Prelucrarea datelor personale reprezintă, pentru mediul de afaceri, un moment care a revoluționat modul în care companiile, inclusiv cele de transport, își desfășoară activitatea. Putem vorbi, acum, de multiple alegeri pe care clienții le au la dispoziție pentru a-și personaliza opțiunile de călătorie, soluții care presupun algoritmi complecși, ce au, însă, la bază date cu caracter personal.
Noul Regulament General privind Protecția Datelor (GDPR – General Data Protection Regulation), sau Regulamentul UE 679/2016, a fost adoptat de Parlamentul European și Consiliul Europei în aprilie 2016, iar prevederile acestuia vor fi direct aplicabile, în toate statele membre UE, începând cu data de 25 mai 2018.
Regulamentul impune reguli noi, care vor solicita companiilor de transport să asigure o atenție sporită cu privire la modul în care colectează, prelucrează și stochează datele cu caracter personal, aparținând atât clienților, cât și angajaților, colaboratorilor, furnizorilor etc. Reglementările UE își propun să consolideze drepturile persoanelor fizice în domeniul prelucrării datelor și introduc un set de noi drepturi, menite să asigure un mai bun control al persoanei fizice asupra datelor care îl sau o caracterizează: dreptul la ștergere sau dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricționarea prelucrării.
Ce reprezintă „datele cu caracter personal”?
În accepțiunea GDPR, „datele cu caracter personal” sunt informațiile care permit identificarea unui individ, direct sau indirect. Dar ceea ce poate fi definit ca „identificator” este mult mai complex, incluzând, acum, pe lângă elementele de identificare consacrate (nume, prenume, cod numeric personal, adresă etc.) și identificatori on-line (adresa IP, date privind geolocalizarea, istoricul navigării pe internet etc.), înregistrări audio / video (CCTV) sau date cu caracter special (religia, orientarea sexuală, informații referitoare la sănătate, date genetice, biometrice etc.).
Obligații
Noile reglementări asigură armonizarea legislațiilor naționale privind protecția datelor în UE, definesc mult mai clar obligațiile celor care utilizează date cu caracter personal și sporesc drepturile persoanelor fizice. Altfel spus, GDPR își propune să elimine orice scenariu care presupune folosirea datelor cu caracter personal obținute în mod ilegal, utilizate în alte scopuri decât cele care au fost convenite sau care nu au fost protejate în mod corespunzător.
Principalele reguli care trebuie respectate pentru a vă conforma GDPR sunt:
– stocarea datelor într-o manieră organizată;
– păstrarea în siguranță a datelor;
– ștergerea datelor care nu sunt necesare;
– notificarea activității de procesare a datelor;
– asigurarea furnizării, la cerere, a datelor;
– ștergerea datelor, la cerere;
– obținerea acordului explicit al persoanelor pentru utilizarea datelor;
– pregătirea continuă a personalului privind GDPR.
Deși GDPR ar putea fi asociat unor altor măsuri restrictive, conformarea la aceste valori fundamentale europene ar trebui să fie privită, în același timp, ca un mijloc prin care se asigură adaptarea companiei la un mediu de afaceri modern, din ce în ce mai complex și competitiv.
De la avertisment, la amendă de 20 milioane de euro
În cazul nerespectării Regulamentului UE 679/2016, constatată în urma unor plângeri sau a unor investigații făcute de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, pot fi aplicate măsuri corective, care merg de la: mustrare, avertisment, avertizare, emiterea unor decizii de limitare temporară a activității, obligarea operatorului să se conformeze regulamentului într-un anumit domeniu, până la aplicarea unor amenzi administrative, care ajung, în cazul nerespectării drepturilor persoanelor vizate, la limita maximă de 4% din cifra de afaceri sau 20 de milioane de euro.
Proceduri și responsabili
Pentru a nu se ajunge la aceste situații, este recomandat ca, până la intrarea în vigoarea a noului regulament, operatorii de date să-și adopte o serie de proceduri interne, să-și instruiască personalul, să adopte o serie de ghiduri și de formulare specifice, pe care să le aducă la cunoștința angajaților, în scopul implementării cerințelor noilor reglementări.
O altă dimensiune importantă o reprezintă desemnarea unui responsabil cu prelucrarea datelor – DPO. Aceasta este o cerință nouă și expresă a noului regulament și vizează numirea unei persoane care să exercite activitatea de informare, consiliere și de control în plan intern în domeniul protecției datelor cu caracter personal. Această persoană poate fi un angajat din cadrul firmei, sau pot fi contractate astfel de servicii de la o firmă specializată.
Liviu IONIȚĂ
CEO & founder L&M Business Intelligence Consulting
Cristi LĂȚEA
Senior consultant L&M Business Intelligence Consulting
office@business-intell.ro
www.business-intel.ro
