Prezint mai jos câteva lecturi posibile despre Regulamentul UE privind protecția datelor, valabil din 25 mai 2018.
- Regulamentul vorbeste de amenzi de pana la 4% din cifra de afaceri, dar in interiorul acestui plafon exista foarte multe praguri. La procent din cifra de afaceri se va ajunge probabil in situatii de incalcari grave sau de recidiva.
- Firmele care opereaza cu date cu caracter personal si detin baze de date cu informatii sensibile vor trebui sa ia masuri sporite de securitate incepand de anul viitor, sa aiba responsabili cu prelucrarea datelor, sa faca evaluari de impact a riscurilor si sa notifice incalcarile de securitate.
- “Nu aceleasi obligatii se pot aplica tuturor operatorilor si de aceea am introdus obligatii specifice. Am dorit sa realizam un Regulament care sa fie proportionat si autoritatile de supraveghere sa aiba aceleasi puteri in toate tarile membre. In prezent este foarte dificil ca aceste autoritati sa lucreze in retea. Prin noul Regulament, autoritatile vor avea puteri uniforme si posibilitatea de a aplica amenzi care pot ajunge pana la 4% din cifra anuala de afaceri. Acesta este insa doar un element, nu neaparat primul pe care-l vor considera autoritatile de supraveghere. Aplicarea amenzilor va depinde de la caz la caz si exista o proportionalitate. Se va lua in calcul ce a facut operatorul inainte, daca a avut o conduita corecta sau nu.”, a declarat marti Irina Vasiliu, team leader pe noul regulament UE privind protectia datelor (GDPR) in cadrul Comisiei Europene.
Altfel spus, începând de la anul, cel mai probabil nu vom mai vedea anunțuri de tipul ”Navigarea pe acest site se consideră acceptarea Dvs. cu privire la politica de utilizare a cookie-urilor”, consensul fiind exemplificat în GDRP sub forma unei acțiuni concrete din partea utilizatorului:
- Bifarea unei căsuțe pe un website.
- Alegerea unei setări tehnice în cadrul utilizării serviciilor informatice.
- Orice alt tip de afirmație sau comportament care clarifică fără echivoc oferirea acordului.
Asigurarea securității datelor colectate. GDRP punctează importanța securității și criptării datelor în toate etapele de tranzacționare, nu doar cea de colectare.
Desi aceasta conditie nu este noua (este prevazuta in definitia consimtamantului din Directiva 95/46/CE), GDPR ofera totusi mai multe explicatii in ceea ce priveste semnificatia acesteia. Potrivit GDPR consimtamantul nu va fi liber exprimat daca:
Persoana vizata nu dispune cu adevarat de libertatea de alegere sau nu este in masura sa refuze sau sa isi retraga consimtamantul fara a fi prejudiciata;
Exista un dezechilibru evident intre persoana vizata si operator. Spre exemplu, aceasta cerinta expres reglementata in lege va pune in discutie validitatea consimtamantului angajatilor pentru prelucrarea datelor de catre angajatori, intr-un mod mult mai categoric decat pana acum;
Modul de acordare a consimtamantului nu permite ca acesta sa fie dat pe diferite operatiuni de prelucrare a datelor, desi acest lucru este adecvat in cazul particular. Ca atare, operatorii nu vor mai putea sa foloseasca declaratii de consimtamant de tipul “catch all”;
Executarea unui contract sau prestarea unui serviciu este conditionata de consimtamant, desi consimtamantul nu este necesar pentru executarea contractului.
Dreptul de retragere a consimtamantului
In contextul actualei legislatii, dreptul a-si retrage a consimtamantul reprezinta o manifestare a dreptului la opozitie la persoanei vizate. GDRP, insa, reglementeaza in mod distinct acest drept, obligand totodata operatorii sa informeze persoanele vizate, inainte ca acestea sa-si dea consimtamantul, cu privire la existenta acestui drept si conditiile de exercitare a lui.
La acest moment, cu exceptia consimtamantului pentru scop de marketing, retragerea consimtamantului presupune parcurgerea unei proceduri (de regula) elaborate stabilita si comunicata de operator. GDPR simplifica aceasta procedura in favoarea persoanei vizate. Astfel, operatorii vor trebui sa isi regandeasca sistemul de prelucrare a datelor in sensul simplificarii mecanismelor de retragere a consimtamantului de prelucrare a datelor (acestea trebuie sa fie comode si usor de utilizat, la un nivel cel putin echivalent mecanismului de obtinere a consimtamantului).