Reforma în ceea ce privește protecția datelor cu caracter personal și adaptarea prevederilor pentru era digitală au început în ianuarie 2012. Cu toate că exista deja o lege Europeană care prevedea protecția datelor cu caracter personal, GDPR a venit cu un set nou de reguli și amenzi. GDPR România trebuie să fie un subiect de actualitate în toate companiile și Instituțiile Publice.

GDPR ce înseamnă

Primul lucru care ne vine în minte când auzim GDPR: ce înseamnă? Pe scurt despre GDPR: operatorii au acum obligația de a defini scopul pentru care sunt prelucrate datele cu caracter personal, obligațiile legale și să aibă o evidență clară a prelucrărilor.

Regulamentul General privind Protecția Datelor cu caracter personal pune mai mult accent pe consimțământ și pe drepturile persoanelor vizate. Astfel, persona fizică, are un control sporit a datelor sale cu caracter personal și a procesărilor acestora.

GDPR se aplică unitar, de sine stătător, tuturor statelor membre UE. În România, Autoritatea care se ocupă de aplicarea, reglementarea și controlul este ANSPDCP.

Ne întrebăm totuși cât de informații sunt cetățenii, persoanele fizice, cu privirea la noul Regulament GDPR în România și cum le sunt protejate datele.

Campaniile de informare a populației române sunt practic inexistente. Persoanele care vor sa afle mai multe despre GDPR trebuie să se documenteze singure. Fie că vorbim de operatori de date sau de persoane vizate, lipsa informării exacte a dus la greșeli în aplicare, la  amenzi, la imposibilitatea exercitării drepturilor și a încălcării securității datelor cu caracter personal.

Site-ul Autorității de Supraveghere din România ne informează că în anul 2020 au existat 398 de notificări de încălcări de securitate (Sinteza activității ANSPDCP pentru anul 2020). În România există peste 900.000 de companii active și peste 40.000 de Instituții Publice. Având în vedere că toți sunt operatori de date cu caracter personal, este greu de crezut că acesta este numărul real de breșe de securitate într-un an de zile. Mai mult decât atât, s-au efectuat mai puțin de 1000 de controale (din oficiu sau la plângere) care au rezultat în doar câteva zeci de amenzi. Prin amenzile aplicate în România, ANSPDC a stabilit niște ghiduri de bune practici. Abordarea mai multor domenii de activități (bancar, hotelier, industrial, consultanță și servicii GDPR) și diferite cerințe ale Regulamentului (informarea, minimizarea procesărilor de date cu caracter personal, supravegherea video, securitatea datelor stocate în mediul online, etc.) a oferit șansa operatorilor de a se conforma întocmai. O amendă nu este un blocaj în activitate, dimpotrivă, este un prilej de îndreptare și de consolidare în ceea ce privește protecția datelor cu caracter personal.

Răspunderea pentru implementarea lentă, conformarea greșită și lipsa sancțiunilor clare se împarte între operatori, Autoritate și persoanele vizate.

Din experiența ultimilor ani de GDPR România, putem spune cu siguranță că operatorii și implicit conducerea companiilor sau a instituțiilor publice, sunt mai preocupate de supravegherea angajaților, marketing agresiv, neasumarea răspunderii sau lipsa cafelei din birou, decât de protejarea/protecția datelor cu caracter personal.

Citește mai mult despre cele mai frecvente greșeli făcute în Implementarea GDPR.

Conformarea la GDPR în România este un proces căruia i se acordă atenție însă cu toate acestea, din ceea ce putem vedea în practică, nivelul de conformare este scăzut. Adesea vedem abuzuri, comportamente sau practici neconforme.

Datele cu caracter personal și informațiile personale sunt mai scumpe decât aurul, este o zicală pe care o auzim tot mai des în ultimii ani. Totuși, protejarea lor este un subiect de multe ori pus ultimul pe lista de priorități, sau de ce nu, este o formă de a obține venituri prin vânzarea lor.

Datele noastre cu caracter personal sunt peste tot: fotografii în mediul online, filmări cu camere de supraveghere în magazine, pe strada, din mașini. Copii ale actelor de identitate pe care le oferim fără să ne intereseze cu ce scop sunt folosite. Semnătura pe diferite documente, până și numărul de la mașină spune ceva despre noi.

A cui este responsabilitatea?

GDPR România – Responsabilitatea persoanelor fizice

Responsabilitatea ne revine, în primul rând nouă, cetățenilor români. Este responsabilitatea noastră să ne informăm, să întrebăm de fiecare dată de ce este nevoie să ne fie prelucrat CNP-ul? de ce suntem filmați în interiorul unui birou? de ce este nevoie să prezentăm cazierul judiciar?

Probabil vă întrebați de ce de fiecare dată când deschideți e-mailul aveți zeci de oferte comerciale, când d-voastră ați cumpărat online doar dintr-un singur magazin? Cel mai probabil ați bifat o căsuță unde v-ați dat consimțământul pentru prelucrare adresei de e-mail. Dar ați citit cu atenție? Ați deschis Termenele și Condițiile, Politica de Confidențialitate? Cel mai probabil nu. Cu siguranță, dacă am mări atenția de câte ori ne furnizăm datele personale, numărul incidentelor de securitate ar fi mult mai mic.

Consimțământul nostru pentru prelucrarea datelor, este renunțarea la protecția datelor cu caracter personal. Pe scurt, oferim posibilitatea celui care ne solicită acest consimțământ de a se folosi de ele, de cele mai multe ori cum dorește. Suntem de acord cu Termenele și Condițiile.

Chiar dacă Regulamentul privind protecția datelor cu caracter personal oferă persoanelor fizice drepturi sporite, nu este cazul să abuzăm de ele, sau să facem din asta o armă de răzbunare. Înainte să reclamăm un abuz sau o încălcare, trebuie să cântărim bine efectele sau prejudiciile aduse persoanei fizice, luând în calcul că în soluționarea acestora, sunt implicate atât Autoritatea cât și Operatorul. Sufocarea unei Instituții cu reclamații duce la un blocaj sau la o amânare a posibilității de a oferi ajutor sau de a se extinde ca si activitate în protejarea datelor cu caracter personal.

Află care sunt drepturile persoanelor în ceea ce privește protecția datelor cu caracter personal din articolul: GDPR – drepturile persoanei vizate.

GDPR România – Responsabilitatea operatorilor de date cu caracter personal

Operatorii au responsabilitatea ca din momentul în care au intrat în posesia datelor noastre cu caracter personal, să le protejeze și să le folosească ca un bun de mare valoare.

Din păcate, în România, operatorii de date cu caracter personal, au abuzat de poziția lor și și-au protejat mai întâi interesele proprii și pe urmă ale persoanelor fizice. Cele mai multe companii au folosit informările cu privire la prelucrarea datelor cu caracter personal pentru a interpreta după bunul plac Regulamentul, pentru a ascunde sau a masca anumite practici pe care nu doreau să le elimine. Mai mult decât atât, au obținut viciat consimțământul persoanelor fizice, invocând scopuri legale, folosind căsuțe pre-bifate, sau folosindu-se de lipsa de informare a persoanelor fizice.

În goana după conformare, companiile au început prin a cumpăra diverse kituri online care promiteau eliminarea amenzilor, înlăturarea răspunderii în cazul unei breșe, etc. Tot ce trebuia să faci era să descarci acel kit și frica de a rămâne fără celebrul ”2% din cifra de afaceri” dispărea. Din păcate, operatorii nici nu au completat numele companiei lor în cadrul acelor documente, așa că putem spune cu siguranță că nici nu le-au citit.

O altă formă de dezinteres a fost calificarea unui DPO (Responsabil cu Protecția Datelor), prin trimiterea la diverse cursuri / excursii montane, conferințe, citiri are Regulamentului în fața unui public, etc. Cei instruiți astfel, au ajuns în poziția de a fi obligați să renunțe la posturile de Responsabil cu Protecția Datelor, de a cumpără consultanță pe banii lor sau de a aplica pur și simplu după propria înțelegere Regulamentul.

Tu știi exact ce are de făcut un Responsabil cu Protecția Datelor / DPO? Avem un articol care explică foarte clar principalele aspecte de avut în vedere atunci când Responsabilul cu Protecția Datelor a preluat această funcție. Deci, pe scurt, să știe ce trebuie să facă.

Ai nevoie de DPO extern?

Ești instituție publică sau companie privată cu obligația de a avea numit un responsabil cu protecția datelor? Alege serviciul DPO externalizat, si o echipa de specialiști se va ocupa de la A la Z de tot ce înseamnă GDPR.

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

GDPR România – Responsabilitatea Autorității 

ANSPDCP este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Privat din România. De cele mai multe ori, când auzim de o Autoritate, ne speriem: controale, amenzi, penalizări, etc.

Puțini știu că ANSPDCP are și un rol pozitiv și vine în ajutorul nostru fie că suntem operatori sau persoane vizate. Autoritatea din România răspunde cu interes și în timp util oricărei solicitări de îndrumare sau consiliere. Comunicarea este facilitată de formularele de pe site-ul oficial, care sunt puse la dispoziție.

În experiența noastră profesională în implementarea GDPR, atât în probleme întâmpinate intern cât și pentru clienții noștri, am apelat cu încredere la ANSPDCP pentru sfaturi și îndrumări, de fiecare dată primind un răspuns util. De asemenea, raportarea breșelor de securitate a fost un demers facil și totodată unul menit a face dovada demersurilor care s-au luat atât pentru prevenire cât și pentru eliminarea riscurilor după producerea incidentului.

Află mai mult despre gestionarea breșelor de securitate GDPR în articolul nostru dedicat: Gestionarea breșelor de securitate GDPR.

Sfatul nostru pentru persoanele fizice, ale căror date cu caracter personal sunt procesate, este să se informeze. Să știe despre GDPR ce înseamnă, ce prevede Regulamentul, ce este protecția datelor cu caracter personal? și să își exercite drepturile ori de câte ori consideră necesar pentru protecția vieții lor private.

Preocuparea operatorilor trebuie să fie concentrată pe fondul problemei, nu pe formă. Conformarea, dacă nu își atinge scopul, acela de a asigura protecția datelor cu caracter personal, este inutilă. Acoperirea de hârtii și consimțăminte viciate, nu este de folos nimănui.

Ar fi bine venită o Campanie de informare a cetățenilor din partea ANSPDCP atât în mediul online cât și mediatic. Considerăm că operatorii au un acces mai bun la informații privind GDPR prin prisma comercializării excesive a diverselor servicii din această sferă. Informarea corectă a persoanelor fizice, ar reduce semnificativ abuzurile comise în legătură cu viața privată.

Concluzii

În concluzie, protecția datelor cu caracter personal este un fenomen emergent iar operatorii trebuie să țină pasul atât cu tehnologiile și digitalizarea cât și cu noile provocări legislative. Cu toate acestea, operatorii români deși receptivi, sunt încă puțini cei care și-au conformat activitățile la acest standard.

Astfel, dacă te numeri printre cei care doresc să cunoască pașii implementării sau doresc să își conformeze activitatea la cerințele GDPR ne poți contacta pe contact@gdprcomplet.ro pentru servicii de consultanță GDPRDPO externalizatcursuri GDPR sau software pentru conformare GDPR.