În anul 2024, România a implementat modificări semnificative în legislația privind protecția datelor cu caracter personal, aliniindu-se la standardele europene și internaționale. Aceste schimbări impun companiilor noi obligații și prevăd sancțiuni stricte pentru nerespectarea reglementărilor.
Obligațiile companiilor conform noilor reglementări
- Numirea unui Responsabil cu Protecția Datelor (DPO)
Conform noilor prevederi, companiile care prelucrează date personale la scară largă sunt obligate să desemneze un Responsabil cu Protecția Datelor. Acesta are rolul de a asigura conformitatea cu legislația și de a gestiona relația cu autoritățile de supraveghere.
- Evaluarea Impactului asupra Protecției Datelor (DPIA)
Înainte de a iniția prelucrări de date care pot prezenta riscuri ridicate pentru drepturile persoanelor, companiile trebuie să efectueze o Evaluare a Impactului asupra Protecției Datelor. Aceasta identifică și evaluează riscurile, propunând măsuri de mitigare adecvate.
- Transparența și informarea persoanelor vizate
Companiile sunt obligate să informeze clar și complet persoanele ale căror date le prelucrează despre scopurile, temeiurile și durata prelucrării, precum și despre drepturile lor. Aceste informații trebuie furnizate într-un limbaj accesibil și concis.
- Asigurarea securității datelor
Implementarea de măsuri tehnice și organizatorice adecvate pentru a proteja datele personale împotriva accesului neautorizat, pierderii sau distrugerii este esențială. Aceste măsuri includ criptarea, controlul accesului și instruirea personalului.
- Notificarea încălcărilor de securitate
În cazul unei breșe de securitate care afectează datele personale, companiile trebuie să notifice Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în termen de 72 de ore și, în anumite situații, să informeze și persoanele vizate.
Sancțiuni aplicabile în 2024
Nerespectarea noilor reglementări poate atrage sancțiuni semnificative:
- Amenzi administrative: Acestea pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală a companiei, oricare dintre acestea este mai mare.
- Măsuri corective: Autoritatea de supraveghere poate dispune suspendarea prelucrării datelor sau chiar interzicerea acesteia până la remedierea deficiențelor.
- Răspundere civilă: Persoanele afectate de încălcarea reglementărilor pot solicita despăgubiri pentru prejudiciile suferite.
Exemple de sancțiuni recente
În 2024, Autoritatea Națională de Supraveghere a aplicat mai multe sancțiuni notabile:
- 13 noiembrie 2024: O companie a fost sancționată pentru încălcarea RGPD, detalii disponibile pe site-ul oficial.
- 8 noiembrie 2024: O altă sancțiune a fost aplicată pentru nerespectarea reglementărilor privind protecția datelor.
Pași pentru conformarea companiilor
- Audit intern al prelucrărilor de date
Evaluarea proceselor interne pentru a identifica prelucrările de date și conformitatea acestora cu noile reglementări.
- Actualizarea politicilor și procedurilor
Revizuirea și actualizarea politicilor de confidențialitate, a contractelor și a procedurilor interne pentru a reflecta noile obligații legale.
- Instruirea angajaților
Organizarea de sesiuni de formare pentru personal, axate pe importanța protecției datelor și pe responsabilitățile individuale.
- Implementarea măsurilor tehnice de securitate
Adoptarea de soluții tehnologice adecvate pentru protejarea datelor, precum criptarea și controlul accesului.
- Monitorizarea și actualizarea continuă
Menținerea unui proces continuu de monitorizare și actualizare a măsurilor de conformitate, adaptându-se la eventualele modificări legislative sau tehnologice.
Noile reglementări privind protecția datelor personale impun companiilor din România să adopte măsuri proactive pentru a asigura conformitatea și pentru a evita sancțiunile severe. Prin înțelegerea și implementarea corespunzătoare a obligațiilor legale, companiile pot proteja datele personale ale clienților și angajaților, menținându-și reputația și încrederea pe piață.