Regulamentul General privind protecția Datelor Personale (sau GDPR) produce efecte începând cu data de 25 mai 2018. Acesta este cea mai amplă încercare de până acum de a proteja datele cu caracter personal în noua eră cibernetică.
Pentru a se asigura că prevederile Regulamentului sunt luate în serios, UE a prevăzut un set foarte aspru de sancțiuni pentru organizațiile (companii, ONG-uri, instituții) care nu se conformează.
Dincolo de o serie de aspecte de principiu pe care e bine să le înțeleagă orice operator de date, am pregătit în acest articol și o serie de proceduri GDPR, exemple de formulare GDPR, documente și instrumente concrete pe care să le puteți folosi pentru a face primii pași către conformare.
Conținut
Înainte de a începe să faceți orice fel de proceduri pentru GDPR și să folosiți orice fel de formular GDPR, citiți punctele cheie din Regulamentul General privind Protecția Datelor!
Cea mai bună metodă de a ști ce înseamnă GDPR și mai ales cum vă afectează este să citiți efectiv textul Regulamentului.
A citi personal regulamentul este cea mai bună metodă pentru a vă feri de avalanșa de opinii și interpretări personale care vor apărea pe marginea prevederilor sale. Volumul textului regulamentului poate fi intimidant de aceea vă recomandăm câteva articole cheie cu care puteți începe:
- Art 6: Legalitatea prelucrării datelor
- Art 7 și 8: Despre condițiile de consimțământ
- Art 9: Prelucrarea datelor personale speciale – date biometrice sau genetice, convingeri religioase, orientare sexuală, opinii politice.
- Art 12-23: Drepturile persoanelor vizate – Dreptul de acces al persoanei vizate la datele care se colectează despre ea, dreptul la rectificare, dreptul de ștergere a datelor (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor și dreptul la opoziție.
- Art 30: Despre obligativitatea evidenței activităților de prelucrare
- Art 32 – 34: Securitatea datelor cu caracter personal
- Art 37-39: Despre responsabilul cu protecția datelor
Citirea acestor 22 articole din cele 99 ale întregului Regulament ar trebui să vă ia maxim 20 minute.
O altă sursă relevantă de informații o reprezintă ghidurile emise de grupul de lucru Articolul 29. Unul din cele mai importante ghiduri emise este ”Ghidul privind Responsabilul cu Protecția datelor” – ghid tradus și în limba română. Se poate descărca de aici:
Ghidul privind Responsabilul cu Protecția datelor
Din păcate, cel puțin până la ora actuală în România nu avem încă niște norme de aplicare ale Regulamentului dar ne bazăm că ANSPDCP le va pregăti pentru a avea interpretarea oficială la prevederile care o necesită.
Autoritatea Națională pentru Supravegherea Procesării Datelor cu Caracter Personal a emis un Ghid orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor, care poate fi consultat aici:
Ghid orientativ de aplicare a Regulamentului General
1. Procesul verbal de conștientizare de către conducere al importanței Regulamentului GDPR
E limpede că orice echipă de conducere trebuie să conștientizeze importanță GDPR. Și pentru că nu vorbim de o conștientizare de formă, se recomandă să aveți un proces verbal în acest sens. Nu există un format standard al felului în care trebuie să arate acest proces verbal, dar el în esență ar trebui să conțină:
- Datele firmei
- Numele membrilor echipei de conducere
- Faptul că se desemnează o echipă de conformare
- Numele membrilor echipei de conformare
- Acțiunile de conformare care vor fi întreprinse
- Data până la care acestea se vor executa
Model proces verbal de instruire a agajaților despre GDPR.
2. Politica de confidențialitate actualizată
Acesta este un alt punct important din setul de proceduri GDPR, care are ca scop informarea persoanelor vizate despre cum și la ce intenționați să le folosiți datele. Un exemplu interesant în acest sens sunt notificările de pe site.
Mai sus aveți un exemplu interesant despre cum comunică un magazin online utilizatorilor săi pentru ce anume colectează datele – limbaj clar, simplu și pe românește. Totodată reprezintă și un mod bun de a obține consimțământul utilizatorului site-ului.Este foarte important să obțineți acordul pentru fiecare colectare sau procesare în parte, astfel veți putea dovedi clar că sunteți îndreptățit să folosiți informațiile personale în scopul precizat.
Un alt aspect important despre politica de confidențialitate este informarea cu privire la timpul de stocare a datelor și baza legală a acestor operațiuni. De aceea vă recomandăm cookiebot, o aplicație gratuită care vă scanează automat site-ul și cookie-urile folosite și generează o listă pe care o puteți include în pagina cu politica de confidențialitate.
Mai jos aveți un exemplu de listă pe care cookiebot o generează gratuit și care e foarte recomandat să o includeți în site-ul dumneavoastră.
Opțiunea pe care trebuie să o dați utilizatorilor site-ului de a își retrage consimțământul, implementabilă tot prin cookiebot. Acesta este un drept obligatoriu de acordat persoanelor vizate conform articolului 7 paragraf 3 despre dreptul la retragerea consimțământului și articolului 21 despre dreptul la opoziția prelucrării datelor.
