Ce este GDPR

GDPR inseamna General Data Protection Regulation (in romana: Regulamentul General de Protectie a Datelor – RGPR). Acest regulament a fost adoptat in anul 2016 prin directiva UE si are ca scop organizarea si eficientizarea protectiei datelor sensibile intr-un mod unitar, la nivel european, mult mai riguros decat o faceau pana acum regulamentele de protectie a datelor adoptate la nivel national.

Regulamentul va avea directa aplicabilitate in toata Europa incepand cu 25.05.2018. Pana la aceasta data, toti operatorii/procesatorii/transportatorii/colectorii de date vor trebui sa se alinieze masurilor impuse.

Organismul de control si monitorizare al conformitatii cu GDPR este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP).

Ce reglementeaza

Regulamentul GDPR stabileste un set de principii si reguli care odata implementate vor putea da o imagine detaliata a traseului informatiilor si scopurilor in care acestea sunt colectate si prelucrate. Astfel, prin GDPR sunt definite categoriile de persoane vizate, diversele tipuri de date si importanta acestora, scopurile in care care datele sunt procesate, precum si diversele tipuri de procese ce implica aceste date.

Toti acesti factori combinati dau nastere unui proces macro, care are ca scop controlul strict al circulatiei datelor, astfel incat sa se minimizeze posibilele incidente, cum ar fi: pierderi de date, scurgeri de date, accesul persoanelor neautorizate, diseminarea unor informatii in zone in care acestea nu sunt necesare etc.

Totodata, sunt clarificate si completate drepturile si obligatiile persoanelor ale caror date sunt procesate.

Pe scurt, prin implementarea acestui regulament informatiile cu caracter personal vor fi mult mai bine protejate si corect directionate.

Ce presupune

In cele ce urmeaza vom detalia si explica ce presupune implementarea regulamentului GDPR.

De la inceput trebuie sa clarificam faptul ca aceste reglementari nu se refera doar la sistemele informatice, ci vizeaza absolut toate datele si fluxurile de date stabilite, indiferent de format (tiparite, excel, baze de date etc.) sau de scopul procesarii.

Regulamentului GDPR stabileste o noua viziune asupra datelor cu caracter personal si anume:  persoana vizata este proprietarul datelor sale personale si orice operator care le prelucreaza este de fapt un custode al acestor date.

Daca prelucrarea datelor se face in alta parte (ex.cloud), cel ce face prelucrarea este imputernicit (procesator) al operatorului. Raspunderea privind protectia datelor este a operatorului chiar daca prelucrarile sunt efectualte de catre imputernicit.  Amenzile prevazute pentru nerespectarea acestui Regulament pot fi enorme.

Din acesta viziune rezulta drepturile personei vizate si obligatiile operatorului de date .

Pentru a putea prelucra  datele cu caracter personal operatorul trebuie sa aiba consimtamantul persoanei vizate. Acest consimtamant nu este necesar in anumite situatii reglementate legislativ sau pentru executatrea unor contracte daca datele retinute sunt minimale.

Persona vizata are dreptul de acces (cum / unde / de ce sunt prelucrate), dreptul de a corecta datele, dreptul de a-si retrage acordul,  dreptul de a fi uitat (stergerea tuturor datelor), dreptul la portabilitatea datelor (transferul datelor intr-o forma structurata care sa permita preluarea automata de catre alt operator).

Operatorul trebuie sa asigure masuri de securitate a informatiilor care sa nu permita pierderi de date sau accesul persoanelor neautorizate la acestea.

Primul pas presupune stabilirea unui DPO (data protection officer) pentru organizatiile care au peste 250 de angajati. Acest ofiter de protectie a datelor are rolul sa implementeze politici de securitate si sa supravhegheze fluxurile si scopurile stabilite. Toate aceste informatii vor face obiectul unui Registru al operatiunilor de prelucrare a datelor pe care orice institutie va trebui sa il intocmeasca si sa il revizuiasca periodic.

Responsabilul de protectia datelor are o serie de sarcini:

– de a informa si consilia operatorul/persoana imputernicita de operator, precum si angajatii care se ocupa de prelucrari de date;

– de a monitoriza respectarea GDPR, a altor dispozitii de drept al UE sau nationale referitoare la protectia datelor;

– de a consilia operatorul in realizarea unei evaluari de impact asupra protectiei datelor si de a monitoriza executarea acesteia;

– de a coopera cu Autoritatea de Supraveghere si de a reprezenta punctul de contact cu aceasta.

Datele responsabilului trebuie comunicate catre ANSPDCP pana in 25 mai – nume, telefon, email.

Trebuie publicat pe site-ul web cel putin un email si numar de telefon pentru preluarea cererilor clientilor.

Al doilea pas este analiza fluxurilor de date din cadrul institutiei.  Este un pas esential care va trebui dus la bun sfarsit in fiecare institutie!

In urma acestei analize se formeaza un document in care se descriu vulnerabilitatile si pasii de urmat pentru a le corecta, precum si actiunile care vor trebui intreprinse pentru a reglementa protectia datelor.

Toate aceste informatii vor fi clasificate in categorii de date, categorii de persoane, fluxuri si scopuri si vor fi pastrate in Registrul operatiunilor de prelucrare.

Al treilea pas va fi corectarea fluxurilor si reglementarea lor la nivelul institutiei. Acest pas presupune securizarea transferurilor de informatii intre departamente, modificarea aplicatiilor software in conformitate si restrictionarea accesului la date pentru persoanele neavizate.

Dupa acesti pasi, se va incepe colectarea consimtamintelor pacientilor in functie de scopurile prelucrarii datelor. Acestea vor fi stocate, constituind elemente martor pentru acordul pacientilor.

Din acest moment ofiterul de protectie a datelor se poate ocupa de monitorizarea permanenta a fluxurilor declarate in registrul de scopuri si a abaterilor de la acestea. Acesta va fi un proces continuu si va garanta siguranta si probitatea insititutiei din punct de vedere al protectiei datelor.

Termene de raspuns

Este necesara asigurarea mijloacelor prin care sa se poata raspunde solicitarilor venite din partea persoanelor carara li se prelucreaza date cu caracter personal in conformitatea cu drepturile acestora.

Operatorul are obligatia de a raspunde oricarei solicitari primite in termen de 30 de zile de la data primirii solicitarii. Acest termen se poate prelungi cu inca 2 luni in cazul in care exista justificari. (de exemplu: primirea unui volum mare de solicitari simultan).

Raspunsul poate fi facut in scris sau electronic. Raspunsul verbal poate fi luat in considerare doar daca poate fi dovedit (de exemplu: inregistrari convorbiri telefonice).

In cazul aparitiei unei brese de securitate operatorul este obligat da instiinteze Autoritatea de Supraveghere in termen de 72 de ore de la data constatarii respectivei brese de Securitate.

Vor fi pregatite o serie de proceduri interne si formulare legate de modul de raportare al posibilelor brese de securitate care ar putea interveni.

Amenzi

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal va monitoriza periodic conformitatea cu normele din regulament, activitatea acesteia fiind coordonata la nivelul UE. Neconformitatile GDPR se vor sanctiona prin avertisment, sanctiune, suspendarea prelucrarilor si apoi vor fi urmate de amenda administrativa.

Cuantumul amnezilor poate fi de pana la 20.000.000 EUR, sau pana la 4 % din cifra de afaceri mondiala totala anuala a organizatiei (grupului) din care face parte firma, luandu-se in calcul cea mai mare valoare.