Mai putin de trei saptamani pana la noile norme GDPR

Desi ar trebui sa garanteze pentru buna implementare a Regulamentului General privind Protectia Datelor (GDPR) in tara noastra, statul roman a ramas a el insusi in urma cu adoptarea legilor care sa permita colectarea si prelucrarea datelor personale in conformitate cu noile standarde impuse de UE.

Pe fondul cresterii infractionalitatii din mediul virtual, UE a decis inca de acum doi ani ca nu mai poate permite ca datele personale ale celor peste 500 de milioane de cetateni ai sai sa fie folosite de oricine si in orice conditii. In consecinta, pe 4 mai 2016, Uniunea a adoptat Regulamentul General privind Protectia Datelor. Acesta este, de fapt, un set de principii si de reguli care obliga operatorii de date – fie ei institutii sau firme – sa colecteze de la cetatenii doar datele personale de stricta necesitate pentru desfasurarea activitatii.

In plus, le impune operatorilor sa prelucreze datele oamenilor doar in conditii sigure si sa le stocheze numai cata vreme au intr-adevar nevoie de ele. In multe dintre cazuri, potrivit GDPR, datele personale ale cetateanului european vor putea fi colectate si prelucrate numai daca acesta isi exprima mai intai acordul. In plus, cetateanul va putea cere chiar stergerea unor informatii persoanale din evidentele institutiilor si din cele ale firmelor. Totul a fost gandit astfel incat europeanul sa poate trai in siguranta si sa se bucure de cat mai multa intimitate.

La o prima vedere, o astfel de securizare a modului de colectare si prelucrare a datelor ar putea parea relativ usor de facut. La urma urmei, avem deja Legea 677/2001 care stabileste norme de protectie a datelor personale. In realitate, insa, tranzitia nu va fi deloc usoara. Dimpotriva, implementarea GDPR – o colectie de reguli care ocupa sute de pagini – va schimba radical si definitiv modul in care lucreaza cele mai multe dintre institutiile si firmele din tara noastra si din celelalte 27 de state membre UE.

Obligatii noi atat pentru institutii, cat si pentru firme

Sa luam, mai intai, cazul institutiilor. Cele mai multe dintre ele – incepand cu primariile si ajungand la administratiile fiscale, la spitale, la scoli, la sectii de politie etc – colecteaza si prelucreaza date persoanele ale cetatenilor ca sa isi poate face treaba. In consecinta, pentru a nu incalca normele GDPR, fiecare dintre ele ar fi trebuit sa gaseasca cea mai potrivita cale de a-si reorganiza activitatea pentru a lucra mai eficient cu datele personale ale oamenilor.

La fel stau lucrurile si in cazul multora dintre firme. Sa ne gandim doar la cele cu care interactionam frecvent, de la banci la asiguratori, magazine online, clinici medicale private sau agentii de turism. Toate ne colecteaza si ne prelucreaza datele personale, fie ca e vorba despre nume, despre adrese sau alte date din buletin. Iar asta inseamna ca toate ar fi trebuit sa isi schimbe modul de lucru dupa cum le impun prevederile GDPR.

Fiecare firma si fiecare insttutie care lucreaza cu date personale va trebui sa isi creeze propria procedura pentru colectarea si prelucrarea acestora. In plus, va trebui sa aiba un registru in care sa mentioneze fiecare prelucrare. In unele cazuri, va trebui chiar sa isi angajeze unul sau mai multi responsabili cu protectia datelor personale, care se vor numi data protection officers (DPO).

Doi ani in care nu s-a facut mare lucru

UE a prevazut in 2016 ca aceasta conformare la noile norme de protectia datelor va fi dificila si costisitoare. In consecinta, le-a acordat tuturor operatorilor de date din statele membre nu mai putin de 2 ani pentru a implementa GDPR. Aceasta perioada de gratie – in care se presupune ca operatorii de date s-au pregatit temeinic – expira peste doar 3 saptamani, pe 25 mai 2018.

La acel moment GDPR va intra in vigoare si va incepe sa produca efecte. Nu va mai fi nevoie ca Romania sa publice textul regulamentului in Monitorul Oficial sau sa ii recunoasca valabilitatea intr-un alt mod. Simpla aparteneta la UE obliga tara noastra se respecte regulamentul, odata intrat in vigoare.

Iar asta inseamna ca pe 26 mai, operatorilor de date li s-ar putea cere sa faca dovada ca au implementat prevederile regulamentului si ca-l respecta. Iar in cazul in care n-ar avea pregatita intreaga procedura care sa le permita respectarea Regulamentului, ar putea fi penalizati cu amenzi usturatoare, de pana la 20 de milioane de euro. Daca asa ceva s-ar intampla, multe institutii si firme din Romania ar ajunge sa puna lacatul pe usa.

Legile care permit aplicarea GDPR, date pe ultima suta de metri

In realitate, sansele ca asa ceva sa se intample imediat dupa intrarea in vigoare a regulamentului sunt destul de mici. Inainte de toate, din cauza ca, momentan, n-ar avea cine sa desfasoare controalele si sa aplice amenzile. In mod normal, de asta ar urma sa se ocupe Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), infiintata inca din 2005.

In realitate, insa, Autoritatea va putea controla modul in care este respectat GDPR si va putea da amenzi abia in momentul in care legea i-o va permite. Iar momentan, legea care i-ar permite-o e inca la Senat, in faza de avizare, a explicat pentru Ziare.com Radu Mihaiu, fost secretar de stat in Guvernul Ciolos, actualmente coordonator al Comisiei de Taiat Hartii.

„E scris foarte clar in Regulament faptul ca autoritatea care da amenzi si care indeplineste si alte functii deosebit de importante – cum ar fi aprobarea unor coduri de conduita ale unora dintre procesatorii de date – este desemnata prin lege nationala. Or, noi nu avem autoritate desemnata prin lege, inca”, a precizat Radu Mihaiu.

Proiectul de act normativ care vizeaza modificarea Legii nr 102/2005 (privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, precum si pentru abrogarea Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date) a fost lansat Ministerul Afacerilor Interne (MAI) in dezbatere publica pe 5 septembrie 2017. El a fost, insa, prezentat de Guvern Biroului Permanent al Camerei Deputatilor abia pe 10 aprilie 2018.

Deputatii au preluat in procedura de urgenta proiectul, l-au avizat, l-au votat si l-au inaintat Senatului. Totul, in doar 15 zile. Acum proiectul de lege asteapta sa fie avizat de cinci comisii de specialitate din Senat, iar comisia de fond – cea Juridica, de numiri, disciplina, imunitati si validari – are termen pana pe 22 mai sa depuna raportul final. Ulterior, ar trebui votata si adoptata pana pe 25 mai legea care sa abiliteze ANSPDCP sa monitorizeze implementarea GDPR si, eventual, sa dea sanctiuni cand si daca e cazul.

In mod normal, daca exista respect fata de cetateni si mediul de afaceri, daca exista respect fata de buna functionare a statului, aceasta lege ar fi trebuit sa fie de mult timp in vigoare.

Urmareste Ziare.com si pe Facebook! Comenteaza si vezi in fluxul tau de noutati de pe Facebook cele mai noi si interesante articole de pe Ziare.com.