GDPR sau General Data Protection Regulation (protectia datelor) reprezinta un pachet de masuri care va intra in vigoare la inceputul anului viitor si prin care se doreste o protectie sporita a informatiilor cu caracter personal. Regulamentul vizeaza toate organizatiile care se ocupa si cu gestionarea datelor personale ale clientilor sai, atat timp cat clientii sunt cetateni UE.
Prin acest regulament, persoanele ale caror date personale sunt prelucrate, vor trebui sa aiba informatii clare despre modul in care le sunt folosite datele si vor avea optiunea de a-si transfera in totalitate datele cu caracter personal catre o alta companie, fara vreo constrangere sau repercursiune.
Din aceasta categorie fac parte si datele angajatilor, datele personale folosite in marketing dar si informatii mai sensibile precum fisa medicala a unei persoane, cazier fiscal/judiciar, optiuni politice, confesiuni religioase, date privind orientarea sexuala, etc.
Ce masuri trebuie sa ia companiile, odata cu implementarea GDPR
Companiile sau institutiile publice a caror activitate principala consta in prelucrarea datelor cu caracter personal, vor trebui sa angajeze o persoana responsabila cu protectia datelor personale prelucrate, care va ocupa functia de DPO (Data Protection Officer).
De asemenea, formularele prin care se cere consimtamantul unei persoane de a-i prelucra datele personale (precum cele dintr-un magazin online) vor trebui simplificate si vor trebui sa fie redactate intr-un mod concis si intr-un limbaj usor de inteles pentru toata lumea. Dupa intrarea in vigoare a GDPR, nu va mai fi permisa conditionarea consimtamantului. Companiile nu vor mai putea impune clientului sa fie de acord cu prelucrarea datelor sale personale, in schimbul unor facilitati (reduceri, promotii, bunuri/servicii gratuite etc.)
Masuri tehnice necesare
Inainte de a implementa orice fel de masura tehnica in cadrul companiei noastre, va trebui sa evaluam eficienta sistemelor noastre actuale de protectie a datelor, ce imbunatatiri putem sa le aducem dar si o cuantificare a riscurilor la care ne supunem prin mentinerea aceluiasi sistem de protectie a datelor.
Din punct de vedere tehnic, cea mai importanta masura este criptarea datelor, printr-un algoritm cat mai avansat. O alta masura este DLP (Data Loss Prevention), prin care sa ne asiguram ca utilizatorii neautorizati nu vor distribui datele sensibile accidental sau din rea-vointa.
Implementarea unor solutii de securitate/monitorizare a bazelor de date este de asemenea indicata, dar si instrumente de arhivare, back-up, clasificare, etichetare, auditare loguri ne vor ajuta sa reducem riscurile pana la un punct minim.
Impactul GDPR asupra companiilor
Companiile care inca nu s-au conformat cu directivele noului regulament european, vor trebui sa-si modifice dupa caz, intregul plan de afaceri si sa investeasca mai mult timp in operatiunile de estimare a riscului, proceduri de management al bazelor de date si dezvoltarea unei proceduri de transfer/prelucrare a datelor personale.
Noile reglementari vor avea un impact si asupra bugetului companiei, care va trebui sa investeasca in sisteme mai performante de protectie a datelor, asistenta de la o companie specializata in protectia datelor sau angajarea de personal suplimentar, responsabil cu protectia/prelucrarea datelor cu caracter personal.