• Home
• Revista
• Linkuri Utile
• Contact

Revista si suplimente
MarketWatch

• 
  Mai 2024 [Nr. 264]
• 
  Market Watch - Editie Speciala Decembrie, 2023
• 
  Market Watch - Editie Speciala Noiembrie, 2023
• 
  Market Watch Octombrie, 2023
• 
  Market Watch Septembrie, 2023
• 
  Market Watch Iulie - August, 2023
• 
  Market Watch - Editie Speciala - Martie, 2023
• 
  Market Watch Ianuarie-Februarie, 2023
• 
  Market Watch Decembrie, 2022
• 
  Market Watch Noiembrie, 2022
• 
  Market Watch Octombrie, 2022
• 
  Market Watch Septembrie, 2022
• 
  Market Watch Iulie - August, 2022
• 
  Market Watch Iunie, 2022
• 
  Market Watch - Editie Speciala - Mai, 2022
• 
  Market Watch Aprilie, 2022
• 
  Market Watch - Editie Speciala - Martie, 2022
• 
  Market Watch Ianuarie-Februarie, 2022
• 
  Market Watch Decembrie, 2021
• 
  Market Watch Noiembrie, 2021
• 
  Market Watch Octombrie, 2021

Market Watch,
Mai 2024 [Nr. 264]

• Sumarul Articolelor
• Arhiva Revistei
• Abonamente

MW Top Story
Participarea INCAS în calitate de coordonator al Consorțiului RoRCraft la Prezentarea Oficială a Demonstratorului European RACER

...

Principalii pași pentru alinierea la GDPR

Datele cu caracter personal sunt apreciate drept cea mai valoroasă resursă din lume şi, pe cale de consecinţă, valoarea acestora le face vulnerabile la furt sau abuz. Importanţa acestor noi reglementări este conştientizată în ziua de azi, mai mult ca oricând, după declanşarea scandalului Cambridge Analytica şi Facebook, care vine ca un exemplu de încălcare gravă a respectării protecţiei datelor personale.

Poate că GDPR provoacă la început îngrijorări companiilor şi organizaţiilor vizate, dar există şi o parte bună a acestor măsuri: oportunităţile. Firmele care vor aprecia viaţa privată a individului, transparența în utilizarea datelor, metode noi îmbunătăţite de protecţie a datelor pe tot ciclul de viaţă al acestora, vor determina creşterea încrederii clientului şi fidelizarea acestuia.
Într-un studiu efectuat de TRUSTe/NCSA s-a constatat că 92% din clienţii online citează securitatea datelor şi confidenţialitatea acestora ca principala lor preocupare, iar 57% nu au încredere în companii că le folosesc în mod responsabil datele lor personale. De asemenea, raportul Symantec privind confidenţialitatea în statele Europei arată că:
• 90% dintre companii consideră dificilă respectarea cerinţei privind ştergerea datelor despre clienţi
• 81% din companii cred că dreptul de a cere ştergerea datelor va fi exercitat de clienţi
• 60% nu dispun de instrumentele necesare ştergerii datelor
• 10% au primit cereri pentru a face uitate datele clienţilor
• 41% dintre companii nu înţeleg nici legea, nici bunele practici

Mai mult, un studiu efectuat pe 800 de profesionişti IT în domeniul afacerilor, responsabili de confidenţialitatea datelor la companii cu clienţi europeni, a condus la concluzia că 80% din companiile unde aceştia erau angajaţi nu ştiu mai nimic despre GDPR şi, bineînţeles, nu aveau niciun plan de acţiune privind implementarea GDPR.
A rămas foarte puţin timp până la 25 mai 2018, când se va aplica noul Regulament pentru Protecţia Datelor cu Caracter Personal – GDPR, pentru toate statele membre. Aflăm de la Carmen Dăscălescu, director general BocaSoft, care sunt paşii pe care orice companie trebuie să îi urmeze pentru a fi conforme cu noile reguli.
1. Conştientizarea
Ar trebui să se asigure că factorii de decizie şi persoanele cheie din companii sunt conştiente de faptul că legea se schimbă prin apariţia regulamentului GDPR şi că trebuie să cunoască principale prevederi ale acestuia pentru a evita amenzile uriaşe. Companiile trebuie să aprecieze impactul pe care îl are acest lucru şi să identifice domeniile care ar putea provoca probleme de conformitate cu GDPR.
2. Efectuarea unui inventar al tuturor datelor cu caracter personal pe care le deţine o companie şi evaluarea lor din următoarele perspective:
• De ce le pastrează?
• Cum le-a obţinut?
• De ce au fost colectate iniţial?
• Cât timp le va păstra?
• Cât de sigură este criptarea şi accesibilitatea?
• Le va împărţi vreodată cu terţe părţi şi pe ce bază va face acest lucru?
Acesta este primul pas spre respectarea principiului responsabilităţii GDPR care impune organizaţiilor să demonstreze (şi, în majoritatea cazurilor, să documenteze) modalităţile prin care respectă principiile de protecţie a datelor atunci când le tranzacţionează. Inventarul va permite, de asemenea, organizaţiei să modifice date incorecte sau să urmărească acţiunile terţilor în viitor.
3. Comunicarea informaţiilor privind confidenţialitatea
Trebuie revizuite procedurile de notificare actuale privind confidenţialitatea şi să realizăm şi să punem În aplicare un plan pentru modificările necesare în acest scop pentru conformitatea cu GDPR.
„Atunci când colectezi date personale, trebuie să oferi oamenilor anumite informaţii, cum ar fi identitatea ta şi cum intenţionezi să le utilizezi informaţiile. Acest lucru se face, de obicei, printr-o notificare privind confidenţialitatea. Sub GDPR există câteva lucruri suplimentare pe care trebuie să le spui oamenilor. De exemplu, va trebui să explicaţi baza dumneavoastră legală pentru prelucrarea datelor, perioadele de păstrare a datelor şi că persoanele au dreptul să se plângă către autoritatea competentă, respectiv, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP, dacă vor considera că există o problemă cu modul în care gestionaţi datele. GDPR cere ca informaţiile să fie furnizate în limbaj concis, uşor de înţeles şi clar”, explică Carmen Dăscălescu.
4. Drepturile persoanelor
Trebuie verificate procedurile interne pentru a vă asigura că acestea acoperă toate drepturile pe care le au persoanele, inclusiv modul în care ştergeţi datele cu caracter personal sau furnizaţi datele în format electronic şi într-un format utilizat în mod obişnuit.
GDPR include următoarele drepturi pentru persoane fizice: de a fi informate, de acces, de rectificare, de ştergere, de a restricţiona prelucrarea, de portabilitate a datelor, la obiecţii, de a nu face obiectul unui proces decizional automat, inclusiv profilarea.
În ansamblu, drepturile de care indivizii beneficiază în cadrul GDPR sunt aceleaşi cu cele din vechea directivă, dar cu unele îmbunătăţiri semnificative. Este un moment bun pentru a vă verifica procedurile şi pentru a afla cum aţi reacţiona dacă cineva vă solicită să ştergeţi datele personale, de exemplu. Sistemele dumneavoastră vă vor ajuta să localizaţi şi să ştergeţi datele? Cine va lua deciziile privind ştergerea?
5. Cererile de acces la date
Trebuie actualizate procedurile şi planificat modul în care se rezolvă cererile de acces la date pentru a ţine seama de noile norme:
• În majoritatea cazurilor, nu vor putea fi percepute taxe pentru îndeplinirea unei solicitări.
• Va fi doar o lună la dispoziţie pentru a le respecta, faţă de 40 de zile în prezent.
• Dacă este respinsă o cerere, trebuie să i se comunice persoanei din ce motiv şi că are dreptul să se plângă autorităţii de supraveghere, precum şi care sunt căile de atac.
6. Baza legală pentru prelucrarea datelor cu caracter personal
Trebuie identificată bază legală a activităţii de prelucrare a datelor personale în conformitate cu GDPR, documentată şi actualizată notificarea de confidenţialitate.
7. Consimţământul
Trebuie revizuit modul în care se solicită, se înregistrează şi gestionează consimţământul şi dacă trebuie să fie făcute modificări. Consimţămintele existente trebuie actualizate dacă nu respectă standardul GDPR. Consimţământul trebuie să fie dat în mod liber, specific, informat şi lipsit de ambiguitate. Autorităţile publice şi angajatorii vor trebui să aibă grijă deosebită, consimţământul trebuie să fie verificabil.
8. Prelucrarea datelor referitoare la copii
Trebuie modificate sistemele în vigoare pentru a verifica vârsta persoanelor şi pentru a obţine consimţământul părinţilor sau tutorilor pentru orice activitate de prelucrare a datelor.
„Pentru prima dată, GDPR va aduce o protecţie specială pentru datele cu caracter personal ale copiilor, în special în contextul serviciilor comerciale de internet, cum ar fi reţelele sociale. Dacă organizaţia voastră oferă copiilor servicii online („servicii ale societăţii informaţionale“) şi se bazează pe consimţământul de a colecta informaţii despre acestea, este posibil să aveţi nevoie de consimţământul părintelui sau tutorelui pentru a le prelucra în mod legal datele lor personale. GDPR stabileşte la 16 ani vârsta când un copil poate să-şi dea consimţământul la această procesare”, adaugă Carmen Dăscălescu.
9. Scurgeri/pierderi de date
Trebuie verificate procedurile potrivite pentru a detecta, raporta şi investiga o scurgere/pierdere a datelor cu caracter personal. GDPR introduce o obligaţie pentru toate organizaţiile de a raporta anumite tipuri de încălcări ale datelor şi, în unele cazuri, şi persoanelor fizice. Trebuie notificată autoritatea numai la o scurgere/pierdere atunci când este posibil să ducă la un risc pentru drepturile şi libertăţile persoanelor - dacă, de exemplu, aceasta ar putea duce la discriminare, la reputaţie, la pierderi financiare, la pierderea confidenţialităţii sau la orice alte dezavantaje economice sau sociale semnificative.
În cazul în care o scurgere/pierdere este susceptibilă să ducă la un risc ridicat pentru drepturile şi libertăţile persoanelor, va trebui, de asemenea, să fie informaţi cei interesaţi direct. Trebuie introduse proceduri pentru a detecta, raporta şi investiga eficient scurgerea/pierderea datelor cu caracter personal. Trebuie evaluate tipurile de date cu caracter personal deţinute şi documentate în cazul în care se va cere notificarea Autorității de supraveghere sau persoanele afectate în cazul în care a avut loc o scurgere/pierdere de date. Organizaţiile mai mari vor trebui să dezvolte politici şi proceduri pentru gestionarea acestor scurgeri/pierderi de date. Nerespectarea unei astfel de raportări atunci când este necesar, ar putea avea drept rezultat o amendă, precum şi o amendă pentru încălcarea în sine.
10. DPO/Ofiţerul de protecţie a datelor
Firmele trebuie să desemneze pe cineva – extern sau intern - care să-şi asume responsabilitatea pentru respectarea protecţiei datelor. La această dată nu există cursuri autorizate de către Autoritatea Naţională pentru Calificări, specialiştii în domeniu sunt puţini, ceea ce ridică costurile aferente formării profesionale.
„Recomand companiilor să urmărească indicaţiile oferite de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competenţă generală în domeniul protecţiei datelor personale şi să trateze cu maximă seriozitate şi celeritate alinierea companiilor lor la GDPR”, spune Carmen Dăscălescu, director general Bocasoft, companie care colaborează în prezent cu Clico România pentru organizarea de sesiuni de training pe tema GDPR, oferind totodată şi servicii de conformare şi externalizare servicii GDPR (DPO).

Lasa un comentariu

Nume:
Email (nu va fi afisat):
Comentariu:

Home | Revista | Solutii | Evenimente | Dictionar | Linkuri Utile | Newsletter | RSS | Contact