La ce riscuri se expun afacerile daca nu fac nimic pentru conformarea la GDPR ?

Datele cu caracter personal trebuie protejate

Desi aplicarea REGULAMENTULUI GENERAL DE PROTECTIA DATELOR CU CARACTER PERSONAL devine obligatorie din 25.05.2018 si sanctiunile sunt foarte mari, in practica o atitudine frecvent intalnita este cel mai bine definita de intrebarile ridicate de unii anteprenori romani:

  1. Cine o sa ma controleze si de ce o sa ma controleze tocmai pe mine ?
  2. Cine crezi tu ca o sa se poata conforma cu toate cerintele regulamentului ?
  3. Sigur in Romania nu o sa se aplice acest regulament. Si cine o sa poata plati asemenea amenzi aberante?
  4. Eu nu am date cu caracter personal, lucrez numai cu firme de ca ma priveste pe mine GDPR-ul ?

Aceste intrebari apar in principal din cauza faptului ca multe organizatii trateaza problemele ignorand consecintele. Pentru ca orice intrebare trebuie sa aiba un raspuns am cautat si noi raspunsurile corecte si obiective la intrebarile de mai sus :

  1. Autoritatea care raspunde de Protectia Datelor este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal si fiind o autoritate va trebui sa se organizeze si sa controleze respectarea legislatiei in domeniul de care se ocupa. Probabilitatea unui control la firmele mici si mijlocii (care lucreaza cu un set restrans de date cu caracter personal)  pare foarte, foarte mica la prima vedere. Totusi daca luam in calcul ca traim intr-un climat informational in care oricine isi cunoaste drepturile  (sau poate sa se informeze  foarte repede ) ,  nerespectarea drepturilor unei persoane fizice ii aduce atingere iar acest lucru nu va ramane asa pentru ca oamenii, prin natura umana lupta pentru drepturile lor deci probabilitatea in discutie creste exponential !
    Astfel orice persoana ale carei date cu caracter personal sunt in posesia dvs. poate solicita autoritatii sa verifice cum sunt protejate datele iar in acest caz controlul se va face.
    Deci lipsa conformarii legislative, in acest caz la GDPR este o vulnerabilitate a dumneavoastra si poate fi exploatata. Concurenta, un angajat nemultumit sau orice persoana care are dubii referitoare la protectia pe care dvs. o aplicati datelor personale poate trimite o sesizare iar aceasta va fi verificata.
  2. Raspunsul la aceasta intrebare este NIMENI, in prima faza dar… legea nu cere conformare 100% ci se cer masuri pentru a oferi un grad de protectie adecvat. Deci in prima etapa realizarea unor proceduri, aplicarea si documentarea  de masuri prin care sa dovediti ca “va pasa de informatia cu caracter personal” inseamna  “adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru  a se asigura îndeplinirea cerinţelor din prezentul regulament”.
    In acest caz este o mare diferenta intre  “S-au facut pasi pentru a se asigura un nivel corespunzator de protectie si NU s-a intreprins nimic in acest sens”
  3. Ca toate reglementarile UE se va aplica si in Romania. Asa s-a spus despre APIA, despre taxa auto, finantari samd.  Legislativul UE stie ca fara control nu se ajunge la conformare dar incet incet vor pune la punct si vor creste controlul. Exista o posibilitate (discutata la nivelul unui grup de lucru) ca amenzile sa se acorde gradual in functie de ce am aratat la punctul 2 dar oricum o amenda de incalcare a GDPR-ului pe multe firme le va scoate din afacere )
  4. Afirmatia este falsa, orice firma care are activitate are date cu caracter personal. Datele referitoare la angajati si la copiii acestora ( pe baza carora angajatii beneficiaza de deduceri de impozit), clienti, furnizori, corespondenta pe email, vizitele si interactiunea persoanelor cu  site-ul web,  sunt toate date cu caracter personal.