De impact in orice business – Proiect de regulament european pentru datele personale

06-04-16 Ligia Seceleanu 0 comment

Lumea devine digitală, dematerializată, iar Uniunea Europeană avansează proiectul său de regulament pentru protecţia datelor cu caracter personal în scopul creării unei Pieţi Unice Digitale.

Altfel zis, operatorii de date cu caracter personal vor fi supuși începând din 2018 unui regulament de 200 de pagini, care instituie măsuri protective pentru persoanele fizice. Măsurile vor fi cu atât mai constrângătoare cu cât și amenzile cresc semnificativ. Vă reamintim că un regulament adoptat la nivelul Uniunii Europene este obligatoriu pentru ansamblul ţărilor membre.

Vom încerca să vă prezentăm pe scurt în continuare principalele măsuri de interes și consecinţele acestuia pentru orice business.

1.  Regulamentul are un efect extrateritorial – și cei care nu au sediul în Uniunea Europeană dar care prelucrează date de provenienţă UE sunt vizaţi.

Regulamentul se va aplica în funcţie de subiectul procesării de date. Așadar, va fi suficient ca datele personale ale unui cetăţean al unei ţări membre UE să fie prelucrate, pentru ca regulamentul să se aplice. În fapt este vorba despre oferta de bunuri și servicii cu destinaţie pe piaţa UE, chiar în cazuri de gratuităţi.

Simpla monitorizare a comportamentului/ preferinţelor unui consumator este și ea criteriu de aplicabilitate. Cookie-urile care permit targetarea prublicităţii și care sunt integrate în orice site vor fi considerate prelucrări de date.

2.  Noi reguli, formalităţi și responsabilităţi pentru operatori.

Potrivit regulamentului, toţi cei care procesează date personale vor trebui să creeze și să menţină la zi documente care detaliază procesul de prelucrare. Mai mult, pentru acele prelucrări mai riscante, o evaluare prealabilă trebuie făcută. În scopul minimizării prelucrării de date, măsuri de protecţie vor trebui implementate.

3.  Un consimţământ ferm și informat trebuie obţinut din partea celui ale cărui date sunt procesate

Regula prioritară care este că persoana trebuie să-și dea consimţământul liber, în mod specific, să fie informat și ferm. Este necesară așadar o acţiune afirmativă.

Pentru datele sensibile, consimţământul trebuie să fie explicit. În orice moment acesta poate fi retras – drept pentru care în legislaţia europeană se vorbește despre un drept de a fi uitat.

Se introduce de asemenea un principiu de echilibru contractual care afectează întreprinderile de e-commerce, pentru că un consimţământ dat prelucrării de date atunci când nu era necesar, nu este considerat liber.

Consim ţământul va putea fi în mod valid dat, doar dacă poate fi și oricând retras, fără să existe repercursiuni.

Cei care fac marketing direct vor trebui să informeze încă de la început clinetul/consumatorul cum că dispune de un drept de a obiecta la prelucrarea datelor cu caracter personal.

4.  Copiii vor putea primi servicii ale societăţii informaţionale doar cu acordul părinţilor.

O dispozi ţie foarte discutată a regulamentului este cea legată de vârsta de la care copiii pot beneficia/accesa anumite site-uri și servicii online. Propunerea este ca accesul să fie restricţionat copiilor sub vârsta de 16 ani, cu posibilitatea ca în anumite ţări să se opteze pentru 13 ani.

Criticile aduse regulamentului sunt că măsurile introduse nu vor face decât să conducă minorii să mintă în legătură cu vârsta.

5.      Notificări de încălcare a securităţii datelor trebuie trimise din propria ini ţiativă a operatorilor autorităţilor competente într-un termen de 72 de ore.

Această situaţie a notificărilor trimise către autorităţile naţionale competente în domeniul prelucrării datelor cu caracter personal este complicată și de faptul că anumite notificări vor trebui trimise chiar subiecţilor. Singura condiţie este ca drepturile și libertăţile indivizilor să fie ameninţate.

6.  Persoanele împuternicite de operatori să prelucreze datele vor trebui să adopte noi măsuri de securitate înăsprite. Măsura se resimte majoritar în acordurile cu furnizorii.

7.      Sancţiunile impuse prin regulament se calculează la cifra de afaceri mondială anuală, putând ajunge pana la 4 procente.

8.  Transferurile internaţionale de date nu se mai fac pe baza Safe Harbor

Deși nu este o măsură specifică a regulamentului UE, ci a unei decizii a Curţii de Justiţie a Uniunii Europene, Safe Harbor-ul este un exemplu de măsură de protecţie a datelor care este actualmente nulă.

În materia transferurilor internaţionale de date există noi modificări care par să ușureze obligaţiile de notificare a autorităţilor. Astfel, folosirea în contracte de reguli model aprobate de Comisia Europeană pare să fie suficientă ca bază pentru efectuarea unui transfer.

Acestea sunt câteva din măsurile principale introduse de Regulamentul european și care sunt destinate să conducă firmele să își re-evalueze diferitele prelucrări de date cu caracter personal. O analiză atentă a proceselor interne și o adecvare a acestora la regulile noi este urgentă.



Leave a reply