Implementare GDPR

Ne place să găsim soluții acolo unde alții nu pot. Și ne facem lucrurile cum trebuie, nu de mântuială! 

Ce este GDPR și de ce ne interesează?

Regulamentul privind protecția datelor personale (”GDPR”) este un act normativ la nivelul Uniunii Europene care se aplică direct în România. El nu vine să închidă afacerile și să le îngreuneze, ci ajută companiile să se responsabilizeze față de clienții și partenerii comerciali ai acestora. Pentru asta, amenzile sunt mari: până 4% din cifra de afaceri la nivel global sau 20 milioane de euro, care este mai mare.

Mi se aplică GDPR?

Indiferent că ai un angajat, o sută sau niciunul, că activez în mediul online cu afacerea ta sau nu, în mod sigur prelucrezi date personale. Datele personale se referă la orice – email, telefon, nume și prenume, data nașterii – orice elemente poate ajuta la identificarea unei persoane.

Răspunsul este DA, ți se aplică GDPR!

Ce aduce nou GDPR?

Definiția datelor cu caracter personal este lărgită

Monitorizarea video, CCTV, copii după actele de identitate, CNP, adresele de livrare, adresele de domiciliu, numerele de telefon etc. sunt doar o mică parte din ceea ce înseamnă date cu caracter personal. Știai de exemplu că și experiența profesională este o dată cu caracter personal? Sau geolocalizarea?

Prelucrarea trebuie să fie documentată

Prin prelucrare a datelor înțelegem orice operațiune se face cu privire la date – stocare, reținere, transmitere, newsletter, baze de date, CRM, arhivare, manipulare etc. Pentru orice fel de prelucrare ai nevoie de documentație aferentă (să spui de ce, cum, când și pentru ce), astfel încât să te bazezi pe unul din cele 6 temeiuri legale oferite de GDPR.

Persoanele au noi drepturi

Persoanele ale căror date le prelucrezi primesc noi drepturi pe care trebuie să le respecți, precum dreptul de informare, dreptul de opoziție, dreptul la rectificare, dreptul de a fi uitat. Trebuie să fii pregătit în permanență să le răspunzi în termen de 30 zile.

Aplicabilitate mai extinsă a legislației

Indiferent că vorbim despre datele angajaților, colaboratorilor, prestatorilor de servicii, furnizorilor, distribuitorilor etc., acestea trebuie protejate și documentate în conformitate cu procedurile aplicabile.

Trebuie să fii transparent

Ai obligația să le spui persoanelor ce date le prelucrezi, pentru ce o faci, cât le stochezi și unde, dacă le transmiți mai departe și cui etc. Face parte din responsabilizarea companiei și îmbunătățirea relației cu clienții și partenerii tăi.

Consimțământul persoanelor

Atunci când alegi să le ceri consimțământul pentru prelucrarea datelor, acesta trebuie oferit într-o manieră clară, simplă și ușor de înțeles. Nu poți să condiționezi vânzarea unui bun sau prestarea unui serviciu de oferirea consimțământului.

Notificarea breșei datelor este mai dură

Trebuie să ai o procedură clară implementată și bine documentată în cazul în care se întâmplă o breșă de securitate. Iar autoritatea trebuie notificată în termen de maxim 72 ore de la momentul breșei – e dificil să faci asta fără o procedură bine pusă la punct.

Implementare GDPR @Avocatoo

Cum te putem ajuta?

Nimeni nu cunoaște activitatea unei companii mai bine decât o faci tu. GDPR presupune o documentație, ce trebuie integrată în cultura organizațională, care să te ajute să fii pe o parte conform cu cerințele, iar pe de altă parte să devii un partener de încredere.

Alinierea la GDPR presupune 4 etape

Evaluare (audit)

Aici se vor identifica procesele companiei, fluxurile de date existente, datele cu caracter personal cu care interacționați și pe care le prelucrați. La finalul acestei analize, se va face un raport privind gradul de conformitate cu GDPR; riscurile identificate și eventualele măsuri care trebuie adoptate. Durata estimativă a aceste etape este de 3-5 săptâmâni.

