Firmele care prelucreaza date cu caracter personal vor trebui sa aplice din 25 mai 2018 masurile noului Regulament UE privind protectia datelor personale, care prevede responsabilitati sporite in privinta securitatii datelor si un nivel ridicat de transparenta, amenzile putand ajunge si la zeci de milioane de euro.

Conferin GDPRFoto: Hotnews

Idei spuse la conferinta

  • Regulamentul vorbeste de amenzi de pana la 4% din cifra de afaceri, dar in interiorul acestui plafon exista foarte multe praguri. La procent din cifra de afaceri se va ajunge probabil in situatii de incalcari grave sau de recidiva.
  • Firmele care opereaza cu date cu caracter personal si detin baze de date cu informatii sensibile vor trebui sa ia masuri sporite de securitate incepand de anul viitor, sa aiba responsabili cu prelucrarea datelor, sa faca evaluari de impact a riscurilor si sa notifice incalcarile de securitate.
  • "Nu aceleasi obligatii se pot aplica tuturor operatorilor si de aceea am introdus obligatii specifice. Am dorit sa realizam un Regulament care sa fie proportionat si autoritatile de supraveghere sa aiba aceleasi puteri in toate tarile membre. In prezent este foarte dificil ca aceste autoritati sa lucreze in retea. Prin noul Regulament, autoritatile vor avea puteri uniforme si posibilitatea de a aplica amenzi care pot ajunge pana la 4% din cifra anuala de afaceri. Acesta este insa doar un element, nu neaparat primul pe care-l vor considera autoritatile de supraveghere. Aplicarea amenzilor va depinde de la caz la caz si exista o proportionalitate. Se va lua in calcul ce a facut operatorul inainte, daca a avut o conduita corecta sau nu.", a declarat marti Irina Vasiliu, team leader pe noul regulament UE privind protectia datelor (GDPR) in cadrul Comisiei Europene.

Aceasta a prezentat in cadrul unui eveniment organizat de Microsoft Romania principalele prevederi care ar urma sa se aplice in toate tarile UE din 25 mai 2018.

Redam in cele ce urmeaza principalele declaratii ale oficialului european:

In realizarea acestui Regulament, noi la Comisia Europeana am avut trei obiective :

1. Am dorit sa consolidam piata unica si sa cream un sistem armonizat de reguli pentru protectia datelor

2. Am dorit sa avem un set de drepturi si de obligatii actualizate care sa raspunda noilor tehnologii

3. Am dorit sa dam autoritatilor de supraveghere aceleasi puteri si sa guverneze in retea.

Daca este sa ne uitam la ce inseamna a avea o piata unica si un cadru de reglementare unitar, as spune ca trecem prin 4 etape esentiale. Trecem de la 28 de sisteme nationale azi la un singur regulament aplicabil din 25 mai 2018. Ganditi-va ca astazi consimtamantul poate fi considerat tacit intr-o tara, tacerea poate fi considerata consimtamant tacit, iar in alte sisteme sisteme juridice sa fie nevoie de un consimtamant explicit. Deci va fi un singur set de reguli pentru toti.

In al doilea rand, un alt concept este ghiseul unic destinat firmelor care actioneaza transfrontalier. O astfel de firma va avea de discutat numai cu o singura autoritate de supraveghere. Sa aiba o singura interpretare a unei spete si decizii in plan juridic pe care sa le implementeze. Azi situatia este diferita de la tara la tara. Acest ghiseu unic face autoritatile de supraveghere sa lucreze in retea si sa ia decizii unitare.

In al treilea rand, ne-am dorit apoi sa avem un scop teritorial, sa avem concurenta echitabila intre companiile stabilite in UE si altele in state terte, dar care ofera servicii si bunuri cetatenilor europeni.

Cel de-al patrulea aspect pentru piata unica - trecem de la notificari-autorizari, un sistem care este acum ex ante - si care costa enorm si cu o siguranta juridica nu neaparat mai ridicata, la un sistem bazat pe responsabilitate, pe risc.

Al doilea obiectiv al acestui Regulament este sa creeze un set de drepturi si reguli actualizate.

