In 2016, Parlamentul European, Consiliul UE si Comisia Europeana si-au unit fortele pentru a oferi tuturor persoanelor din Uniunea Europeana sansa la o protectie sporita a datelor personale. Astfel a aparut Regulamentul General Privind Protectia Datelor, constrangand toate companiile, indiferent de marimea acestora, sa numeasca un Ofiter pentru Protectia Datelor, printre alte asemenea cerinte. Lista de obligatii este luna, iar consecintele nu trebuie trecute cu vederea – in plus, termenul limita 28 mai 2018 se apropie cu pasi rapizi. Mai jos vom elabora aceste cerinte si vom analiza modurile in care afacerile vor fi afectate.

Efectele GDPR nu vor ajunge doar la cetatenii UE, ci si in afara acestora, indirect, prin intermediul cerintelor pe care le presupune. Si, avand in vedere ca majoritatea companiilor retin date personale ale locuitorilor UE, Regulamentul General Privind Protectia Datelor se va extinde ca aplicabilitate cu mult peste aria prevazuta initial, ajungand in timp sa impacteze chiar si la nivel global.

Ce li se cere, deci, companiilor?

In primul rand, principiul principal pe care se bazeaza GDPR este ca toate companiile trebuie sa stocheze si sa gestioneze datele personale intr-un mod care le face accesibile subiectilor acestor date si care le ofera posibilitatea de a le elimina din sistem oricand.

O a doua cerinta a Regulamentului este ca aceste date sa fie protejate si securizate in mod corespunzator, atat cat sunt in tranzit, cat si atunci cand sunt stocate.

Pentru a proteja datele intr-un mod eficient, companiile vor trebui sa bifeze anumiti pasi si anumite atribute de pe listele lor, printre care:

  • Datele personale vor trebui criptate corespunzator;
  • Companiile vor trebui sa testeze si sa evalueze constant eficacitatea masurilor luate pentru protejarea datelor;
  • Companiile trebuie sa poate recupera datele personale in timp util, in cazul in care au fost pierdute sau afectate de un incident, fie el de natura tehnica sau fizica;
  • Subiectii acestor date trebuie sa aiba siguranta ca sistemele de procesare si serviciile in cauza pot oferi in mod sustinut integritate, confidentialitate si disponibilitate.
Infrastructura tehnica este esentiala

Pentru a implementa in mod corect si eficient cerintele acestui regulament si pentru a evita amenzile usturatoare care pot veni in urma nerespectarii lor, companiile trebuie sa isi upgradeze infrastructura tehnica. Pana acum, multe companii inca au preferat sa isi pastreze datele in centre clasice de depozitare a datelor – o solutie destul de la indemana, dar deloc practica.

Cu toate acestea, este o abordare care trebuie sa se schimbe odata cu implementarea acestui Regulament – de acum, companiile trebuie sa detina mai mult control asupra datelor detinute, avand o mai clara imagine asupra lor. Nu vorbim doar despre date structurate precum contracte sau alte documente similare de prezentare a serviciilor, ci si despre datele continute in emailuri sau in comportamentul de pe retelele sociale.

Care este concluzia?

In cele din urma, Regulamentul a fost gandit pentru a impacta pozitiv toate partile implicate in ecuatie: atat pe aceia ai caror date personale sunt procesate de catre companii, cat si pe respectivele companii.

Cu toate ca poate parea ca dezvoltarea companiei tale va fi impiedicata de catre acest regulament, gandeste-te la faptul ca, probabil, compania ta deja a incercat sa obtina maximul de valoare pe care aceste date o detin si sa il optimizeze. In aceeasi ordine de idei, poti privi aceasta schimbare ca fiind cadrul legal de care aveai nevoie pentru a aplica toate aceste modificari, facand in acelasi timp parte dintr-o comunitate care procedeaza la fel ca tine si vorbeste aceeasi limba.