La 10 luni de la intrarea în vigoare a General Data Protection Regulation (GDPR), mediul de afaceri din România are încă dificultăți în aplicarea acestei prevederi europene. Dacă firmele mari și-au putut aloca personal specializat, doar unii dintre micii întreprinzători au implementat Directiva. Articolul care urmează se vrea un ghid preliminar, util pentru evaluarea situației.
Teoria: definițiile
GDPR este un act normativ cu caracter de obligativitate, promulgat Parlamentul European şi Consiliul Uniunii Europene. Scopul lui e de a oferi tuturor cetăţenilor şi rezidenţilor permanenţi din statele membre ale UE control asupra datelor cu caracter personal, adică face utilizatorii să știe:
- ce informaţii colectează o companie despre ei
- cum le foloseşte
- dacă le trimite unei terțe părți.
Cazul cel mai evident în care apar astfel de colectări și prelucrări este al site-urilor de Web. Însă companiile care lucrează sub o formă sau alta cu date personale sunt mult mai numeroase. Orice firmă care ține evidența angajaților sau a clienților ajunge să lucreze cu astfel de date.
Bineînțeles, datele personale nu se rezumă, în accepțiunea GDPR, la nume și prenume. Prin ele se înțelege orice informație care singură sau în corelație poate duce la identificarea unei persoane. De pildă, adresa unui bloc nu e suficientă, dar numărul apartamentului e mult mai aproape de identificare.
Bineînțeles, utilizarea datelor personale e inevitabilă și aduce numeroase beneficii, iar GDPR nu o interzice. Spiritul Directivei e doar de a informa utilizatorii asupra modului cum acestea sunt utilizate.
Practica: prelucrarea
Prelucrearea are o mulțime de accepțiuni: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor personale. Și, probabil, nu numai.
Conform GDPR, prelucrarea datelor cu caracter personal poate fi făcută din următoarele motive:
- Consimţământ: de reținut e faptul că acesta poate fi retras, ceea ce înseamnă că prelucrarea trebuie să înceteze.
- Încheierea sau executarea unui contract, ceea ce arată consimțământul în mod implicit.
- Îndeplinirea unei obligaţii legale, adică orice constrângere legislativă. De exemplu statul român obligă prin lege ca o afacere să arhiveze informațiile contabile timp de 10 ani.
- Interese vitale, care se referă la situațiile când îți este pusă viața în pericol.
- Interesul public, care acoperă și jurnaliștii, de exemplu.
- Interesul legitim, prin care se înțelege o activitate de prelucrare a datelor cu caracter personal care este absolut necesară afacerii sau serviciului oferit, cum ar fi antifraudă, securitate, etc.
Așa cum știți probabil, Directiva stipulează că datele personale trebuie să fie șterse la cerere. Operatorul are această obligație doar dacă datele nu sunt prelucrate în baza unui interes legitim sau unei obligaţii legale. Cu alte cuvinte, nu poți cere unei bănci să-ți șteargă datele personale după ce ai făcut un credit, fiindcă ea va ajunge în situația de a fi oferit suma respectivă unui necunoscut.
Referitor la categoriile de mai sus, un exemplu interesant sunt așa-numitele cookies, fișierele stocate în calculator care ajută la logarea pe un site, obținerea de cifre de trafic sau funcționarea propriu-zisă a site-ului. Altele categorii de cookies sunt opționale sau pot intra chiar în categoria „malicious”, dăunătoare, care monitorizează utilizatorul dincolo de limitele admise. Utilizatorul își poate exprima consimțământul pentru toate categoriile, dar site-ul are un interes legitim legat de cookie-urile strict necesare. Ceea ce înseamnă că solicitarea de ștergere se poate referi doar la cookie-urile altfel decât strict necesare.
Conformitatea
Pentru tine, ca antreprenor, înseamnă următoarele lucruri (lista nu este exhaustivă, ci doar orientativă, în funcţie de obiectul afacerii tale):
- Ai nevoie de o pagină publică cu politica de confidenţialitate, unde descrii cum foloseşti datele cu caracter personal pe care ţi le colectezi de la utilizatori şi în baza cărui motiv o faci;
- Soliciți expres consimțământul de prelucrare înaintea prelucrării (opt-in, nu opt-out, adică acordul nu e implicit);
- Asiguri utilizatorilor un canal de comunicare prin care aceştia să-ţi poată transmite cererile de exercitare a drepturilor (ştergere, actualizare, export etc.). O adresă de e-mail dedicată este suficientă, iar cererile trebuie rezolvate în 30 de zile;
- Îţi faci o listă cu toate prelucrările şi o menţii actualizată, inclusiv detaliile tehnice, dacă e vorba de sisteme IT;
- Informezi angajaţii despre datele colectate și scopul lor;
- Dacă ai furnizori de servicii cu care transferi date cu caracter personal, ar fi bine să semnezi o anexă la contract care să detalieze aceste aspecte.
Ștefan Avramescu este specialist în securitate IT, compliance și data protection. A lucrat pentru KPMG, Booking.com și Avangate, în România și Olanda. Puteți afla mai multe despre el de pe LinkedIn.