In data de 4 mai 2016, a fost publicat in Jurnalul Oficial al Uniunii Europene pachetul legislativ privind protectia datelor la nivelul Uniunii Europene, respectiv:
- Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), care va avea directa aplicabilitate in toate statele membre, inclusiv in Romania, incepand cu data de 25 mai 2018 si
- Directiva (UE) 2016/680 referitoare la protectia datelor personale in cadrul activitatilor specifice desfasurate de autoritatile de aplicare a legii. Regulamentul UE 2016/679 circumstantiaza si detaliaza multe conditii deja existente in legislatia europeana (Directiva privind protectia datelor cu caracter personal 95/46/EC, care isi va inceta aplicabilitatea).
Nerespectarea Regulamentului General privind Protectia Datelor poate atrage mai multe tipuri de sanctiuni/despagubiri, inclusiv amenzi foarte mari de pana la 20 de milioane de euro sau 4% din cifra de afaceri globala.
Consiliul National al Intreprinderilor Private Mici si Mijlocii din Romania (CNIPMMR) a realizat in perioada 30.05-4.06.2018 un sondaj sub forma unui chestionar aplicat pe site-ul www.cnipmmr.ro si la nivelul membrilor CNIPMMR privind impactul noilor reguli privind protectia datelor si stadiul de implementare a masurilor necesare pentru conformare la nivelul intreprinderii/ organizatiei.
Respondentii in numar de 210, au fost in proportie de 51,4 % microintreprinderi, 21,6 % intreprinderi mici, 18,9% intreprinderi mijlocii si 8,1% ONG-uri si alte forme juridice.
Din cei 210 respondenti, 52,6% au intre 1-9 salariati, 26,3% detin intre 10-50 salariati, 15,8% au intre 51-250 de salariati, restul de 5,3% avand peste 250 de salariati.
Intrebati daca detin informatii despre continutul Regulamentului General privind Protectia Datelor nr. 679/2016, 79,4% au raspuns pozitiv.
Intrebati unde au gasit informatii corespunzatoare despre continutul Regulamentului General privind Protectia Datelor, respondentii au mentionat:
- 35%: Site-urile nationale/la nivel european
- 30%: Mass-media
- 15%: Societati de consultanta
- 12%: Autoritatile publice din Romania
- 8%: Altele
Intrebati daca au reusit sa adopte masuri la nivelul societatii/organizatiei lor pentru implementarea Regulamentului General privind Protectia Datelor din data de 25 mai 2018, 42,1% au raspuns negativ, 28,9% pozitiv, 28,9% mentionand ca urmeaza.
Astfel, etapele pe care au reusit sa le parcurga pana acum la nivelul societatii/organizatiei pentru implementarea Regulamentului General privind Protectia Datelor, au fost:
- 39%: Auditarea datelor si proceselor, pentru a evalua masura in care GDPR se aplica organizatiei/societatii (identificarea datelor cu caracter personal si a locului unde se afla ele)
- 22%: Gestionarea - controlarea modului in care se utilizeaza datele cu caracter personal (adoptarea de politici transparente, care arata clar in ce fel, cand si cum colecteaza si prelucreaza organizatia dvs. date cu caracter personal)
- 22%: Protejarea - stabilirea de masuri de securitate pentru a proteja datele personale (crearea unui plan de gestiune a riscurilor si utilizarea unei infrastructuri sigure si caracteristici avansate de securitate)
- 17%: Asigurarea noilor cerinte si standarde privind transparenta, raspunderea si pastrarea evidentelor (folosirea de instrumente corespunzatoare)
Intrebati daca la nivelul societatii/organizatiei este cazul numirii unui responsabil pentru protectia datelor, 54,1% au raspuns pozitiv.
Astfel, in ceea ce priveste problema responsabilului pentru protectia datelor, respondentii au mentionat:
- 46,7%: Urmeaza sa gaseasca o solutie
- 40%: Vor numi o persoana dintre salariatii existenti
- 13,6%: Vor externaliza catre o societate specializata
Intrebati daca au intampinat dificultati in implementarea Regulamentului General privind Protectia Datelor, 86,% au raspuns pozitiv.
Astfel, printre cele mai importante dificultati intampinate in implementarea GDPR, respondentii au mentionat:
- 16%: Lipsa unor ghiduri practice/proceduri standard
- 16%: Cresterea efortului birocratic (noi proceduri, efort sporit pentru obtinerea consimtamantului de colectarea si prelucrare a datelor cu caracter personal, etc.)
- 14%: Complexitatea regulamentului (multe pagini, terminologie dificila, etc.)
