După primul an GDPR în România, e timpul să încetăm cu dezinformările!
0„GDPR-ul nu este o revoluţie, este o evoluţie!“, aşa îmi încep majoritatea cursurilor încercând să explic că acest pachet de reglementări legislative există înca din 1995 şi a evoluat într-un regulament european unic, influenţat mai ales de dezvoltarea tehnologică fără precedent.
Putem spune că în acest moment legislaţia aleargă după tehnologie, dacă ne gândim doar la intelingenţa artificială şi la dispozitivele 5G.
Regulamentul UE 679/2016 cunoscut drept GDPR a intrat în vigoare în 2016, acum trei ani de zile, dar se aplică doar din 25 mai 2018, dupa o perioadă de graţie de doi ani, pe care majoritatea statelor europene nu au folosit-o pentru a lansa campanii de educare a persoanelor vizate şi a operatorilor. Astfel, startul a fost dat în luna mai anul trecut, la momentul respectiv existând o estimare că doar 20% dintre operatorii euroepeni au început demersurile pentru a obţine conformitatea.
În România GDPR-ul a intrat brusc în vieţile noastre printr-un bombardament al consimţămintelor lansat de operatori din dorinţa de a intra rapid în legalitate. Acest demers a introdus şi panica care s-a propagat pe tot parcursul anului. Această panică a fost alimentată şi de marketingul înşelător a unor indivizi şi companii care oferă servicii de consultanţă, accentuând în primul rând dimensiunea astrologică a amenzilor în loc să promoveze nevoia de instruire a personalului, fiind mai mult o responsabilita a operatorului.
În tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI!
Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită banilor obţinuţi prin tranzacţionarea datelor personale şi a informaţiilor confidenţiale, efect direct al evoluţiei exponenţiale a tehnologiei.
Noi ca operatori de date, trebuie să renunţăm la a mai cauta soluţii formale. Complianţa GDPR nu se obţine apasând butonul „Print“ şi orice operator care alege această cale rămâne la fel de expus riscurilor.
Şi nu în ultimul rând trebuie să nu uităm că toţi suntem persoane vizate. Dacă la birou nu simt acest lucru pentru că sunt patron şi influenţez şi decid direct în ce direcţie îmi conduc firma, atunci când navighez pe internet sau pur şi simplu merg pe stradă, intru într-un supermarket sau într-un hotel, sunt doar o persoana fizică şi mă aştept să pot să decid cine, de ce şi ce date personale prelucrează despre mine. Cu toţii trebuie să punem umarul şi să vorbim cu prietenii, rudele, vecinii despre erorile pe care le facem atunci când vânăm gratuităţi pe internet. Trebuie să încetăm să mai credem că ceva este gratuit şi că de fapt plătim scump cu datele noastre personale care au devenit o valoroasă monedă de schimb.
Şi nu în ultimul rând mai trebuie să învăţăm o lecţie: „Când eşti cunoscut, oamenilor le place să vorbească despre tine. Totuşi, nu tot ce se vorbeşte, este şi adevărat!“. Trebuie să învăţăm ce înseamnă Fakenews, să recunoaştem acest fenomen, să ne protejăm, să nu mai alimentăm cererea şi să sancţionăm atunci când această practică ne influenţează deciziile.
În cele ce urmează mi-am propus să explic de ce următoarele afirmaţii sunt de fapt nişte dezinformări!
GDPR-ul schimbă complet modul în care organizaţiile trebuie să-şi gestioneze datele. FALS!
- UE a avut norme de protecţie a datelor din anul 1995 si GDPR-ul nu este un set nou-nouţ al normelor UE privind protecţia datelor. Este o evoluţie a setului existent de reguli, bazat pe principiile stricte de protecţie a datelor prevăzute în Directiva privind protecţia datelor. Aceste reguli au fost prezente încă din 1995, deci e timpul să ne asigurăm că acestea sunt potrivite pentru era digitală.
GDPR-ul va sufoca inovaţia europeană în domeniul inteligenţei artificiale (IA). FALS!
