Organizezi evenimente? Ce ai de făcut pentru a te alinia la GDPR. Q&A
7 minute • Redactia • 14 iunie 2018
Ce trebuie să știm atunci când organizăm evenimente?
1. Ce este GDPR?
GDPR este un Regulament European care se aplică direct în România din data de 25 mai 2018. Scopul principal al GDPR este să unifice legislația privind protecția datelor în Europa și să acorde persoanelor fizice drepturi și control asupra datelor cu caracter personal.
2. Ce înseamnă GDPR pentru un eveniment organizat?
Nerespectarea legislației privind protecția datelor este investigată de către ANSPDCP. Începând cu 25 mai, ANSPDCP va putea sancționa organizațiile cu până 4% din cifra de afaceri sau 20.000.000 euro.
Voi fi sancționat cu 4% din cifra de afaceri dacă nu respect GDPR?
4% din cifra de afaceri sau 20.000.000 euro este maximul amenzii, ANSPDCP având posibilitatea să aplice o sancțiune respectând această limită și luând în calcul, printre alți factori, gravitatea abaterii. Cea mai simplă soluție pentru a nu fi amendat este să implementezi cerințele GDP|R în cadrul firmei tale.
Impactează GDPR evenimentul pe care eu îl organizez?
Răspunsul la această întrebare frecventă este „da”. Alinierea la GDPR și impactul acestuia este o problem complecă. Pentru a simplifica lucrurile, dacă prelucrezi date personale ale cetățenilor UE, GDPR ți se aplică, indiferent de locul unde este organizat evenimentul.
Ce înseamnă GDPR pentru evenimentul pe care îl organizez?
Pe scurt, va trebui să schimbi complet modul în care tratezi datele personale. GDPR cere să pui în practică măsuri tehnice și organizatorice adecvate pentru protecția datelor personale. Acest lucru înseamnă atât măsuri tehnice, dar și documente (politici, contracte, proceduri).
Dacă nu ai făcut-o deja, ar trebui să efectuezi un audit al fluxurilor de date. Astfel, vei realiza ce date prelucrezi, în ce scopuri, cât le stochezi, cui le transmiți, ce măsuri trebuie să adopți și dacă prelucrarea este legală sau trebuie să înceteze.
Dacă ai făcut această etapă corect, procedura de implementare va fi mai simplă și mai rapidă, pentru că vei avea deja toate informațiile necesare pentru întocmirea documentației, elaborarea și implementarea politicilor și proceselor.
Ca să îți venim în ajutor, în parteneriat cu LegalUp.ro, am elaborat mai multe chestionare astfel încât tu să realizezi rapid, simplu și eficient un audit complet al fluxului de date. După parcurgerea lor, vei avea toate informațiile necesare pentru a le alinia la prevederile GDPR. Doar în urma unui audit complet poți realiza corect Registrul prelucrărilor sau notele de informare (politicile de confidențialitate).
Sunt obligat să desemnez un responsabil cu protecția datelor?
GDPR spune că un responsabil cu protecția datelor este obligatoriu în următoarele cazuri:
(a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
(b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10.
Dacă evenimentul nu se încadrează în cazurile de mai sus, nu ești obligat să desemnezi un DPO. Cu toate acestea, desemnarea unui DPO în cadrul companiei te-ar putea ajuta în procesul de aliniere la GDPR.
Trebuie să revizuiesc Politicile de confidențialitate?
Da, cu siguranța va trebui să revizuiesti Politicile de confidențialitate pentru a respecta cerințele GDPR. Politica de confidențialitate a evenimentului pe care îl organizezi trebuie să cuprinde anumite elemente cerute de art. 13 din GDPR și să fie scrisă într-un limbaj simplu și ușor de înțeles. Un model de Politică de confidențialitate conformă standardelor GDPR se găsește în KIT-ul nostru de implementare, disponibil aici
Ce fac dacă transmit date către terți?
Sponsori? Agenții de marketing? Trebuie să ai contracte scrise privind prelucrarea datelor cu toți pentru a fi conform GDPR. Template-uri de contracte găsești în kitul nostru complet de documente GDPR.
Dacă ai făcut un audit corect al datelor, vei avea o listă clară a acestor terți pentru a le propune acorduri de prelucrare spre semnare. Este de asemenea, responsabilitatea ta să te asiguri că terțele părți sunt conforme GDPR. Poți realiza acest lucru folosind chestionarul nostru din kitul nostru complet de documente GDPR.
Mai pot folosi baza de date?
Ce ar trebui să știi despre GDPR este faptul că el se aplică retroactiv. Chiar dacă datele au fost colectate înainte de 25 mai, procesarea acestora în prezent trebuie să îndeplinească cerințele GDPR. Unul dintre principiile GDPR este să nu ținem mai multe date decât este necesar. Prin urmare, ar trebui să elimini din organizația ta datele care nu mai sunt necesare sau cele care sunt excesive.
Evenimente cu minori?
La evenimentele tale participă copii sub 16 ani? Atunci ai nevoie să ceri consimțământul părinților pentru prelucrarea datelor. Un model de consimțământ al părintelui se găsește aici.
Marketing?
Poate fi nevoie să actualizezi baza de date și să le ceri din nou acordul pentru prelucrarea datelor, dacă, la momentul colectării consimțământului, acesta nu a fost colectat potrivit cerințelor legii.
Pot să transmit baza de date către sponsorul evenimentului?
Dacă nu ai consimțământul participantului pentru a face acest lucru, nu poți transmite baza de date. Aici ar trebui să acționezi pe două planuri: să actualizezi contractele cu sponsorii pentru a te asigura că nu promiți ceva ce nu poți furniza legal și să obții acordul participanților dacă dorești să faci acest lucru în viitor.
Cum fac fața unui incident de securitate?
Sub GDPR, cu toții trebuie să fim pregătiți pentru a face față unei breșe de securitate, fie că aceasta vine de la tine sau de la împuterniciții tăi. Dacă incidentul prezintă riscuri pentru persoana vizată, va trebui să notifici ANSPDCP în termen de 72 de ore, iar dacă prezintă riscuri ridicate, va trebui să notifici și persoanele vizate.
Proceduri complete privind managementul incidentelor de securitate se regăsesc în kitul nostru complet de documente GDPR.
Transferuri internaționale de date?
Evită să transferi date în afara UE. Dar dacă trebuie să o faci, asigură-te că transferi datele legal, implementând o procedură privind transferul de date.
Documentația GDPR completă pentru industria organizării evenimentelor, incluzând formulare de consimțământ, informări și politici de confidențialitate, contracte conforme GDPR se regăsesc în KIT-ul nostru complet de implementare GDPR.
De asemenea, în KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.
Află mai multe despre KIT aici.