Model de politică de confidențialitate.
Proceduri GDPR legate de ofițerul pentru protecția datelor
Responsabilul cu protecția datelor sau DPO (așa cum este numit în Regulamentul (UE) 2016/679), devine un ”actor-cheie” în noul sistem de protecție a datelor. Toate instituțiile publice precum și multe din majoritatea companiilor private din România vor avea obligativitatea de a numi un DPO începand cu data de 25 mai 2018.
Așadar cum știți dacă aveți sau nu nevoie de DPO?
Aveți nevoie dacă:
- sunteți o Instituție Publică
- principala activitate a companiei este prelucrarea datelor cu caracter personal
- principala activitate a companiei este prelucrarea datelor sensibile
- procesați date provenite de la mai mult de 5000 de persoane
Cine poate fi DPO?
- un membru al personalului dumneavoastră
- un reprezentant comun al unui grup de operatori
- conducătorul unui departament specializat
- angajat extern, să îndeplinească sarcini, pe baza unui contract de servicii
Citește articolul nostru despre funcția DPO pentru a afla tot ce trebuie să știi despre un responsabil cu protecția datelor.
Câteva proceduri GDPR și documente de care ai nevoie pentru DPO
3. Formular GDPR – Documentul de numire a responsabilului cu protecția datelor
Nici aici nu există un format standard al felului în care trebuie să arate acest document. Poate fi un act aditional la contractul de munca, poate fi un simplu proces verbal prin care se numește o persoană, dar el în esență ar trebui să conțină:
- Datele firmei
- Numele membrilor echipei de conducere
- Faptul că se desemnează o persoana care va ocupa functia de Responsabil cu Protectia Datelor
- Data de la care se vor executa exercita aceste atribuțiuni
4. Formular GDPR – Fișa de post a DPO-ului
Fișa de post a responsabilului cu protecția datelor derivă chiar din Regulament și din ghidul privind DPO-ul, emis de grupul de lucru articolul 29. În baza acestor responsabilități DPO-ul trebuie să asigure atât respectarea drepturilor persoanelor vizate cât și să depună o muncă de diligență în vederea conformării companiei la GDPR.
Pe lângă fișa de post și documentul de numire, un aspect important îl constituie poziționarea optimă în organigrama companiei a DPO-ului. Ne referim aici la o poziționare care să îi asigure în același timp independență cât și posibilitatea de relaționare nesubordantă față de celelalate departamente.
Exemplu de formular GDPR fișă de post pentru DPO.
5. Documentul de notificare a Autorității
Dacă vorbim de un funcționar public, sarcinile care îi revin sunt reglementate printr-un raport de serviciu pe baza Legii 188/1999 + atribuțiile din GDPR.
În cazul personalul contractual, atribuțiile sunt reglementate de Codul Muncii împreună cu Regulamentul de organizare și funcționare și fișa postului. În data de 21 noiembrie 2017, Ordinul comun 1786/5384/2017 al MMJS și INS completează Clasificarea ocupațiilor din România cu responsabil cu protecția datelor cu caracter personal.
Puteți notifica numirea Responsabilului cu Protecția Datelor pe site-ul Autorității (ANSPDCP).
6. Anexa cu clauza privind protecția datelor personale, de adăugat la contractele cu furnizorii
Pentru a respecta principiul privacy by design impus de Regulamentul GDPR, vă recomandăm să folosiți această clauză la contractele cu furnizorii dumneavoastră de bunuri și servicii.
Aceasta are rolul de a evidenția angajamentul dumneavoastră și al tuturor colaboratorilor cu care lucrați de a proteja datele cu caracter personal.
Aici găsiți anexa formular GDPR: Clauza standard protecția datelor.
Proceduri GDPR pentru înștiințarea angajaților
7. INFORMAREA angajaților pentru prelucrarea datelor
Informați și instruiți angajații privind colectarea și prelucrarea datelor cu caracter personal, conform GDPR. Această informare referitoare la datele cu caracter personal prelucrate trebuie să fie scrisă și să conțină următoarele:
- Ce fel de date colectați (ex. nume, prenume, date CI, imagini, voce, cont bancar)
- Prin ce mijloace (ex. Sistem de pontaj electronic, monitorizare video, monitorizare gps pe mașina de firmă etc)
- De ce anume colectați datele – temeiul legal – respectiv interesul legitim (ex. pentru securitatea persoanelor și a bunurilor, plata salariilor etc.)
- Perioada de retenție, cine mai are acces la date
Un exemplu concret de formular GDPR de notificare de prelucrare a datelor angajaților pe care să îl adaptați la propria organizație.
Folosind aceste proceduri și instrumente veți putea înteprinde câteva acțiuni minimale de conformare. Pentru cei care își doresc mai multe proceduri GDPR și documente în acest sens vă punem la dispoziție pachetul nostru online de pregătire GDPR.