Totul despre GDPR in Romania si implementare reguli GDPR

O sa dezbat un subiect destul de actual si gresit implementat in Romania. GDPR – General Data Protection Regulation.

Ce inseamna GDPR?

GDPR inseamna prelucrarea datelor cu caracter personal si sunt o serie de activitatii pe care societatile si nu numai trebuie sa le implementeze.

De ce am zis ca nu doar societatiile trebuiesc sa implementeze regulile GDPR?

Pai daca mergem in mediul online gasim o sumedenie de site-uri, bloguri personale care colecteaza date despre comportamentul utilizatorului si de asemenea colecteaza si date cu caracter personal.

Reguli GDPR in mediul online si implementare corecta reguli GDPR

Unele site-urile au mici fisiere numite cookie care sunt salvate in browserul tau.

Acele fisiere ofera informatii de caracter ce ai adaugat in cosul de cumparaturi, daca ai acceptat anumite setari personalizate intr-un site, daca te-ai abonat la push notification, asta pe de o parte, fiind clasificate ca cookie necesare functionarii unui site.

Pe de alta parte sunt cookie de la terte parti care colecteaza date despre utilizator.

Aceste date au caracter de analiza pentru a intelege comportamentul utilizatorului si de a imbunatatii site-ul pe viitor si date cu caracter marketing.

Acele cookie care colecteaza datele colectate cu caracter marketing ofera posibilitatea de a identifica un vizitator si de ai furniza reclame cu produsele sau serviciile pe care le-a vizitat pe site-ul respectiv.

Aceste cookie dupa cum ziceam sunt furnizate de terte parti cum ar fi GOOGLE, FACEBOOK si lista poate continua.

Am analizat suficiente siteuri ca sa imi dau seama ca regulile GDPR in Romania sunt implementate prost si de asemenea sunt intelese gresit.

Acum vorbesc strict de partea online.

Pentru a implementa corect regulile GDPR este necesar sa activezi un script in site care sa blocheze cookie de la terte parti, cele cu caracter de analiza si marketing.

In prezent pe site-uri gasesti banere care te atentioneaza ca folosesc cookie si ca prin simpla navigare esti de acord cu politica lor.

Total gresit.

Trebui implementat un script Java care sa blocheze cookie de la inceput si doar prin selectarea lor isi pot da acordul iar daca isi dau acordul, scriptul le va porni automat dupa validare.

Asta este optiunea corecta si care te v-a salva de amenda celor de la dataprotection.ro – GDPR Romania.

Ce nu am specificat mai sus pentru ca iesea un text foarte stufos greu de inteles, este ca pe site trebuie sa ai prezentate tipurile de cookie, furnizorul acestuia si rolul lui.

Tot pe site trebuie sa ai afisata politica de confidentialitate si prelucrarea datelor cu caracter personal, pentru ca in site ai formulare care colecteaza date de contact, nune si asa mai departe.

Formularele de contact sau de comanda trebuiesc aliniate si ele la regulile GDPR.

La finalul formularului trebuie inserata o bifa ca sunt de acord cu politica de confidentialitate si prelucrare date cu caracter personal si link catre paginile cu aceste detalii.

Fara acel acord din partea clientului te poti alege cu amenda sau reclamatie din partea clientului.

Clientul are dreptul sa solicite sa ii fie transmise sau sterse datele prelucrate. Pentru acest lucru trebuie sa ai o optiune prin care clientul sa poata sa te contacteze.

Acum in functie de cat de bine iti arhivezi datele despre clienti v-a trebui sa cauti acele dare ca sa le stergi sau sa le transmiti clientului, asta in functie de optiunea lui.

In politica de confidentialitate afisata pe site trebuie explicat procedeul prin care se prelucreaza acele date si de catre cine si unde sunt salvate si pentru cat timp.

Reguli GDPR in mediul off-line si implementare corecta reguli GDPR

O societate prelucreaza date cu caracter personal si in mediul off-line.

Are nevoie de nume, prenume, serie CI, CNP, adresa cand vine vorba despre o factura sau un contract.

Ce facem cu acele date si cum preluam consimtamantul clientului?

In primul rand sa stabilim ce persoane trebuie sa aibe acces la acele date si ce persoane le prelucreaza.

Cand vine vorba de o factura acele date sunt trimise din mana in mana pana la contabilitate, iar daca pe fir ai o hiba de securitate si pot intra in posesia acelor date si alte persoane straine devine o problema.

