Regulamentul GDPR (General Data Protection Regulation), pentru protecția și transparența datelor, a fost adoptat de Parlamentul European și Consiliul European în luna aprilie a lui 2016, a intrat în vigoare pe 24 mai 2016, iar termenul limită pentru aderarea firmelor la acest regulament este 25 mai 2018.

Înscrie-te la cursurile intensive de GDPR organizate pe 9, 14 sau 22 mai. În 8 ore înveți să fii în ordine!

Amenzile anunțate pentru firmele care nu aderă la această nouă legislație pot ajunge până la 20 milioane de euro sau 4% din cifra de afaceri.

Din perspectiva business-urilor care își desfășoară activitatea și în mediul online, noul regulament va avea impact asupra tipului de date personale colectate despre utilizator și a modului în care utilizatorul își oferă acordul pentru colectarea acestor date.

Regulamentul GDPR - redefinirea tipurilor de date colectate de site-urile online

GDPR lărgește spectrul de date incluse sub sigla ”personale”, fiind din această perspectivă cea mai strictă reglementare europeană de până acum.

Noua lege definește datele personale ca incluzând orice fel de informație despre o persoană fizică care poate duce, direct sau indirect, la identificarea acestei persoane. În această categorie sunt incluse numele, numerele de identificare, date despre locație dar și orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.

Spre deosebire de vechile reglementări în vigoare - Directiva 95/46/EC care va fi înlocuită de GDPR – informațiile despre locație sau identificatorii online vor fi de anul viitor considerate date personale. GDPR punctează asupra faptului cum identificatorii online oferiți de device-uri, de aplicații sau de protocoale, markeri de tipul adrese internet protocol, chiar și cookies sau tag-uri de radio frecvență, vor intra sub incidența noii legi.

GDPR – abordare nouă a conceptului de acord

În ceea ce privește modul în care un utilizator online își dă acordul pentru colectarea acestor date, GDPR include reglementări noi despre cum este definit acordul. Începând cu mai 2018, legislația europeană va defini acordul ca fiind o acțiune afirmativă și informată realizată de către utilizator, oferită liber, într-un context specific și lipsit de ambiguități. Implicațiile aici vin din mențiunea ”acțiune afirmativă”, detaliu nou introdus în lege care elimină astfel tipurile de consimțământ de tip ”Acord implicit”.

Potrivit reprezentanților portalului LegalUp, regulamentul GDPR aduce șase temeiuri legale în baza cărora datele cu caracter personal pot fi prelucrate în mod legal: consimțământul; încheierea sau executarea unui contract; îndeplinirea unei obligații legale a operatorului; protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice; îndeplinirea unei sarcini aferente unui interes public; în scopul interesului legitim al operatorului sau al unei terțe.

”Important de menționat este faptul că cele șase temeiuri legale se află, potrivit regulamentului, pe poziție de egalitate. Obținerea unui consimțământ valabil potrivit GDPR nu este o sarcină ușoară, de aceea recomandarea noastră este să vă orientați către alte temeiuri legale, urmând să apelați la consimțământ ca ultimă variantă”, spun avocații LegalUp.

Cât de pregătite sunt companiile

Orice firmă cu prezență în mediul online va fi afectată de acest regulament. Cu mai puțin de patru luni înainte de intrarea în vigoare, pe 25 mai 2018, a noului Regulament General de Protecție a Datelor (GDPR), un studiu realizat de EY în rândul a 745 de factori de decizie din 19 țări arată faptul că doar 33% dintre respondenți declară că au în derulare un plan de aliniere la legislația UE.

Totodată, 78% dintre respondenții aceluiași studiu spun că sunt tot mai îngrijorați de capacitatea lor de a implementa normele impuse de reglementările privind protecția datelor personale și respectarea confidențialității acestora.

În ceea ce privește startup-urile, Mailjet, o companie din Franța care oferă servicii de email, a făcut un studiu în rândul firmelor din întreaga lume și a ajuns la concluzia că două treimi nu respectă acest regulament.

4.000 de companii au participat la studiu și se arată că 91% din companii strâng date de la utilizatori. Raportul spune că “multe startup-uri sunt complet nepregătite pentru GDPR și au probleme de consimțământ și planificare”. Printre problemele pe care le au startup-urile atunci când colectează date se numără faptul că aproape jumătate dintre ele nu cer acordul utilizatorilor pentru colectarea datelor iar 29% dintre ele nu criptează datele.

Poți citi aici despre Sypher, un startup românesc care ajută companiile să respecte regulamentul GDPR.

Cum să-ți pregătești site-ul în concordanță cu regulamentul GDPR

Experții în legislație recomandă o pregătire timpurie a business-urilor online pentru noile reglementări europene, trăgând un semnal de alarmă că procesul de tranziție va fi lung și, în multe cazuri, complex. Aceștia recomandă realizarea unui audit de date în cadrul fiecărei companii, audit care să includă următoarele etape:

  • Listarea modurilor în care informațiile despre utilizatori sunt folosite în prezent. Cum sunt procesate aceste date odată ce au fost stocate? În vederea informărilor pe care le vei face de la anul clienților tăi este important să știi din timp procesul căruia sunt supuse aceste date.
  • Clarificarea acordului: ce tip de acord a fost oferit până în prezent. Noua legislație va permite revocarea acordului oferit în trecut. Fiecare business trebuie așadar să cunoască cum a fost obțin acordul în trecut și dacă a fost ulterior revocat în timp.
  • Inventarierea tuturor tipurilor de informație despre utilizatori stocate de business. Cu cât organizația este mai mare, cu atât crește dificultatea în găsirea tutoror acelor date colectate, date care vin din sisteme și de pe canele diferite și sunt stocate în varii medii.
  • Asigurarea securității datelor colectate. GDPR punctează importanța securității și criptării datelor în toate etapele de tranzacționare, nu doar cea de colectare.

Regulament GDPR – ghid de implementare

Discuția legată de implementarea regulamentului GDPR este destul de vastă și nu poate fi rezumată în doar câteva rânduri. Dacă încă nu știți de unde să începeți pentru a implementa acest regulament în business-ul vostru online și ca să evitați amenzile care vor veni după data de 25 mai 2018, aveți mai jos un ghid de implementare care conține noțiuni esențiale despre GDPR dar și sfaturi practice.

Ghid de Implementare GDPR by Oana Cosman on Scribd

---

Poți să implementezi și singur regulamentul GDPR. Ai nevoie însă de o serie de acte și documente standard pe care să le poți folosi. Din acest motiv, start-up.ro, Avocatoo, LegalUp și wall-street.ro au lansat Kitul de Implementare GDPR. INTRĂ AICI ȘI COMANDĂ KITUL DE IMPLEMENTARE GDPR.

Indiferent de domeniul de activitate sau de volumul de date, GDPR se aplică oricărei afaceri care prelucrează date personale. Te-ai săturat de consultanți care cer sume fabuloase pentru implementare? Fă-o singur! INTRĂ AICI ȘI COMANDĂ KITUL DE IMPLEMENTARE GDPR.

---