Reforma protecției datelor cu caracter personal și adaptarea prevederilor pentru era digitală au început în ianuarie 2012. Cu toate că exista deja o lege Europeană care prevedea protecția datelor, GDPR a venit cu un set nou de reguli și amenzi. GDPR România trebuie să fie un subiect de actualitate în toate companiile și Instituțiile Publice.

Operatorii au acum obligația de a defini scopul pentru care sunt prelucrate datele cu caracter personal, obligațiile legale și să aibă o evidență clară a prelucrărilor.

Regulamentul General privind Protecția Datelor pune mai mult accent pe consimțământ și pe drepturile persoanelor vizate. Astfel, persona fizică, are un control sporit a datelor sale cu caracter personal și a procesărilor acestora.

GDPR se aplică unitar, de sine stătător, tuturor statelor membre UE. În România, Autoritatea care se ocupă de aplicarea, reglementarea și controlul este ANSPDCP.

Ne întrebăm totuși cât de informații sunt cetățenii, persoanele fizice, cu privirea la noul Regulament și cum le sunt protejate datele.

Campaniile de informare a populației române sunt practic inexistente. Persoanele care vor sa afle mai multe despre GDPR trebuie să se documenteze singure. Fie că vorbim de operatori de date sau de persoane vizate, lipsa informării exacte a dus la greșeli în aplicare, la  amenzi, la imposibilitatea exercitării drepturilor și a încălcării securității datelor cu caracter personal.

Site-ul Autorității de Supraveghere din România ne informează că au existat 398 de notificări de încălcări de securitate. În România există peste 900.000 de companii active și peste 40.000 de Instituții Publice. Având în vedere că toți sunt operatori de date cu caracter personal, este greu de crezut că acesta este numărul real de breșe de securitate într-un an de zile. Mai mult decât atât, s-au efectuat mai puțin de 1000 de controale (din oficiu sau la plângere) care au rezultat în doar 7 amenzi. ANSPDC, prin amenzile aplicate în România, a stabilit niște ghiduri de bune practici. Abordarea mai multor domenii de activități (bancar, hotelier, industrial, consultanță și servicii GDPR) și diferite cerințe ale Regulamentului (informarea, minimizarea procesărilor de date cu caracter personal, supravegherea video, securitatea datelor stocate in mediul online, etc.) a oferit șansa operatorilor de a se conforma întocmai. O amendă nu este un blocaj în activitate, dimpotrivă, este un prilej de îndreptare și de consolidare a protecției datelor cu caracter personal.

Răspunderea pentru implementarea lentă, conformarea greșită și lipsa sancțiunilor clare se împarte între operatori, Autoritate și persoanele vizate.

Din experiența ultimului an de GDPR România, putem spune cu siguranță că operatorii și implicit conducerea companiilor sau a instituțiilor publice, sunt mai preocupate de supravegherea angajaților, marketing agresiv, neasumarea răspunderii sau lipsa cafelei din birou, decât protejarea datelor cu caracter personal. Aici poți găsi cele mai frecvente greșeli făcute în Implementarea GDPR.

Conformarea la GDPR în România este de sub 15%.

Conform ultimelor statistici, datele cu caracter personal și informațiile personale sunt mai scumpe decât aurul. Totuși protejarea lor este un subiect de multe ori pus ultimul pe lista de priorități, sau de ce nu, este o formă de a obține venituri prin vânzarea lor.

Datele noastre cu caracter personal sunt peste tot: fotografii în mediul online, filmări cu camere de supraveghere în magazine, pe strada, din mașini. Copii ale actelor de identitate pe care le oferim fără să ne intereseze cu ce scop sunt folosite. Semnătura pe diferite documente, până și numărul de la mașină spune ceva despre noi.

A cui este responsabilitatea?

GDPR România – Responsabilitatea persoanelor fizice

Responsabilitatea ne reveni, în primul rând nouă, cetățenilor români. Este responsabilitatea noastră să ne informăm, să întrebăm de fiecare dată de ce este nevoie să ne fie prelucrat CNP-ul? de ce suntem filmați în interiorul unui birou? de ce este nevoie să prezentăm cazierul judiciar?

Probabil vă întrebați de ce de fiecare dată când deschideți e-mailul aveți zeci de oferte comerciale, când d-voastră ați cumpărat online doar dintr-un singur magazin? Cel mai probabil ați bifat o căsuță unde v-ați dat consimțământul pentru prelucrare adresei de e-mail. Dar ați citit cu atenție? Ați deschis Termenele și Condițiile, Politica de Confidențialitate? Cel mai probabil nu. Cu siguranță, dacă am mări atenția de câte ori ne furnizăm datele personale, numărul incidentelor de securitate ar fi mult mai mic.