Plan de măsuri (pregătire)

În această etapa se vor stabili exact rolurile fiecărei persoane în cadrul acțiunii de implementare GDPR, măsurile ce trebuie implementate în funcție de priorități și de practicile de business. Durata estimativă a acestei etape este de 3-4 săptâmâni.

Implementare

În funcție de măsurile identificate la pasul anterior, vom colabora pentru a implementa procedurile tehnice și organizatorice necesare pentru alinierea la GDPR. Indiferent că vorbim despre clauze contractuale, consimțământ, analiza interesului legitim sau de impact, regulamente de ordine interioară, politici tehnici și organizatorice, suntem aici să vă ajutăm să parcurgeți pașii necesari pentru conformitate. La finalul acestei perioade, vom reveni asupra raportului inițial, pentru a vedea gradul de conformitate.

Mentenantă

GDPR nu se termină atunci când se semnează documentația, ci este un proces care durează pe tot parcursul activității companiei. Dacă introduci noi activități de prelucrare a datelor (faci un magazin online, implementezi un sistem video pentru monitorizare, contractezi un serviciu extern, lansezi un nou produs, faci o nouă campanie pe online etc.), te ajutăm să respecți normele GDPR. Sau poate schimbi unul din furnizorii care prelucrează o parte din datele cu caracter personal (firma de contabilitate, HR etc.) și trebuie să te asiguri că și aceștia respectă normele GDPR.

Analiză propriu-zisă

  • raport privind gradul de conformitate al companiei la GDPR
  • raport privind pașii ce trebuie urmați de către companie în vederea implementării și alinierii la GDPR

Implementarea efectivă

  • Asistență în vederea completării registrelor de prelucrare a datelor personale
    • cartografierea (maparea) datelor personale
    • registrul datelor cu caracter personal la nivel de organizație
    • registrul prelucrărilor datelor cu caracter personal – operator
    • registrul prelucrărilor datelor cu caracter personal – persoana împuternicită
    • registrul de intrări – ieșiri date personale
    • registrul incidentelor de securitate
  • Asistență în vederea realizării analizei de interes legitim – dacă rezultă după parcurgerea etapei anterioare
  • Asistență în vederea realizării evaluării de impact (DPIA) – dacă rezultă după parcurgerea etapei anterioare
  • Asistență privind informarea persoanelor vizate (angajați, clienți, parteneri comerciali)
  • Asistență privind verificarea persoanelor împuternicite
  • Asistență privind redactarea politicilor necesare
    • Politica privind stocarea și protejarea înregistrărilor
    • Politica generală privind protecția datelor cu caracter personal
    • Procedura de notificare privind confidențialitatea
    • Politica de confidențialitate a site-ului (dacă este cazul)
    • Politica Anti-Spam
    • Politica privind accesul la date
    • Politica privind exercitarea drepturilor persoanelor vizate
    • Politica privind gestionarea datelor cu caracter personal
    • Politica privind managementul incidentelor de securitate
    • Politica privind păstrarea datelor cu caracter personal
    • Politica privind securitatea informatiei
    • Politica privind utilizarea internetului si e-mailului
    • Politica privind utilizarea dispozitivelor mobile
    • Politica de securitate fizică
    • Formular pentru obţinerea consimțământului
  • Asistență privind implementarea procedurilor în cadrul incidentelor de securitate
    • Procedura de notificare a încălcării securității datelor personale
    • Formular pentru notificarea încălcării securității datelor personale
    • Formular pentru notificarea încălcării securității datelor personale
    • Procedura de răspuns în cazul unui incident de securitate
  • DPO
    • Decizie numire DPO (în funcție de situație)
    • Fișa postului DPO (în funcție de situație)
  • Analiza post-implementare pentru verificarea conformității cu GDPR
  • Redactare raport post-implementare

O parte din clienții cu care am lucrat, încă mai lucrăm și ne vorbesc de bine!

Ai nevoie de consultanță specifică pe GDPR?

0