Designul sistemului de date
Articolul 25 stipulează că protecția datelor trebuie gândită din faza de design al fluxului companiei, la un loc cu prelucrarea de procese, produse și servicii. Specialiștii au numit această prevedere privacy by design. Pe tot procesul prelucrării datelor trebuie avut grija ca datele să nu fie compromise, de aceea ofițerul de protecția datelor trebuie să studieze toate ciclurile de culegere și procesare a datelor.
De asemenea, compania nu trebuie să culeagă și să proceseze mai multe date decât are nevoie pentru scopul său anume. Acest scop trebuie să fie făcut cunoscut utilizatorului. Recomandările ENISA (Agenția Europeană pentru Securitatea rețelelor și a Informației) sunt de a cripta și decripta datele doar local, deoarece atunci ambele chei rămân la dispoziția utilizatorului. Folosirea găzduirii de tip cloud este relativ sigură dar numai cu condiția ca utilizatorul să păstreze cheile de decriptare (ENISA, 2014).
Compania este obligată să păstreze o arhivă cu toate operațiunile de procesare a datelor, inclusiv scopurile procesării, categoriile de date și intervalele de timp estimate. La cererea autorităților, aceste arhive trebuie puse la dispoziție oricând.
Ofițerul de protecția datelor
Un ofițer de protecția datelor este un expert în legislația și practicile privind protecția datelor, și rolul său este să asiste compania în monitorizarea sistematică și periodică a mecanismelor de protecția datelor. Instituțiile publice precum și companiile unde monitorizarea trebuie făcută frecvent vor trebui să angajeze câte un ofițer de protecția datelor dedicat. Rolul de ofițer de protecția datelor nu cere doar cunoștințe legislative temeinice, ci și o pregătire tehnică.
Pseudonimizarea datelor
Pseudonimizarea este procesul de prelucrare a datelor prin care datele sunt transformate astfel încât datele să nu poată fi atribuite unui subiect fără accesul la informații suplimentare. Un exemplu de pseudonimizare este criptarea datelor. În cazul datelor criptate, GDPR prevede ca cheia de criptare să fie stocată în altă parte decât datele criptate. De asemenea, datele criptate se consideră tot date cu caracter personal și sunt în continuare sub protecția GDPR.
Notificarea compromiterii sistemului
Dacă sistemul care conținea datele a fost spart, compania este obligată să notifice autoritatea de supervizare în termen de 72 de ore de la luarea la cunoștință. De asemenea, și utilizatorii ale căror date au fost compromise trebuie notificați, cu excepția cazului când datele furate erau criptate și compania are bune motive să creadă că aceste date nu pot fi decriptate.
Norme de aplicare
Fiecare stat membru va trebui să înființeze o autoritate de supervizare care va arbitra și investiga plângerile, și va administra sancțiunile.
Companiile vor trebui să implementeze principii de protecția datelor la nivel de design (privacy by design) , de exemplu prin pseudonimizarea automată a datelor. Companiile vor trebui să își evalueze sistemele de prelucrare a datelor și să aducă modificări acolo unde este cazul. Companiile vor trebui să angajeze sau să apeleze la serviciile de consultanță ale unor ofițeri de protecția datelor sau ofițeri de complianță care vor evalua sistemul periodic (Wikipedia).
Sancțiuni
Există o clasă largă de sancțiuni ce pot fi impuse. De la un avertisment în scris la prima abatere neintenționată, la obligativitatea de a face audituri de protecția datelor periodice. Apoi se poate trece la amenzi de până la 10 milioane de Euro sau până la 2% din profitul anual global al companiei, care este mai mare. Această amendă se poate aplica dacă a existat o încălcare a anumitor articole din regulament (8, 11, 25-39, 42, 43, 41). Pentru încălcările altor prevederi (articolele 5, 6, 7, 9, 12 -22, 44-49, 58) amenda poate ajunge până la 20 de milioane de Euro sau 4% din profitul global al companiei.
Receptare în societatea civilă
Mai mulți specialiști în securitate, membri ai societății civile, precum și oameni de afaceri și-au exprimat opiniile cu privire la GDPR. Astfel, Philippe de Backer, secretarul belgian de stat al Consiliului privind frauda socială, viață privată și Marea de Nord, a caracterizat GDPR ca fiind “o autoritate de protecție a datelor mult mai modernă, mai la zi, mai puternică, mai clară și mai transparentă”. El a apreciat mai ales mecanismul de sancțiuni care este “mult mai restrictiv” și, în același timp, existența unor măsuri mai detaliate de prevenție a scurgerilor de date (Raywood, 2017).
Într-adevăr, GDPR este mult mai restrictiv în sensul că amenzile pentru încălcarea prevederilor pot ajunge până la 20 de milioane de euro sau 4% din profitul anual al companiei. Erik Luysterborg, expert în securitate la Deloitte, a declarat cu aceeași ocazie că aceste cerințe restrictive vor “forța companiile să respecte cerințele de securitate“ precum și că această aliniere la norme nu va putea fi formală, companiile chiar vor trebui să implementeze efectiv toți pașii. Alinierea la GDPR va forța firmele să își revizuiască politicile de managementul datelor, ceea ce va duce la un management mai efectiv al datelor și la un mediu mai stabil pentru monitorizările de date (Raywood, 2017).