avocatnet.ro 
Astfel, vă prezentăm mai jos care sunt principalele schimbări, clarificări etc. cu privire la GDPR, în 2019:
Clarificări cu privire la aplicarea Regulamentului
Pentru că discutăm de o reglementare foarte complexă și care vizează o activitate care, de multe ori, este esențială pentru activitatea multor firme (prelucrarea de date personale), companiile au nevoie de ghidări pentru a înțelege și a se conforma GDPR-ului. Foarte activ în această privință a fost Comitetul European pentru Protecția Datelor (CEPD), care contribuie la armonizare aplicării Regulamentului. În același timp, nu trebuie ignorate nici indiciile și sfaturile Autorității române de protecție a datelor (ANPSDCP), pentru că ea are rolul de a supraveghea aplicarea GDPR, în România.
1) „Data protection by design” și „data protection by default”: firmele trebuie să implementeze măsuri organizaționale și tehnice prin care să se asigure că instrumentele folosite pentru prelucrarea datelor sunt concepute astfel încât să fie în conformitate cu Regulamentul. De asemenea, trebuie să existe setări predefinite prin care să se faciliteze respectarea principiilor GDPR. De aceea, CEPD a și pus la dispoziție un ghid relevant.
2) Uneori, firmele nu sunt ele însele cele care fac activitatea propriu-zisă de prelucrare, ci împuternicesc pe altcineva să o facă pentru ele. Astfel, este important să se stabilească, în relația cu împuternicitul, ce trebuie să facă cel din urmă și, mai ales, ce obligații are. CEPD a contribuit și în această privință cu un ghid. În același cadru, au apărut recent primele clauze standard care îi pot ajuta pe operatorii de date personale să își stabilească relațiile contractuale cu împuterniciții.
3) Cei care fac comerț electronic s-ar putea să se întrebe ce date pot să prelucreze atunci când încheie contracte la distanță, mai ales că, în acest context, discutăm de prelucrarea unor date precum adresa de domiciliu. De aceea, CEPD a adoptat un ghid special pentru această chestiune.
4) După cum spuneam mai sus, nu trebuie ignorate nici comunicările și rapoartele ANSPDC. Autoritatea română de protecție a datelor a adoptat două astfel de documente: pe de o parte, există un ghid cu întrebări și răspunsuri referitoare la problemele și nelămuririle pe care le-ar putea avea firmele în ceea ce privește GDPR, în mod constant. Pe de altă parte, există raportul de activitate al ANSPDCP, pe anul 2018, care oferă o perspectivă globală asupra activității autorității, de la amenzile și măsurile corective aplicate, la întrebările pe care le-a primit, din partea persoanelor vizate de GDPR.
Amenzile pot ajunge și la milioane de euro, în unele cazuri
Publicarea activității autorităților de protecție a datelor, în special în ceea ce privește aplicarea amenzilor, poate să le fie de real ajutor firmelor. Aceasta contribuie nu doar la înțelegerea GDPR-ului, dar și la înțelegerea activității de supraveghere și punere în aplicare a Regulamentului, de către autorități. Astfel, firmele pot înțelege ce fapte sunt considerate de o gravitate ridicată, pe ce tipuri de abateri se vor concentra autoritățile și care este strategia acestora de aplicare a Regulamentului.
5) Prima amendă aplicată în România, de către ANSPDCP, a fost de 130.000 de euro. Ea a avut rolul de a sancționa o bancă ce n-a luat măsuri adecvate pentru protejarea datelor personale ale clienților săi. A fost una din multele care urmau să fie aplicate pentru măsuri insuficiente de prelucrare a datelor. În acest context, este important de văzut care sunt principalele instrumente (tipurile de sancțiuni, de exemplu) care pot fi folosite pentru a se determina respectarea GDPR-ului.
6) Fiți foarte atenți la identificarea termenului pentru care păstrarea datelor este necesară și la implementarea măsurilor care să permită ștergerea lor din sistem, odată ce acest termen a fost împlinit. În Germania, o entitate a fost sancționată cu 14,5 milioane de euro pentru date personale menținute dincolo de termenul necesar.
7) Cei care aveți un site și folosiți „cookies” pentru a facilita diverse activități (cunoașterea clientelei, a preferințelor vizitatorilor site-ului sau plasarea de reclame): este important să știți cum pot fi folosite „cookies” pentru a monitoriza activitatea vizitatorilor unui site web, pentru a fi în conformitate cu GDPR. În Spania, au fost date amenzi și de zeci de mii de euro, pentru nerespectarea regulilor privind plasarea de „cookies” pe terminalele vizitatorilor site-ului.
8) Probabil că una din cele mai grave abateri de la GDPR este pierderea sau divulgarea nepermisă a datelor personale. Amenzile, pentru astfel de fapte, pot ajunge chiar și la milioane de euro.
9) Amenzile în domeniu nu se limitează strict la faptele care au legătură directă cu datele personale. Firmele pot fi sancționate, de exemplu, și pentru refuzul de cooperare cu ANSPDCP. Amenzile se dau pe zi de întârziere și pot ajunge și la 3.000 de lei.
Alte chestiuni practice sau importante de reținut
9) Breșele de securitate pot duce la o compromitere a unui număr foarte mare de date personale, de aceea fiind importantă notificarea lor ANSPDCP. În acest scop, Autoritatea a făcut public, în 2019, formularul care trebuie completat de firme, pentru a notifica astfel de incidente ANSPDCP-ului. În același context al incidentelor de securitate, firmele trebuie să știe că persoanele prejudiciate pot să ceară despăgubiri de la ele pentru astfel de incidente.
10) În domeniul muncii, firmele trebuie să aibă grijă la modalitatea ținerii evidenței orelor de lucru. De exemplu, companiile nu pot să utilizeze camere video ca să facă pontajul.
Tyno1974
Comentarii articol (1)