GDPR sau General Data Protection Regulation va înlocui Directiva de Protecție a Datelor 95/46/ec începând cu 25 mai 2018. Această lege reglementează modalitatea în care companiile protejează datele personale ale cetățenilor din Uniunea Europeană. Scopul ei este acela de a impune legi specifice și uniforme, pentru a crea consistență în toată Uniunea Europeană. Astfel, nu va mai fi necesar ca statele membre să își creeze un cadru legislativ propriu.
- Acordul vizitatorilor pentru prelucrarea datelor;
- Anonimizarea datelor de colectare pentru a permite o protecție adecvată a intimității;
- Garantarea securității în procesul de transfer al datelor;
- Notificarea în situații de scurgeri de date;
- Existența unui ofițer de protecție a datelor care să supravegheze respectarea GDPR
Cine este subiectul GDPR?
Fiecare companie care colectează date referitoare la locuitorii din Uniunea Europeană se supune acestei legi, indiferent de locația ei. Drept urmare, GDPR va avea un impact global. Reglementările se aplică în companiilor care controlează și prelucrează date în Uniunea Europeană. Totodată, este valabilă și pentru companiile din afara Uniunii Europene, dacă aceștia colectează date referitoare la rezidenții țărilor din UE. Potrivit Comisiei Europene, subiectul datelor cu caracter personal implică orice informație, indiferent dacă se referă la aspecte publice, profesionale sau private. Spre exemplu, acestea pot fi: o adresă de email, o fotografie, o postare în social media, o adresă IP, o informație medicală etc. Conform noilor reglementări, toate aceste date trebuie protejate. Astfel, trebuie să te asiguri că strategia ta digitală ține cont de aceste noi prevederi. Fiecare membru al Uniunii Europene are obligația de a înființa o autoritate independentă cu rol în sancționarea infracțiunilor și investigarea plângerilor existente. O astfel de autoritate a fiecărui stat va coopera cu celelalte entități de supraveghere pentru organizarea unor operațiuni comune și oferirea de asistență. O excepție de la această lege fac datele prelucrate în contextul angajării sau cele de securitate națională.Sancțiuni pentru companiile care nu se supun noilor cerințe
În prezent, Directiva de Protecție a Datelor nu delimitează penalități stricte pentru nerespectare. Regulamentul General privind Protecția Datelor Personale va aduce o serie de schimbări interesante în ceea ce privește sancționarea companiilor care nu reușesc să se supună noilor prevederi. Autoritățile responsabile vor avea mai multă jurisdicție decât în cazul legilor anterioare, deoarece vor impune un standard în întreaga Uniune Europeană. Acestea vor avea autoritatea de a investiga, de a emite avertismente și de a efectua audituri. Ele pot solicita îmbunătățiri, să stabilească termene limită sau chiar să împiedice companiile să transfere date spre diverse țări. În cazul în care companiile nu se adaptează legislației începând cu luna mai 2018, riscă amenzi. Valoarea lor poate ajunge până la 4% din cifra de afaceri anuală globală.Iată o listă a sancțiunilor care pot fi impuse:
- Avertismente pentru abateri neintenționate sau prime abateri;
- Audituri privind protecția datelor cu caracter personal;
- Amenzi de până la 1.000.000 euro sau până la 2% din cifra de afaceri anuală globală în cazul încălcării prevederilor art. 84, paragraful 4;
- Amenzi de până la 2.000.000 euro sau până la 4% din cifra de afaceri anuală globală în cazul încălcării prevederilor art. 83, paragraful 5,6;

Prevederile GDPR
Regulamentul General privind Protecția Datelor Personale conține 11 capitole, cu 91 de articole. Am făcut o listă cu cele mai importante prevederi care vor afecta operațiunile de securitate ale afacerii tale. Iată câteva modificări cheie ale GDPR: Politici transparente – procesatorii de date trebuie:- Să furnizeze o notificare privind colectarea datelor;
- Să explice scopul procesării și justificarea utilizării acestora;
- Să definească politicile de păstrare și ștergere a datelor;
- Să acceseze datele personale colectate;
- Să șteargă datele personale colectate;
- Să corecteze greșelile în ceea ce privește datele lor;
- Să obiecteze prelucrarea datelor personale;
- Să protejeze toate datele colectate prin practici de securitate corespunzătoare;
- Să notifice autoritățile în situația unor scurgeri de date;
- Să păstreze o evidență a datelor procesate;
- Să primească consimțământ înainte de a prelucra date cu caracter personal;
- Să angajeze un ofițer de protecție a datelor;
- Să creeze și să gestioneze contracte de procesare;
- Să instruiască angajații corespunzător;
- Să actualizeze politicile privind datele;
Ce trebuie să știi despre consimțământul utilizatorului
- Consimțământul trebuie să fie separat de pagina de termeni și condiții;
- Nu poți utiliza cutii pre-bifate;
- Nu poți transforma consimțământul într-o condiție prealabilă a unui serviciu;
- Trebuie să separi consimțământul pe mai multe subiecte, o casetă nu se potrivește tuturor situațiilor posibile;
- Trebuie să ții o evidență a momentului și contextului în care un utilizator și-a dat consimțământul;
- Trebuie să te asiguri că o persoană poate să își retragă simplu consimțământul în orice moment;
- Trebuie să incluzi numele companiei tale și a tuturor părților care se vor baza pe consimțământ;
- Trebuie să oferi detalii despre motivul pentru care dorești să colectezi date personale și ce intenționezi să faci cu acestea;