- 14%: Insuficienta informare si lipsa unor campanii organizate
- 6%: Cresterea cheltuielilor de consultanta
- 34%: Altele (Timpul insuficient pentru implementare, Cresterea cheltuielilor de personal (noi angajari/mariri de salariu), Cresterea cheltuielilor de investitii (noi echipamente/soft-uri), Consultanti insuficienti si dificil de gasit, Lipsa unor masuri de sustinere/facilitati fiscale)
Intrebati ce solutii tehnice ati operationalizat in domeniul protectiei datelor pana in prezent, respondentii au mentionat:
- 29%: Criptarea datelor
- 26%: Instrumente automate pentru descoperirea, catalogarea si clasificarea datelor personale in intreaga organizatie
- 24%: Capabilitati de prevenire a pierderilor de date (DLP) pentru a examina fluxurile de date si a identifica datele cu caracter personal care nu fac obiectul garantiilor sau autorizatiilor adecvate
- 21%: Altele (instrumente DLP pentru a bloca sau pune in carantina fluxurile de date cu probleme, in asteptarea rectificarii adecvate, achizitionarea de echipamente performante si/sau softuri;)
La intrebarea “Ati reusit sa va instruiti salariatii proprii privind regulile/procedurile adoptate de confidentialitate si securitate a datelor”, doar 21,1% au raspuns pozitiv, restul mentionand ca urmeaza (44,7%) sau ca nu au reusit inca sa iti instruiasca salariatii (34,2%).
Intrebati daca considera ca amenzile de 20 mil. euro sau 4% din cifra de afaceri sunt exagerat de mari sau sunt disproportionate, 97,4% au raspuns pozitiv. In cazul intrebarii “Considerati ca autoritatile publice competente au asigurat masuri corespunzatoare pregatirii implementarii GDPR in Romania?”, 97,4% au mentionat ca nu.
Astfel, printre masurile pe care respondenti le considera necesare pentru intelegerea si facilitarea implementarii GDPR, se numara:
- 43%: Elaborarea unor ghiduri suport
- 31%: Realizarea unui program de digitalizare si sustinerea costurilor implicate, din fondurile UE
- 23%: Traininguri cu finantare europeana
- 3%: Altele
Proces complex de implementare si cu costuri ridicate
Cheltuielile vor fi diferite in functie de sectorul de activitate si de complexitatea activitatilor desfasurate, fiind vizate aducerea site-ului si a sistemelor interne in conformitate cu Regulamentul, prelucrarea datelor angajatilor, a datelor clientilor in scopuri de marketing, a datelor sensibile ale unor clienti (date de sanatate, cazier fiscal/judiciar etc.), vanzarile on-line, etc.
Potrivit studiului “The Economic Costs of the European Union’s Cookie Notification Policy” din 2014 politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care Regulamentul General privind Protectia Datelor vine sa o inlocuiasca) genera o cheltuiala anuala de peste 2 miliarde de euro in cadrul Uniunii Europene. Costul investit in aducerea site-ului si a sistemelor interne in conformitate cu reglementarile in vigoare fusese atunci estimat la 900€/site, suma ce poate fi un reper si pentru cerintele Regulamentului General privind Protectia Datelor.
CNIPMMR solicita masuri pentru sustinerea IMM-urilor
Avand in vedere complexitatea domeniului si costurile mari de implementare, CNIPMMR solicita autoritatilor competente adoptarea urmatoarelor masuri urgente:
- realizarea unui program de digitalizare si sustinerea costurilor implicate, din fondurile UE
- asigurarea unui serviciu de consiliere gratuita pentru IMM-uri pentru implementarea Regulamentului General privind Protectia Datelor;
- realizarea unui ghid aplicativ concret si complet pentru IMM-uri, cu pasi de urmat, proceduri operationale, institutii, termene, formulare, etc. disponibil on-line;
- realizarea unei ample campanii de informare adaptate specificului IMM-urilor;
- realizarea de cursuri de formare, gratuite;
- punerea in aplicare a art. 3 alin. (1) din Legea prevenirii nr. 270/2017, potrivit cu care: “Toate autoritatile/institutiile publice cu atributii de control, constatare si sanctionare a contraventiilor au obligatia, corespunzator domeniilor aflate in responsabilitatea acestora, ca, in termen de 3 luni de la data intrarii in vigoare a prezentei legi, sa elaboreze si sa difuzeze materiale documentare si ghiduri si sa aloce pe pagina de internet sectiuni special dedicate informarii publice”;
- punerea in aplicare a art. 3 alin. (3) din Legea prevenirii nr. 270/2017, potrivit cu care: autoritatile/institutiile publice cu atributii de control au obligatia sa elaboreze proceduri de indrumare si control, sa afiseze pe site-urile proprii spetele cu frecventa ridicata si solutiile de indrumare emise, sa exercite activ rolul de indrumare, oferind, conform procedurilor, indicatiile si orientarile necesare pentru evitarea pe viitor a incalcarii prevederilor legale;
- punerea in aplicare a art. 3 alin. (4) din Legea prevenirii nr. 270/2017, potrivit cu care: „Autoritatea administratiei publice centrale cu atributii de coordonare la nivel national a domeniului mediul de afaceri (Ministerul pentru Mediul de Afaceri, Comert si Antreprenoriat) are obligatia ca, in termen de 6 luni de la data intrarii in vigoare a prezentei legi, de a dezvolta si opera un portal dedicat oferirii in mod centralizat de servicii online si resurse in vederea informarii in ceea ce priveste aspectele prevazute la alin. (1)”.