Noul regulament este o evolutie, nu o revolutie, principiile cheie sunt la fel. Conceptul de date personale este clarificat, nu este schimbat. Exista un nou principiu de transparenta. Inca un principiu - reguli pentru prelucrarea ulterioara a datelor.

Am clarificat temeiurile juridice pe baza carora putem prelucra datele. La consimtamant situatia este diversa in state membre. Ceea ce am incercat sa facem este sa cream un standard. Standardul este "o actiune fara echivoc", care poate fi exprimata fie prin declaratie scrisa, fie printr-un orice alt act care poate sa exprime un consimtamant.

In privinta drepturilor: Suntem in plina continuitate, dar introducem doua principii importante:

1. Transparenta - Daca ne uitam astazi la privacy policies de 30 de pagini este foarte greu de crezut ca acest tip de document este transparent si accesibil publicului. De aceea am introdus acest principiu pentru prelucrarea datelor.

2. Gratuitatea - Cand ma adresez unui operator de prelucrare a datelor nu trebuie sa platesc pentru asta, cu exceptia cererilor abuzive (cand cineva ar vrea spre exemplu in fiecare zi sa faca astfel de solicitari).

Un alt drept este acela de a avea acces la toate datele pe care o retea de socializare le are despre mine, am dreptul sa primesc o copie a acestor date si am dreptul de a fi uitat - de stergere a acelor date. A fost o mare discutie, cand se aplica si care sunt obligatiile intermediare.

Dreptul de a fi uitat se aplica in momentul in care datele mele personale nu mai sunt necesare pentru scopul pentru care au fost initial solicitate. Mi-am retras consimtamantul, iarasi am dreptul sa solicit stergerea datelor.

Un drept cu adevarat nou este dreptul la portabilitate. Am dreptul sa cer datele si sa le transmit altui operator sa le prelucreze, am luat acest instrument din domeniul telecom.

In privinta dreptului de a fi uitat aceasta a subliniat ca acesta nu se aplica in cazul in care un operator are o obligatie legala, statutara, pentru a tine si prelucra anumite date personale.

Oana Terteleac, responsabil pe noul Regulament in Microsoft Romania: Firmele trebuie sa fie mult mai responsabile. Amenzile pot ajunge pana la 4% din cifra de afaceri

Oana Terteleac, responsabil pe noul regulament GDPR in cadrul Microsoft Romania, a precizat pentru HotNews.ro care sunt provocarile noilor reguli europene care vor trebui implementate de toti operatorii de date personale din luna mai a anului viitor.

"GDPR vine sa reglementeze noul cadru informational in care se plimba aceste date personale, pentru ca in 1995 (n.a de cand dateaza directiva UE anterioara privind protectia datelor) nici internetul nu era ce este acum, nu aveam social media, nu aveam Facebook, LinkedIn si acest cadru larg al internetului care expune datele tuturor. Insa nu inseamna ca oamenii aveau mai putine drepturi.

Ce face acum GDPR este ca se transfera responsabilitatea acestor date catre organizatii, care trebuie sa fie mult mai responsabile, sunt obligate sa asigure un nivel de transparenta si, atunci cand nu le respecta aceste cerinte ele pot fi sanctionate. Exista amenzi de fie de 2% din cifra de afaceri a grupului sau 10 milioane de euro, oricare ar fi mai mare, si pot sa mearga pana la 20 de milioane de euro sau 4% din cifra de afaceri a grupului, oricare dintre ele ar fi mai mare.

Pentru Romania exista niste activitati ale autoritatii nationale de supraveghere care vor conduce la o lista mai granulara a acestor amenzi, acest lucru tinand cont de volumul de date pe care organizatia le poate procesa, dar si de statutul acelei organizatii - respectiv numarul de angajati. Vor fi mai multe praguri de aplicare ale acestor amenzi, dar asta nu inseamna ca noi trebuie sa asteptam stabilirea acestor praguri si sa nu incepem sa facem ceea ce trebuie din punct de vedere al securitatii cibernetice si al modului in care reusim sa asiguram minimizarea datelor colectate, anonimizarea datelor in timpul procesarii si bineinteles respectand drepturile individului la modificarea si stergerea datelor personale.