Consimțământul nostru pentru prelucrarea datelor, este renunțarea la protecția datelor cu caracter personal. Pe scurt, oferim posibilitatea celui care ne solicită acest consimțământ de a se folosi de ele, de cele mai multe ori cum dorește. Suntem de acord cu Termenele și Condițiile.

Chiar dacă Regulamentul, oferă persoanelor fizice drepturi sporite, nu este cazul să abuzăm de ele, sau să facem din asta o armă de răzbunare. Înainte să reclamăm un abuz sau o încălcare, trebuie să cântărim bine efectele sau prejudiciile aduse persoanei fizice, luând în calcul că în soluționarea acestora, sunt implicate atât Autoritatea cât și Operatorul. Sufocarea unei Instituții cu reclamații duce la un blocaj sau la o amânare a posibilității de a oferi ajutor sau de a se extinde ca si activitate în protejarea datelor cu caracter personal.

GDPR România – Responsabilitatea operatorilor de date cu caracter personal

Operatorii au responsabilitatea, ca din momentul în care au intrat în posesia datelor noastre cu caracter personal, să le protejeze și să le folosească ca un bun de mare valoare.

Din păcate, în România, operatorii de date cu caracter personal, au abuzat de poziția lor și și-au protejat mai întâi interesele proprii și pe urmă ale persoanelor fizice. Cele mai multe companii, au folosit informările cu privire la prelucrarea datelor cu caracter personal pentru a interpreta după bunul plac Regulamentul, pentru a ascunde sau a masca anumite practici pe care nu doreau să le elimine. Mai mult decât atât, au obținut viciat consimțământul persoanelor fizice, invocând scopuri legale, folosind căsuțe pre-bifate, sau folosindu-se de lipsa de informare a persoanelor fizice.

În goana după conformare, companiile au început prin a cumpăra diverse kituri online care promiteau eliminarea amenzilor, înlăturarea răspunderii în cazul unei breșe, etc. Tot ce trebuia să faci era să descarci acel kit și frica de a rămâne fără celebrul ”2% din cifra de afaceri” dispărea. Din păcate, operatorii nici nu au completat numele companiei lor în cadrul acelor documente, așa că putem spune cu siguranță că nici nu le-au citit.

O altă formă de dezinteres a fost calificarea unui DPO, prin trimiterea la diverse cursuri / excursii montane, conferințe, citiri are Regulamentului în fața unui public, etc. Cei instruiți astfel, au ajuns în poziția de a fi obligați să renunțe la posturile de Responsabil cu Protecția Datelor, de a cumpără consultanță pe bani lor sau de a aplica pur și simplu după propria înțelegerea GDPR.

GDPR România – Responsabilitatea Autorității Naționale de Supravegherea a Prelucrării Datelor cu Caracter Privat din România

De cele mai multe ori, când auzim de o Autoritate, ne speriem: controale, amenzi, penalizări, etc.

Puțini știu că ANSPDCP are și un rol pozitiv și vine în ajutorul nostru fie că suntem operatori sau persoane vizate.

Chiar dacă, probabil din motive întemeiate, nu a oferit încă suficiente linii directoare, ghiduri, îndrumări, bune practici, Autoritatea din România răspunde cu interes și în timp util oricărei solicitări de îndrumare sau consiliere. Comunicarea este facilitată de formularele de pe site-ul oficial, care sunt puse la dispoziție.

În experiența noastră profesională în implementarea GDPR, atât în probleme întâmpinate intern cât și clienții noștri, am apelat cu încredere la ANSPDCP pentru sfaturi și îndrumări, de fiecare dată primind un răspuns util. De asemenea, raportarea breșelor de securitate a fost un demers facil și tot odată unul menit a face dovada demersurilor care s-au luat atât pentru prevenire cât și pentru eliminarea riscurilor după producerea incidentului.

Sfatul nostru pentru persoanele fizice, ale căror date cu caracter personal sunt procesate, este să se informeze. Să știe ce înseamnă GDPR?  Ce prevede Regulamentul? Ce este protecția datelor cu caracter personal?; și să își exercite drepturile ori de câte ori consideră necesar pentru protecția vieții lor private.

Preocuparea operatorilor trebuie să fie concentrată pe fondul problemei, nu pe formă. Conformarea, dacă nu își atinge scopul, acela de a proteja datele cu caracter personal, este inutilă. Acoperirea de hârtii și consimțăminte viciate, nu este de folos nimănui.

Ar fi bine venită o Campanie de informare a cetățenilor din partea ANSPDCP atât în mediul online cât și mediatic. Considerăm că operatorii au un acces mai bun la informații privind GDPR prin prisma comercializării excesive a diverselor servicii din această sferă. Informarea corectă a persoanelor fizice, ar reduce semnificativ abuzurile comise în legătură cu viața privată.