Vrei să vorbești cu un specialist GDPR? Sună la 0751 100 335.

7 proceduri GDPR obligatorii în orice IMM

Regulamentul General privind protecția Datelor Personale (sau GDPR) produce efecte începând cu data de 25 mai 2018. Acesta este cea mai amplă încercare de până acum de a proteja datele personale în noua eră cibernetică.

Pentru a se asigura că prevederile Regulamentului sunt luate în serios UE a prevăzut un set foarte aspru de sancțiuni pentru organizațiile (companii, ONG-uri, instituții) care nu se conformează.

Dincolo de o serie de aspecte de principiu pe care e bine să le înțeleagă orice operator de date, am pregătit în acest articol și o serie de proceduri GDPR, documente și instrumente concrete pe care să le puteți folosi pentru a face primii pași către conformare.

Înainte de a începe să faceți orice fel de proceduri pentru GDPR, citiți punctele cheie din Regulament!

Cea mai bună metodă de a ști ce înseamnă GDPR și mai ales cum vă afectează este să citiți efectiv textul Regulamentului.

A citi personal regulamentul este cea mai bună metodă pentru a vă feri de avalanșa de opinii și interpretări personale care vor apărea pe marginea prevederilor sale. Volumul textului regulamentului poate fi intimidant de aceea vă recomandăm câteva articole cheie cu care puteți începe:

  • Art 6               Legalitatea prelucrării datelor
  • Art 7 și 8        Despre condițiile de consimțământ
  • Art 9               Prelucrarea datelor personale speciale – date biometrice sau genetice, convingeri religioase, orientare sexuală, opinii politice.
  • Art 12-23       Drepturile persoanelor vizate – Dreptul de acces al persoanei vizate la datele care se colectează despre ea, dreptul la rectificare, dreptul de ștergere a datelor (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor și dreptul la opoziție.
  • Art 30             Despre obligativitatea evidenței activităților de prelucrare
  • Art 32 – 34    Securitatea datelor cu caracter personal
  • Art 37-39       Despre responsabilul cu protecția datelor

Citirea acestor 22 articole din cele 99 ale întregului Regulament ar trebui să vă ia maxim 20 minute.

O altă sursă relevantă de informații o reprezintă ghidurile emise de grupul de lucru Articolul 29. Unul din cele mai importante ghiduri emise este ”Ghidul privind Responsabilul cu Protecția datelor” – ghid tradus și în limba română. Se poate descărca de aici:

 Ghidul privind Responsabilul cu Protecția datelor

Din păcate, cel puțin până la ora actuală în România nu avem încă niște norme de aplicare ale Regulamentului dar ne bazăm că ANSPDCP le va pregăti pentru a avea interpretarea oficială la prevederile care o necesită.

Autoritatea Națională pentru Supravegherea Procesării Datelor cu Caracter Personal a emis un Ghid orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor, care poate fi consultat aici:

 Ghid orientativ de aplicare a Regulamentului General

1. Procesul verbal de conștientizare de către conducere al importanței GDPR

E limpede că orice echipă de conducere trebuie să conștientizeze importanță GDPR. Și pentru că nu vorbim de o conștientizare de formă, se recomandă să aveți un proces verbal în acest sens. Nu există un format standard al felului în care trebuie să arate acest proces verbal, dar el în esență ar trebui să conțină:

  • Datele firmei
  • Numele membrilor echipei de conducere
  • Faptul că se desemnează o echipă de conformare
  • Numele membrilor echipei de conformare
  • Acțiunile de conformare care vor fi întreprinse
  • Data până la care acestea se vor executa

Puteți găsi un model aici:

 Decizie desemnare DPO

2. Politica de confidențialitate actualizată

Acesta este un alt punct important din setul de proceduri GDPR, care are ca scop informarea persoanelor vizate despre cum și la ce intenționați să le folosiți datele. Un exemplu interesant în acest sens sunt notificările de pe site.

Mai sus aveți un exemplu interesant despre cum comunică un magazin online utilizatorilor săi pentru ce anume colectează datele – limbaj clar, simplu și pe românește. Totodată reprezintă și un mod bun de a obține consimțământul utilizatorului site-ului.

Este foarte important să obțineți acordul pentru fiecare colectare sau procesare în parte, astfel veți putea dovedi clar că sunteți îndreptățit să folosiți informațiile personale în scopul precizat.

Un alt aspect important despre politica de confidențialitate este informarea cu privire la timpul de stocare a datelor și baza legală a acestor operațiuni. De aceea vă recomandăm cookiebot, o aplicație gratuită care vă scanează automat site-ul și cookie-urile folosite și generează o listă pe care o puteți include în pagina cu politica de confidențialitate.

Mai jos aveți un exemplu de listă pe care cookiebot o generează gratuit și care e foarte recomandat să o includeți în site-ul dumneavoastră.

Opțiunea pe care trebuie să o dați utilizatorilor site-ului de a își retrage consimțământul, implementabilă tot prin cookiebot. Acesta este un drept obligatoriu de acordat persoanelor vizate conform articolului 7 paragraf 3 despre dreptul la retragerea consimțământului și articolului 21 despre dreptul la opoziția prelucrării datelor.

