GDPR от рая с данни до санкциите ада Les Echos

КРЪГЪТ/ГЛЕДОВАТА ГЛЕДА - Общият регламент за защита на данните пристига на 25 май 2018 г. и компании, които не успеят да спазят стандартите, рискуват големи санкции. Тъй като данните се превръщат в стратегическо предимство, как да не изостанете ?

данни

Изправени пред нови финансови санкции в размер до 4% от оборота или 20 милиона евро в случай на нарушаване на определени задължения на GDPR, много компании трябва да получат, за да бъдат готови за 25 май 2018 г. !

Изглежда, че от тази реформа се очертават две основни цели: необходимостта от хармонизация и желанието за модернизация.

Нов пейзаж

Новият европейски пейзаж се характеризира преди всичко с промяната на правния инструмент, използван за установяване на правилата. Преди това се основаваше на европейска директива, сега е .

Правната рамка от 1995 г. всъщност създаде фрагментация от прилагането на защитата на данните в Съюза. С регламент целта е да се създаде един и същ закон в целия Европейски съюз. Идеята е да се осигури "по-добра правна сигурност за бизнеса и да се сложи край на сегашната законодателна пачворк".

Например, периодът на съхранение на данните е предмет на различни национални изисквания.

Все пак трябва да се подчертае, че настоящият регламент оставя определени точки (процедури за сертифициране, други санкции и т.н.) поле за действие на държавите-членки.

Промяна във философията

За Едуард Джефри, генерален секретар на CNIL, този "изключително мощен инструмент за хармонизация" просто представлява "промяна на парадигмата" (1).

Чрез въвеждане или преработка на редица концепции, този текст е предназначен да бъде новаторски. Преходът е направен от логика на съответствие в момента "t" на компанията към логика на динамиката, състояща се в въпроса дали се осигурява максимална защита на данните непрекъснато, предвид технологичното развитие. Идеята е да се даде възможност на компанията, която продължава да иска достъп до рая с данни.

Рай, достъпен за всички

Всеки ден компанията се сблъсква с обработка на данни, която понякога е неподозирана, но която винаги трябва да контролира. От данните на служителя до тези на клиент или потенциален клиент, до тези на доставчик или дори партньор, споделянето и обработката на данни се увеличи драстично. Говорим за появата на икономика, основана на знания за данни, свещен Граал, така желан от всички сектори (индустрия, банково дело, застраховане, здравеопазване и др.). Оценяването на вашите данни се превърна в златна мина за компаниите. Личните данни не са нещо, което произвеждаме, но това разкрива кои сме. Няма нищо по-ценно .

Данните също ще бъдат в основата на изкуствения интелект, както е предвидено в доклада на Villani. Ако обаче потискането на голям брой декларации ще представлява истинска революция във Франция, както френските разпоредби, така и CNIL са импрегнирани с формалистични правила, свързани с декларативните задължения (2), би било илюзорно да се мисли, че премахването на формалностите ще отстъпват на изкушението на нерегулиран рай.

Уважавайте правилата

Първото голямо нововъведение е, че сега задълженията се основават на прилагането на подход, основан на риска. По този начин компаниите ще трябва да извършат анализ на въздействието (член 35) за определени операции по обработка (надзорните органи ще трябва да публикуват списък на видовете обработки, за които ще се изисква такъв анализ).

По принцип компаниите ще трябва да водят регистър, в който са изброени всички извършени операции по обработка (член 30), който по същество ще включва информацията, необходима при изготвянето на формуляр за декларация (цел, вид данни, засегнати лица, продължителност и т.н.).

В допълнение, задължението за защита на данните по дизайн - поверителност по дизайн (член 25) - и задължението за защита на данните по подразбиране - поверителност по подразбиране - ще изисква от компаниите да предлагат продукти и услуги за събиране, от дизайна и по подразбиране, толкова малко лични данни, колкото е възможно или да се използва псевдонимизация.

Назначете служител по защита на данните

Организациите и компаниите също ще трябва да назначат служител по защита на данните - DPO, служител по защита на данните (член 37). По-специално той ще отговаря за информирането и консултирането на администратора на данни, за наблюдението на спазването на разпоредбите и за сътрудничеството с надзорния орган (член 39). DPO може да бъде или член на персонала на компанията, или външен доставчик на услуги, предмет на професионална тайна или задължение за поверителност.