Regulamentul este deja in vigoare si se va aplica din 25 mai 2018, iar din discutiile pe care personal le-am avut cu autoritatea de supraveghere a reiesit ideea ca spre sfarsitul acestui an calendaristic vor afisa pe site ghidul de aplicare, care va include si nivelurile de amenzi.

Cea mai mare amenda din Romania cred ca a fost in jur de 50.000 de lei pentru nerespectarea de catre o companie a datelor cu caracter personal si gestionarea lor incorecta. Aceste lucruri faceau ca pur si simplu costul avocatilor sa fie mai mare decat costul amenzilor, de aceea foarte multe companii nu si-au pus problema sa mearga pana la capat cu clasificarea datelor personale.

Microsoft vine pe doua directii - una pe servicii in cloud si cu un amendament la contractele noastre de licentiere in care spunem ca cine vine cu datele in cloud-ul nostru isi ia in noi un partener de complianta pentru GDPR si raspunderea fata de GDPR este o responsabilitate pe care o impartim cu clientii nostri si in al doilea rand pe zona de tehnologie venim cu tot felul de solutii care fac partea de clasificare a datelor, ajuta clientii sa-si identifice sursele de date pe diverse tipuri de suporturi si mai departe sa-si implementeze acele procese care le vor permite sa detecteze vicii de securitate si sa reactioneze in conformitate cu GDPR", a precizat oficialul Microsoft.

Vassilis Tziokas, Manager strategii pentru solutii Microsoft in Europa Centrala si de Est: Doua miliarde de arhive de date au fost compromise in ultimul an

Vassilis Tziokas, manager Microsoft

Vassilis Tziokas, manager Microsoft

Foto: Hotnews

Prezent la eveniment, Vassilis Tziokas, manager strategii pentru solutii Microsoft in Europa Centrala si de Est, a precizat provocarile la nivelul securitatii datelor.

"Mai multe date si informatii au fost create in ultimii doi ani decat in intreaga istorie precedenta a rasei umane. In cinci ani, vor fi peste 50 de miliarde de dispozitive conectate smart in intreaga lume - toate dezvoltate sa adune, sa analizeze si sa distribuie date. In acest moment doar 0.5% din toate datele sunt analizate si folosite. In ultimul an au fost compromise 2 miliarde de arhive de date. Pentru mediul de afaceri, oportunitatile GDPR sunt recastigarea increderii clientilor, oferirea unei experiente de client personalizata, crearea unei platforme de tip 'Data Passport' si stabilirea unei culturi organizationale pregatite pentru digital", a spus Vassilis Tziokas.

Ce amenzi se aplica in prezent in Romania si alte tari pentru incalcarea legii privind protectia datelor personale

Manuela Guia, casa de avocatura David si Baias

Manuela Guia, casa de avocatura David si Baias

Foto: Hotnews

Manuela Guia si Bianca Naghi, avocati parteneri in cadrul firmei de avocatura David si Baias, au prezentat in cadrul evenimentului o situatie a amenzilor aplicate in prezent pentru incalcarea legislatiei protectiei datelor in Romania, Belgia si Marea Britanie, subliniind faptul ca noul Regulament aduce amenzi mai mari.

Potrivit datelor prezentate de acestea, autoritatea responsabila de protectia datelor din Marea Britanie are incepand din aprilie 2010 puterea de a impune amenzi de pana la 400.000 de euro, iar cea mai mare amenda aplicata a fost in acest an de 300.000 de euro. Aceasta autoritate are 460 de angajati si un buget anual de 5 milioane euro.

In Belgia, autoritatea de supraveghere care are doar 16 angajati a aplicat o amenda record de peste 100.000 de euro.

In Romania, autoritatea de protectie a datelor, care are 50 de angajati, a aplicat anul trecut 193 de amenzi in valoare totala de 220.000 de euro.

  • Mai multe detalii despre noul Regulament european privind protectia datelor puteti citi pe site-ul Comisiei Europene aici.