- GDPR-ul se asigură că datele cu caracter personal sunt protejate în raport cu Inteligenta Artificiala (IA). Protecţia datelor cu caracter personal este un drept fundamental în UE. Aşadar, se aplică şi procesării datelor cu caracter personal prin intermediul inteligenţei artificiale şi roboticii. Cu toate acestea, în cazul în care datele utilizate pentru IA sunt anonimizate, atunci nu se aplică cerinţele GDPR. GDPR-ul a fost proiectat spre a fi neutru din punct de vedere tehnologic şi oferă cadrul pentru dezvoltarea unei IA care respectă cetăţenii. GDPR-ul permite luarea unor decizii automate în cazul în care există o justificare fie prin contract, consimţământ explicit sau prin lege şi cu condiţia să se furnizeze garanţii specifice persoanelor în cauză, cum ar fi dreptul de a primi informaţii semnificative privind logica implicată prelucrării acestora şi consecinţele preconizate.
Proprietarii nu pot expune numele chiriaşilor la soneria de la intrare. FALS!
- Consimţământul nu este singurul temei juridic pentru prelucrarea datelor. GDPR-UL nu impune îndepărtarea numelor de pe soneriile de la intrare sau de pe căsuţele poştale. Consimţământul este doar unul dintre temeiurile juridice pe baza căruia pot fi prelucrate datele cu caracter personal conform GDPR. Un alt temei juridic aplicabil în acest caz este „interesul legitim“, deoarece unele persoane trebuie informate cine locuieşte într-un anumit apartament cu scopul de a contacta persoana respectivă în vederea distribuirii poştei personale. Dacă numele persoanelor de pe soneriile de la intrare, sunt stipulate în contractele de închiriere, contractul ca atare reprezintă un potenţial temei juridic.
GDPR-ul copleşeşte întreprinderile mici. FALS!
- Obligaţiile nu sunt aceleaşi pentru toate companiile şi organizaţiile. GDPR-ul nu este menit să suprasolicite IMM-uri. Obligaţiile sunt calibrate în funcţie de dimensiunea afacerii şi / sau de natura datelor prelucrate. Companiile mai mici, care procesează mai puţine date şi nu procesează date sensibile, cum ar fi opiniile politice şi orientarea sexuală, vor avea mai puţine obligaţii de urmat. De exemplu, nu fiecare societate trebuie să numească un responsabil cu protecţia datelor sau să efectueze o evaluare a impactului privind protecţia datelor.
Normele GDPR fac jurnalismul mai greu. FALS!
- GDPR-ul susţine libertatea presei. Noile norme privind protecţia datelor iau în considerare libertatea presei. Aceasta înseamnă că jurnaliştii sunt încă în măsură să-şi exercite munca şi să-şi protejeze sursele. Statele membre ale UE, atunci când este necesar, trebuie să prevadă excepţii sau derogări presei în legislaţiile lor naţionale.
„Ei bine, oricum, Facebook are sediul în SUA şi nu trebuie să respecte legislaţia“. FALS!
- Companiile din afara UE trebuie să se conformeze normelor GDPR. Toate companiile care operează pe piaţa UE trebuie să respecte noile norme, indiferent de locul în care se află şi unde au loc activităţile lor de prelucrare a datelor. Toate companiile vor fi supuse aceloraşi sancţiuni dacă încalcă regulile. Aceasta creează condiţii de concurenţă echitabile atât pentru companiile din UE, cât şi pentru cele din afara UE.
Normele GDPR nu acordă mai mult control deoarece companiile cer consimţământul doar o dată iar apoi fac ce vor cu datele mele. FALS!
- Companiile trebuie să vă solicite consimţământul a doua oară, în cazul în care doresc să vă utilizeze datele pentru un al doilea scop. GDPR-ul prevede că datele cu caracter personal nu pot fi utilizate fără consimţământul persoanei vizate. Dacă o companie colectează datele unei persoane pentru un anumit scop şi apoi doreşte să utilizeze datele respective într-un alt scop sau să le transmită unei terţe părţi, trebuie să solicite din nou consimţământul persoanei vizate. În cazul în care vi s-a solicitat consimţământul pentru prelucrarea datele dumneavoastră cu caracter personal, puteţi cere oricând organizaţiei respective să oprească prelucrarea acestora prin retragerea consimţământului dumneavoastră. Organizaţia respectivă trebuie să se conformeze solicitării dumneavoastră în cazul în care, nu deţine alte motive legale pentru prelucrarea datelor dumneavoastră.
