Notificarea compromiterii sistemului
Dacă sistemul care conținea datele a fost spart, compania este obligată să notifice autoritatea de supervizare în termen de 72 de ore de la luarea la cunoștință. De asemenea, și utilizatorii ale căror date au fost compromise trebuie notificați, cu excepția cazului când datele furate erau criptate și compania are bune motive să creadă că aceste date nu pot fi decriptate.
Norme de aplicare
Fiecare stat membru va trebui să înființeze o autoritate de supervizare care va arbitra și investiga plângerile, și va administra sancțiunile.
Companiile vor trebui să implementeze principii de protecția datelor la nivel de design (privacy by design) , de exemplu prin pseudonimizarea automată a datelor. Companiile vor trebui să își evalueze sistemele de prelucrare a datelor și să aducă modificări acolo unde este cazul. Companiile vor trebui să angajeze sau să apeleze la serviciile de consultanță ale unor ofițeri de protecția datelor sau ofițeri de complianță care vor evalua sistemul periodic (Wikipedia).
Sancțiuni
Există o clasă largă de sancțiuni ce pot fi impuse. De la un avertisment în scris la prima abatere neintenționată, la obligativitatea de a face audituri de protecția datelor periodice. Apoi se poate trece la amenzi de până la 10 milioane de Euro sau până la 2% din profitul anual global al companiei, care este mai mare. Această amendă se poate aplica dacă a existat o încălcare a anumitor articole din regulament (8, 11, 25-39, 42, 43, 41). Pentru încălcările altor prevederi (articolele 5, 6, 7, 9, 12 -22, 44-49, 58) amenda poate ajunge până la 20 de milioane de Euro sau 4% din profitul global al companiei.
Receptare în societatea civilă
Mai mulți specialiști în securitate, membri ai societății civile, precum și oameni de afaceri și-au exprimat opiniile cu privire la GDPR. Astfel, Philippe de Backer, secretarul belgian de stat al Consiliului privind frauda socială, viață privată și Marea de Nord, a caracterizat GDPR ca fiind “o autoritate de protecție a datelor mult mai modernă, mai la zi, mai puternică, mai clară și mai transparentă”. El a apreciat mai ales mecanismul de sancțiuni care este “mult mai restrictiv” și, în același timp, existența unor măsuri mai detaliate de prevenție a scurgerilor de date (Raywood, 2017).
Într-adevăr, GDPR este mult mai restrictiv în sensul că amenzile pentru încălcarea prevederilor pot ajunge până la 20 de milioane de euro sau 4% din profitul anual al companiei. Erik Luysterborg, expert în securitate la Deloitte, a declarat cu aceeași ocazie că aceste cerințe restrictive vor “forța companiile să respecte cerințele de securitate“ precum și că această aliniere la norme nu va putea fi formală, companiile chiar vor trebui să implementeze efectiv toți pașii. Alinierea la GDPR va forța firmele să își revizuiască politicile de managementul datelor, ceea ce va duce la un management mai efectiv al datelor și la un mediu mai stabil pentru monitorizările de date (Raywood, 2017).
Probleme posibile legate de implementarea în practică a regulamentului:
Când GDPR era încă în stagiul de propunere, s-au iscat multe discuții și s-au propus numeroase amendamente. Deși scopul acestui regulament era eficientizarea costurilor – din partea administrației cel puțin – studii de fezabilitate au arătat că, cel puțin la început, costurile vor crește – pentru companii. Un sondaj făcut de TrustArc a arătat că se estimează costuri în jur de 100.000$ din partea companiilor pentru alinierea la standardele GDPR (TrustArc, 2017). În afară de problema costurilor, există îngrijorări privind povara birocratică și administrativă pe care statele membre vor trebui să o suporte, înființând noi agenții. Dat fiind că activitățile Agenției de Protecția Datelor se vor desfășura probabil în limba locală, companiile internaționale vor prefera să discute cu agențiile din Irlanda și UK care vor folosi limba engleză, ceea ce va duce la o suprasolicitare a acestor agenții.
Problemele practice care vor apărea la implementarea GDPR nu se cunosc încă, dar se pot estima câteva arii de dificultăți. Astfel, la nivelul companiilor private, practicile existente vor trebui schimbate rapid în condițiile în care multe companii nu aveau politici de securitate a datelor. De la zero măsuri se trece la un cadru foarte strict. Lipsa experților în date cu caracter personal se va face resimțită rapid. Sistemele de educație în privința protecției datelor și a legislației privind dreptul la viață privată vor trebui să se adapteze rapid și să incorporeze noile cerințe. Deși nu avem de a face cu o directivă, pot apărea diferențe de interpretare a regulamentului, mai ales în normele practice de aplicare, și aceste diferențe vor trebui rezolvate de comun acord la nivelul Comisiei Europene și al agențiilor de protecția datelor într-un mod eficient. De asemenea, politicile de comerț internațional ale EU nu au fost încă aliniate la GDPR (Wikipedia).