Personalul care intra in contact cu datele clientului trebuie sa semneze o clauza de confidentialitate cu firma angajatoare.

De asemenea trebuie instruit personalul cum prelucreaza datele si cum arhiveaza datele cu caracter personal.

In principiul o persoana de la facturare trebuie sa amibe propilu cod de acces pe platforma de facturi, pe calculatorul ce il foloseste pentru a emite factura si de asemenea ar trebui sa amibe un sertar securizat cu cheie, unde stocheaza facturile recente pana sunt predate la contabilitate.

Cand vine vorba de client, trebuie sa completeze un formular prin care isi da acordul GDPR. In acel formular de consimtamantul si i se explica cum ii sunt prelucrare datele si clauzele de confidentialitate.

Amenzi incalcare reguli GDPR

In mas media s-a pornit o valva precum ca legea si aplicarea implementarii regulilor GDPR, lege data cu un an in urma, nu a produs modificair.

Tot primim spam-uri, tot se colecteaza date fara acord si asa mai departe.

De aici probabil, presiunea exercitata asupra autoritatiilor au aparut si primele amenzi.

UNICREDIT BANK S.A este prima organizatie din Romania care este sanctionata de autoritatea nationala pentru incalicarea prevederilor Regulamentului general privind protectia datelor.

Conform comunicatului publicat pe site-ul ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal), in data de 27.06.2019 Autoritatea a finalizat o investigatie la operatorul UNICREDIT BANK S.A. si a constatat ca acesta a incalcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date

Amenda a fost doar de 130.000 euro.

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a aplicat o amenda contraventionala in cuantum de 10.000 lei operatorului de date cu caracter personal Hulim Medical Centre SRL.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat contraventional cu amenda in cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

Operatorul LEGAL COMPANY & TAX HUB SRL a fost sanctionat contraventional cu amenda in cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro

Din cate vedeti amenzile GDPR nu sunt chiar mici!

Cum se calculeaza amenda sau ce valoare are o amenda GDPR

Sanctiunile pentru incalcarea regulilor GDPR sunt impartite in doua categorii:

Amenda in valoare a 2% din cifra de afaceri globala din anul precedent in cazul incalcarii obligatiilor referitoare, printre altele, la

  • Implementarea confidentialitatii prin design si a securitatii prin design, precum si realizarea unei evaluari a riscurilor protectiei datelor in cazul noilor tehnologii, cum ar fi Internet of Things,
  • Inregistrarea activitatilor de prelucrare a datelor,
  • Obligatiile principale ale imputernicitului,
  • Notificarea in cazul incalcarii datelor si
  • Numirea unui responsabil cu protectia datelor (atunci cand este necesar);

Sau 4% din cifra de afaceri globala a anului precedent in cazul incalcarii obligatiilor referitoare, printre altele, la

  • Principiile de baza ale prelucrarii datelor, inclusiv conditiile aplicabile consimtamantului,
  • Drepturile persoanelor, cum ar fi dreptul de acces, dreptul de a fi uitat si dreptul la portabilitatea datelor
  • Transferul de date cu caracter personal in afara Spatiului Economic European, care va fi esential in lumina Privacy Shield, care a fost acceptat in vederea transferului de date catre Statele Unite.

In concluzie

Stiu ca suntem de parere ca „nu cred ca ma ia exact pe mine la purificat si imi iau amenda GDPR. Lasa ca sunt alti mai mari. Pentru ei sunt regulile astea”.

Ei bine acele firme s-au pus de mult la punct. Au departamente juridice care optimizeaza constant procesul de procesare date si confidentialitate.

Restrictioneaza accesul la date sensibile la personalul care nu folosesc acele date.

Aici va dau cateva exemple.

Hotelurile folosesc o lista cu persoanele cazate care trece prin toate mainile posibile pana la ultimul ospatar. Pe acea lista apar informatii cu caracter personal.

La restaurante, ospatarul iti i-a datele de facturare pe o fituica care ajunge la gunoi. In momentul acela datele tale sunt compromise.

Mai bine apelati la o firma de consultanta GDPR care v-a face o analiza a traseului si modul in care sunt colectate date si iti pune ordine in lucruri.

Ai nevoie de consultamta in implementarea GDPR?

Economisesti bani si aduci si un plus de valoare firmei tale.

Daca ai nevoie de ajutor apeleaza cu incredere la CONCEPT ADVERTISING si te ajutam cu implementarea regulilor GDPR si in mediul online si in mediul off-line.

Telefon: 0768512275