Normele GDPR împiedică campania politică. FALS!
- Partidele politice pot procesa date cu caracter personal pentru campanii - dar numai din motive de interes public. Normele GDPR nu interzic partidelor politice şi grupurilor de campanie să prelucreze date cu caracter personal în scopuri politice. Dar normele clarifică faptul că, acestora nu li se permite să prelucreze date cu caracter personal numai din motive de interes public şi cu condiţia să stabilească garanţii adecvate.
Avem nevoie de mai mult timp pentru a ne adapta la aceste reguli complicate. FALS!
- Perioada de doi ani nu a fost suficientă? Când normele GDPR au intrat în vigoare la 24 Mai 2016, a fost prevăzută o perioadă de tranziţie de doi ani pentru a oferi companiilor timpul necesar de a-şi alinia practicile în conformitate cu noile norme. Această perioadă de tranziţie s-a încheiat la 25 Mai 2018. În prezent, Autorităţile de supraveghere a protecţiei datelor au competenţa de a sancţiona pe cei care nu respectă noile norme.
Amenzile sub normele GDPR pot ucide o afacere. FALS!
- Nerespectarea normelor nu înseamnă în mod automat o amendă de 20 de milioane € - există şi avertismente.Normele GDPR stabilesc o serie de sancţiuni pentru cei care încalcă regulile. Pe lângă amenzi, există alte măsuri corective, cum ar fi avertismentele, mustrările şi ordinele de respectare a solicitărilor persoanei vizate. Decizia Autorităţilor de supraveghere privind protecţia datelor de impunere a amenzilor trebuie să fie proporţională şi să se bazeze pe o evaluare a tuturor circumstanţelor cazului respectiv. În cazul în care Autoritatea hotărăşte să impună o amendă, suma de 20 milioane EUR sau 4% din cifra de afaceri anuală reprezintă suma maximă absolută. Cuantumul amenzii depinde de circumstanţele fiecărui caz în parte, inclusiv gravitatea încălcării sau dacă încălcarea a fost intenţionată sau din neglijenţă.
GDPR-ul va distruge Crăciunul. FALS!
- GDPR-ul nu împiedică copiii sa îi scrie lui Moş Crăciun. Este corect să enunţăm că normele GDPR sunt concepute să protejeze utilizarea datele cu caracter personal fără permisiunea dumneavoastră, iar conform acestor reguli, nicăieri este stipulată împiedicarea copiilor să-i spună public lui Moş Crăciun ce-şi doresc de Crăciun. Este la latitudinea părinţilor să decidă dacă copiii lor pot partaja lista lor de dorinţe în mod public sau nu.
Mie nu mi se aplică GDPR-ul. FALS!
- Regulamentul UE 679/2016 se aplică tuturor operatorilor de date cu caracter personal care îşi au sediul în spaţiul european sau prelucrează date ale persoanelor vizate, cetăţeni europeni. Nu contează domeniul de activitate, atâta timp cât ai cel puţin un angajat, prelucrezi datele acestuia.
„Nu vine nimeni să mă controleze pe mine“. FALS!
- Orice operator de date cu caracter personal poate face obiectul unei investigaţii în urma unei simple sesizări la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Este momentul să abandonăm campaniile menite să creeze panica, sa informam corect clientii despre riscurile reale şi dacă suntem specialişti GDPR să încheiem contracte cu clienţii bazându-ne în primul rând nevoia de educaţie operatorului şi pe responsabilitatea de a garanta drepturile persoanelor vizate. În ţările nordice GDPR-ul are o alta valenţă. Operatorii de date cu caracter personal îsi propun conformitatea GDPR din dorinţa de a nu dezamăgii partenerii şi clienţii, pe când în România termenul de „dezamăgire“ îl utilizăm aproape exclusiv în contextul „dragostei intre doua persoane“.