Regulamentul general privind protecţia datelor , prescurtat GDPR impune un set unic de reguli , direct aplicabile în toate statele membre ale Uniunii şi înlocuieşte Directiva 95/46/CE şi, implicit, prevederile Legii nr. 677/2001.

Noul regulament care va intra în vigoare în 25 mai 2018 impune operatorilor de date (firme, companii, instituții și așa mai departe) anumite cerințe.

Printre aceste cerințe impuse se numără:

  1. Respectarea unui temei juridic pentru control și prelucrarea datelor personale
  2. Stabilirea unui scop legitim pentru colectarea și prelucrarea datelor personale
  3. Documentarea activităților de prelucrare a datelor personale
  4. Evaluarea riscurilor asupra drepturilor și libertăților persoanelor fizice
  5. Stabilirea unor măsuri tehnice și organizatorice pentru protejarea datelor personale
  6. Minimalizarea cantității de date personale prelucrate în cadrul companiei
  7. Conformitatea cu noul regulament
  8. În caz de incident (furt de date, distrugere date, modificare date, acces neautorizat la date, divulgare date) trebuie notificată Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
  9. Desemnarea unui DPO- Data Protection Officer/ responsabil cu protecția datelor
  10. Actualizarea și gestionarea permanentă a datelor personale
  11. Verificarea transferului datelor în afara Uniunii Europene

Recomandarea specialiștilor în prima fază,  este de a urma acești pași:

Pasul 1 Cercetați situația actuală

Faceți un audit al datelor pe care le dețineți. Aflați ce aveți, de ce le aveți, ce intenționați să faceți cu ele și ce fel de acord ați obținut: a fost explicit, implicit sau lipsește cu desăvârșire?

Pasul 2 Obțineți consimțământul

Consimțământul de a folosi datele unui client trebuie să fie scris sau verbal și trebuie, în orice clipă, să puteți arăta cum a fost acordat – așa că păstrați o copie a acestuia. Încorporați cererea acestui consimțământ atunci când interacționați cu clienții

Pasul 3 Verificați-vă nivelul de securitate

Dacă există o problemă de securitate care rezultă în scurgere sau furturi de date (servere atacate etc), companiile au obligația de a anunța autoritățile într-un interval de 72 de ore de la atacul informatic.