Puteți găsi un model de politică de confidențialitate:

 Politica de confidentialitate

Proceduri GDPR legate de ofițerul pentru protecția datelor

Responsabilul cu protecția datelor sau DPO (așa cum este numit în Regulamentul (UE) 2016/679),  devine un ”actor-cheie” în noul sistem de protecție a datelor. Toate instituțiile publice precum și multe din majoritatea companiilor private vor avea obligativitatea de a numi un DPO începand cu data de 25 mai 2018.

Așadar cum știți dacă aveți sau nu nevoie de DPO?

Aveți nevoie dacă

  • sunteți o Instituție Publică
  • principala activitate a companiei este prelucrarea datelor cu caracter personal
  • principala activitate a companiei este prelucrarea datelor sensibile
  • procesați date provenite de la mai mult de 5000 de persoane

Cine poate fi DPO?

  • un membru al personalului dumneavoastră
  • un reprezentant comun al unui grup de operatori
  • conducătorul unui departament specializat
  • angajat extern, să îndeplinească sarcini, pe baza unui contract de servicii

Câteva proceduri GDPR și documente de care ai nevoie pentru DPO

3. Documentul de numire a responsabilului cu protecția datelor

Nici aici nu există un format standard al felului în care trebuie să arate acest document. Poate fi un act aditional la contractul de munca, poate fi un simplu proces verbal prin care se numește o persoană, dar el în esență ar trebui să conțină:

  • Datele firmei
  • Numele membrilor echipei de conducere
  • Faptul că se desemnează o persoana care va ocupa functia de Responsabil cu Protectia Datelor
  • Data de la care se vor executa exercita aceste atribuțiuni

Un posibil exemplu de un astfel de document găsiți aici:

 Decizie desemnare DPO

4. Fișa de post a DPO-ului

Fișa de post a responsabilului cu protecția datelor derivă chiar din Regulament și din ghidul privind DPO-ul, emis de grupul de lucru articolul 29. În baza acestor responsabilități DPO-ul trebuie să asigure atât respectarea drepturilor persoanelor vizate cât și să depună o muncă de diligență în vederea conformării companiei la GDPR.

Pe lângă fișa de post și documentul de numire, un aspect important îl constituie poziționarea optimă în organigrama companiei a DPO-ului. Ne referim aici la o poziționare care să îi asigure în același timp independență cât și posibilitatea de relaționare nesubordantă față de celelalate departamente.

Exemplu de fișă de post pentru DPO descărcabil aici:

 Fisa postului DPO

5. Documentul de notificare a Autorității

Dacă vorbim de un funcționar public, sarcinile care îi revin sunt reglementate printr-un raport de serviciu pe baza Legii 188/1999 + atribuțiile din GDPR.

În cazul personalul contractual, atribuțiile sunt reglementate de Codul Muncii împreună cu Regulamentul de organizare și funcționare și fișa postului. În data de 21 noiembrie 2017, Ordinul comun 1786/5384/2017 al MMJS și INS completează Clasificarea ocupațiilor din România cu responsabil cu protecția datelor cu caracter personal.

Oferim un model de notificare a Autorității aici:

 Formular DPO notificari

6. Anexa cu clauza privind protecția datelor personale, de adăugat la contractele cu furnizorii

Pentru a respecta principiul privacy by design impus de GDPR, vă recomandăm să folosiți această clauză la contractele cu furnizorii dumneavoastră de bunuri și servicii.

Aceasta are rolul de a evidenția angajamentul dumneavoastră și al tuturor colaboratorilor cu care lucrați de a proteja datele cu caracter personal.

Puteți găsi aici anexa:

Clauza standard protectia datelor

 Proceduri GDPR pentru înștiințarea angajaților

7. INFORMAREA angajaților pentru prelucrarea datelor

Înformați și instruiți angajații privind colectarea și prelucrarea datelor cu caracter personal, conform GDPR. Această informare trebuie să fie scrisă și să conțină următoarele:

  • Ce fel de date colectați (ex. nume, prenume, date CI, imagini, voce, cont bancar)
  • Prin ce mijloace (ex. Sistem de pontaj electronic, monitorizare video, monitorizare gps pe mașina de firmă etc)
  • De ce anume colectați datele – temeiul legal – respectiv interesul legitim (ex. pentru securitatea persoanelor și a bunurilor, plata salariilor etc.)
  • Perioada de retenție, cine mai are acces la date

A se vedea mai jos un exemplu concret de consimțământ / notificare de prelucrare a datelor angajaților pe care să îl adaptați la propria organizație.

 Notă de informare

Folosind aceste proceduri și instrumente veți putea înteprinde câteva acțiuni minimale de conformare. Pentru cei care își doresc mai multe proceduri GDPR și documente în acest sens vă punem la dispoziție pachetul nostru online de pregătire GDPR.

By | 2018-07-09T15:57:02+00:00 3 iul., 2018|Implementare|0 Comments