1

GDPR: pasi pentru a intra in conformitate

4 minute • Ana-Maria Udriste • 01 iunie 2018


Regulamentul GDPR se aplică începând cu 25 mai 2018 în toate statele membre ale Uniunii Europene. Pentru a trage un semnal de alarmă asupra importanței protejării datelor cu caracter personal, acest act normativ vine și cu amenzi foarte severe: (a) 4% din cifra de afaceri a companiei sau (b) 20 milioane de euro, oricare dintre ele este mai mare. Interesant este că amenzile se aplică inclusiv persoanelor fizice care prelucrează date cu caracter personal, nu numai companiilor (bloguri, forumuri, comunități etc.)
Cine este vizat de acest GDPR?
Dacă cumva nu te-ai izolat de lume, inevitabil prelucrezi niște date cu caracter personal. Fie că vorbim de angajați sau candidați, parteneri comerciali cu care colaborezi, firme cărora le externalizezi o parte din activitate (contabilitate, HR, resurse umane), vânzări pe online, campanii de Facebook/Adwords, instituții de învățământ etc. tot prelucrezi cumva date cu caracter personal.
Cum prelucrăm datele?
Regulamentul GDPR consacră șapte principii legate de prelucrarea datelor:

  • legalitate, echitate și transparență;
  • limitări legate de scop;
  • reducerea la minimum a datelor;
  • exactitate;
  • limitări legate de stocare;
  • integritate și confidențialitate;
  • responsabilitate.

Orice am face, trebuie să ținem cont de toate aceste principii în momentul în care alegem să prelucrăm datele cu caracter personal (ele sunt cumulative, iar nu alternative).
În ce bază alegem să prelucrăm datele (temeiul legal)?
Regulamentul GDPR consacră 6 temeiuri legale pentru prelucrarea datelor cu caracter personal:

  • consimțământul,
  • contractul,
  • obligația legală,
  • interesul vital,
  • interesul public,
  • interesul legitim.

Când alegem să prelucrăm datele cu caracter personal, putem alege 1 sau mai multe temeiuri în baza cărora să facem prelucrarea (acestea sunt facultative).
Cum implementăm GDPR?
Pașii de urmat pentru implementarea GDPR în cadrul organizației nu trebuie să fie greu de urmat, ci să urmeze fluxul operațiunilor de afaceri:

  1. Desemnarea persoanelor care se vor ocupa cu protecția datelor în cadrul organizației
  2. Audit al datelor personale cu care operează organizația (pe departamente, dacă este cazul)
  3. Identificarea datelor personale pe care le prelucrezi
  4. Identificarea temeiurilor legale în baza cărora prelucrezi fiecare categorie de date personale identificată anterior
  5. Relațiile cu persoanele vizate (angajați, clienți, colaboratori etc.) – informarea acestora, update politici (sau implementarea unora noi)
  6. Relația cu persoana împuternicită (furnizorul de servicii) – se identifică persoanele care se ocupă de prelucrarea datelor cu caracter personal
  7. Politici si notificări de confidențialitate – aici vorbim fie de actualizarea lor, fie de implementarea unora noi – ca exemplu de politici amintim: politica de confidențialitate, politica de prelucrare a datelor cu caracter personal, politica de utilizare a site-ului, politicile privind obținerea consimțământului etc.
  8. Analiza de impact (DPIA) – dacă ești obligat de lege să o faci
  9. Managementul incidentelor de securitate – cum raportăm breșele de securitate către autoritate, cum implementăm procedura la nivel intern, care este echipa de răspuns și cum lucrează ea etc.
  10. Transferuri internaționale de date – în cazul în care transferi date în afara SEE, trebuie să urmezi o serie de proceduri și să te asiguri că politicile de securitate sunt bine definite (când folosești o aplicație ale căror servere sunt în SUA, de exemplu)
  11. Numirea DPO – fie prin decizie, fie prin contract de muncă – dacă ai nevoie conform Regulamentului GDPR
  12. Proceduri în relația cu angajații – notificări, politici de securitate, responsabilizarea acestora
  13. Identificarea măsurilor de protecție deja existente și implementarea politicilor tehnice și organizatorice
  14. Revizuirea documentației parcurse la pașii anteriori

După cum vezi, implementarea GDPR ține foarte mult de structura fiecărei organizații în parte și implică un set de proceduri și documente ce trebuie urmate cu strictețe pentru a fi conform.
Ca să îți venim în ajutor, am elaborat un KIT de implementare GDPR care se potrivește oricărei companii, astfel încât tu să te aliniezi rapid, simplu, convenabil și eficient la GDPR.
În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidențialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău și completând șabloanele noastre, îți poți face chiar tu implementarea, evitând costurile consultanței.
Afla tot ce am scris despre GDPR aici.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *