informarea în legătura cu transmiterea către terți a datele cu caracter personal;
- informarea în legătura cu țările în care sunt stocate sau transferate date cu caracter personal;
- informarea în legătura cu protejarea datele cu caracter personal;
- informarea Vizitatorilor/Clienților în legatura cu drepturile pe care aceștia le au;
- informarea în legătura cu orice breșă de securitate care pune în pericol protecția datelor cu caracter personal;
- primirea consimțământului pentru prelucrarea datelor cu caracter personal, pentru comunicări comerciale prin e-mail/telefon/sms/etc.;
În mod concret proprietarii site-urilor trebuie să afișeze pe site Politica de Confidențialitate, Politica de Utilizare a Cookie-urilor și a Tehnologiilor Similare, și a Termenelor și Condițiilor după caz. De asemenea trebuie instalat un modul/plug-in/script/aplicație web care să ceară consimțămantul înainte de a plasa fișiere tip cookie pe terminalul vizitatorului/utilizatorului, acesta putând să își modifice opțiunea în orice moment. O altă opțiune ar trebui să fie checkbox-urile pentru acceptarea comunicărilor comerciale sau pentru acceptarea Politicii de Confidențialitate înainte de a se trimite date cu caracter personal. Vizitatorul/Utilizatorul trebuie să aibă posibilitatea să își descarce datele cu caracter personal într-un format uzual(.xls,.xlsx, .csv), să aibă posibilitatea ștergerii tuturor datelor sale cu caracter personal și portarea acestora către un terț. Recomandăm implementarea unui sistem centralizat de gestionare a datelor cu caracter personal și păstrarea unor log-uri cu acțiunile referitoare la acestea. În ceea ce privește securitatea, proprietarii site-urilor trebuie să achiziționeze și să utilizeze sisteme de protecție adecvate cum ar fi folosirea tehnologiei HTTPS cu criptare TSL 1.2 și să notifice utilizatorii/vizitatorii în cazul unor breșe de securitate.
Ce înseamnă regulamentul GDPR pentru compania ta?
Regulamentul GDPR va impune tuturor companiilor să implementeze măsuri tehnice și organizaționale pentru a se asigura că sunt îndeplinite cerințele GDPR - “confidențialitatea prin concepție”, precum și “confidențialitatea în mod implicit”. Companiile trebuie să țina seama de cerințele privind protecția datelor de la faza incipentă a oricărei noi tehnologii, a produselor sau serviciilor ce implică prelucrarea datelor cu caracter personal (în mod deliberat) și aplicarea măsurilor adecvate pentru prelucrarea datelor (confidențialitatea implicita). GDPR numește mai multe măsuri care pot ajuta companiile să atingă aceste obiective - menționând minimizarea procesării datelor cu caracter personal, criptarea sau anonimizarea datelor, transparență, permițând subiecților să monitorizeze modul în care sunt gestionate datele. Aceste măsuri trebuie, de asemenea, să fie actualizate.
Regulamentul cere organizațiilor de toate mărimile să adopte un set nou de procese și de politici menite să ofere un control sporit persoanelor fizice asupra înregistrarilor personale. O mare parte din această prevedere va implica scrierea de noi procese și manuale, pregătirea personalului și a sistemelor informatice pentru a se adapta acestor noi proceduri. Alți pași implică măsuri practice, cum ar fi folosirea criptării în cazul în care există date expuse riscului. Un laptop sau stick USB pierdut sau furat nu trebuie să conduca la o penalizare în cazul în care a fost criptat cu un produs validat. Unul dintre principiile cheie ale GDPR, după cum este prevăzut la articolul 5, este asigurarea securitații corespunzătoare a datelor cu caracter personal și, după cum se menționează în articolul 32 - denumit Securitatea prelucrarii - criptarea este o măsura tehnica adecvată pentru a realiza acest lucru. În cazul în care criptarea este utilizată ca o masură tehnică, ea trebuie să ofere posibilitatea restabilirii datelor imediat dupa incident, iar înregistrările trebuie să fie păstrate pentru a dovedi că sistemele sunt sigure și recuperabile. De asemenea regulamentul GDPR solicită întreprinderilor să notifice autoritatea competentă (și persoanele vizate, în anumite condiții) cu privire la toate breșele de date, fără întarzieri nejustificate, în termen de maxim 72 de ore, cu excepția cazului în care este puțin probabil incidentul să ducă la un risc pentru persoanele vizate.
Obiectivele care trebuie asumate de companii:
- Siguranța datelor, păstrate în cadrul organizației - posibilitatea de criptare a fișierelor, folderelor și mediilor de stocare mobile în mod standard, pentru a asigura securitatea datelor la nivel de endpoint sau server.
- Date sigure în tranzit - opțiunea de criptare completă a discurilor și a mediilor de stocare mobile, stickuri USB și suporturi optice, pentru a asigura securitatea datelor în mișcare.
- Securizarea datelelor mobile în cazul practicilor de muncă de la domiciliu - criptare portabilă la orice dispozitiv de stocare USB.
- Securizarea tranferului datelor între locații - plug-in Outlook, criptare clipboard ce este compatibilă cu toți clienții de mail, inclusiv webmail, precum și criptarea la nivel de atașament pentru orice sistem. Criptarea sistemelor media optice permite transferul în condiții de siguranță a datelor stocate pe CD sau pe DVD.
- Blocarea/limitarea accesului la anumite date - implementarea și gestionarea criptării în cazul echipelor și a grupurilor de lucru complexe
- Permiterea accesului la datele securizate atunci când este cazul - management de la distanță pentru utilizatori, printr-o conexiune la internet securizată.
- Stocarea în condiții de siguranță a datelor cu caracter personal - standarde de criptare, algoritmi și metode impuse de industrie, de încredere, aprobate și securizate.
Mai multe informații puteți găsi accesând link-urile de mai jos:
- Reforma UE privind regulile de protecție a datelor
- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului
Pentru întrebări sau oferte în legatură cu implementarea la nivel tehnic a Regulamentul General privind Protecția Datelor Personale(GDPR) vă rugăm să ne contactați folosind Formularul de Contact