Ca orice lege care protejează cetățenii, recursul la aceasta presupune apelul la autoritățile competente. Dreptul de a fi șters din bazele de date va fi probabil cel mai controversat în practica juridică. Se estimează că exercitarea acestui drept de către persoanele fizice va fi întâmpinată de destule obstacole. Astfel, pentru a cere ștergerea datelor personale, subiectul trebuie să justifice de ce anume, în acea situație particulară, are nevoie să i se șteargă datele – cu excepția în care procesarea se face pentru scopuri de marketing, atunci nu mai este nevoie de motive (Ausloos, 2017). Problema este că listarea de motive nu duce automat la ștergerea datelor, deoarece procesatorul de date are dreptul să se justifice și să refuze cererea dacă poate demonstra motive suficiente pentru care procesarea trebuie să aibă loc. Aceasta este una din schimbările majore față de directiva 95/46 unde pragul pentru obiecții individuale era mai ridicat, subiectul datelor trebuia să prezinte motive temeinice pentru obiecția sa, dar acum motivele pot fi și personale, doar că și procesatorul de date are dreptul să ridice obiecții (Ausloos, 2017).
Din punct de vedere practic, exercitarea dreptului de a obiecta se va lovi de niște dificultăți. Dat fiind că procesatorul poate refuza ștergerea dacă invocă interesele proprii ca fiind mai importante decât interesele subiectului datelor. Se presupune că procesatorii de date se vor folosi de această prevedere formulând motivele procesării de date în termeni cât mai vagi pentru a permite interpretarea scopurilor cât mai largă. Astfel, până la urmă decizia dacă drepturile procesatorului sunt mai importante decât ale subiectului va reveni unui arbitru care va porni, cel mai probabil, de la termenii deja stabiliți de procesator. În practică, este probabil că cererea de ștergere a datelor nu se va rezolva amiabil, ci va escala la o autoritate competentă în cele mai multe cazuri (Ausloos, 2017).
O altă problemă privește drepturile companiilor de găzduire web de tip cloud. Dacă un procesator de date găzduiește datele într-un serviciu de tip cloud al altei companii, se consideră compania de găzduire ca fiind procesator de date personale? GDPR pare să spună că nu, dat fiind că datele criptate nu sunt considerate date personale decât pentru cel care are cheia de decriptare. Astfel, ar urma că datele sunt personale pentru procesatorul care le-a criptat, dar nu și pentru gazda web care nu le poate citi. Totuși, problema este mai complicată. Pe de o parte, se știe că nu există criptare perfectă și, astfel, în cazurile de hacking, providerul de găzduire poate fi învinuit că a permis accesul la date personale deși el nu știa că găzduiește date personale. Mai mult, rolul providerului de găzduire este ambiguu, dat fiind că există un contract între compania de găzduire și compania de prelucrare și colectare a datelor. Dacă în contract se stipulează că se vor găzdui date personale, atunci providerul de găzduire devine procesator de date personale fără voia sa și trebuie să implementeze prevederile GDPR (Vogiatzoglou, 2017).
Concluzii
GDPR este un mare pas înainte în legislarea protecției datelor cu caracter personal. Prin înlocuirea Directivei 95/46, s-a asigurat un cadrul legislativ uniform pe tot teritoriul UE care va fi mai puțin vulnerabil la interpretările statelor membre. Această uniformizare are însă și niște costuri pentru statele membre, cum ar fi stabilirea a noi organisme de control- Agenții de protecția datelor – precum și pentru companiile mari care vor trebui să angajeze personal specializat în legislația datelor. GDPR aduce niște beneficii clare prin faptul că subliniază importanța păstrării unui acces limitat la datele personale, precum și importanța datelor personale în păstrarea integrității personale și a libertăților fundamentale. Datele cu caracter personal, deși au un potențial economic fabulos, pot fi exploatate prea ușor și de aceea UE dorește să prevină eventualele abuzuri prin stabilirea unui cadru legislativ cam restrictiv. Mulți procesatori de date vor fi nevoiți să își revizuiască politicile de colectare a consimțământului și, astfel, utilizatorii vor avea mai mult control asupra datelor lor personale. În același timp, GDPR birocratizează procedurile și introduce un nivel suplimentar de administrație ceea ce va duce la dificultăți pentru utilizatorii de rând în a obține accesul la propriile date. În mai 2018 GDPR va fi implementat de toate statele membre UE. Rămâne de văzut dacă GDPR va fi un ajutor în protecția cetățenilor sau o barieră pentru mediul de afaceri.