Unul din aspectele frumoase și frustrante în același timp ale GDPR este faptul că multe din prevederile sale sunt interpretabile. Implementare gdpr însemnă cum alegem să interpretăm prevederile GDPR în instituțiile sau companiile din România în care lucrăm.
În consecință, greșelile de care vom vorbi pleacă pe de-o parte tocmai pe înțelegerea și aplicarea eronată a principiilor noului Regulament de către profesioniștii din GDPR, adeseori dublată de o abordare superficială a managementului operatorilor față de protecția datelor.
Așadar iată care sunt cele mai frecvente trei greșeli de aplicare a noului Regulament.
1. Implementare GDPR prin cererea consimțământului pentru orice fel de prelucrare de date
Să luăm un exemplu. Mergem la Primărie să cerem o fișă fiscală. Pe lângă formularul pe care îl avem de completat în mod normal, instituția ne mai cere să semnăm separat, că suntem de acord ca datele noastre personale să fie prelucrate.
Ori în acest caz, consimțământul nu este necesar în primul rând. Asta pentru că instituția nu ne-ar putea da fișa respectivă dacă nu ar avea datele noastre. Deci temeiul legal pentru prelucrarea datelor personale în acest caz este obligația legală de a oferi serviciul respectiv (așa cum este reglementată de legislația internă în vigoare, HG, OG, HCL, legi organice etc.).
În al doilea rând, dacă cereți consimțământul în astfel de situații bazate pe alte temeiuri legale (ex onorarea unui contract, îndeplinirea unei obligații legale, interes public, interes legitim, interes vital) încălcați principiul minimizării colectării a datelor, colectând date în plus și mai aveți în acel document nenecesar de acordare a consimțământului încă o hârtie cu date personale de care să aveți grijă.
Așadar țineți minte: un singur temei legal de prelucrare a datelor este de ajuns. Cerând consimțământul atunci când deja prelucrarea respectivă are alt temei legal (onorarea unui contract, îndeplinirea unei obligații legale, un interes public, etc. ) faceți mai mult rău decât bine din punct de vedere al conformării la GDPR.
2. Implementare GDPR prin obligarea angajaților de a semna o declarație prin care ei ‘se obligă să respecte GDPR’
Marea problemă aici este că acest lucru se întâmplă de foarte multe ori fără ca angajatul respectiv să aibă habar ce presupune GDPR. Faptul că un operator le transmite angajaților ‘să fie atenți ce fac cu datele personale’ este departe de a fi o instruire, și este departe de a fi suficient pentru conformare.
Angajații trebuie instruiți în funcție de specificul postului, mai precis în funcție de cât acces au la date cu caracter personal.
De exemplu, angajați care nu au acces la date cu caracter personal trebuie instruiți cu privire la accesare și procesarea datelor cu caracter personal neautorizată. Gen dacă din anumite motive, independente de ei, au acces la o hârtie cu date cu caracter personal, este important să știe că nu au voie sa facă copii, să fotografieze, să copieze ca mai apoi să distribuie spre publicul larg din cauza riscului unui prejudiciu.
Angajații care prelucrează date cu caracter personal trebuie instruiți cu privire la modul în care acestea trebuie prelucrate pentru a fi protejate, pentru a nu fi dezvăluite spre persoane care nu sunt autorizate. De asemenea trebuie întocmite proceduri de lucru în funcție de procesare pe care angajații să și le însușească.
Dincolo de instruire, trebuie modificate fișele de post și regulamentele de ordine interioară în mod corespunzător pentru a putea fi sigur că operatorul nu va fi sancționat pe motiv de reconformare.
Așadar de reținut aici importanța instruirii corespunzătoare a angajaților și a modificărilor aferente în fișele de post și regulamentelor de ordine interioară pentru a reduce drastic riscul unei amenzi.
Amenzile date până acum în România au scos în evidență clar faptul că Autoritatea nu dă neapărat amenzi pentru breșele de securitate în sine, cât în primul rând pentru lipsa unor proceduri corespunzătoare cu scop de conformare la GDPR.
3. Implementare GDPR prin informări greșite ale persoanelor vizate
Cum facem corect informarea persoanelor vizate? Ce anume îi informăm? Cum îi informăm?
”Vă informăm că datele d-voastră cu caracter personal sunt prelucrate conform Regulamentului General privind Protecția Datelor” – această sintagmă deja arhifolosită. Totuși, NU este o informare corectă.
De ce? Pentru că informarea se face pentru a-i oferi persoanei vizate informați cu privire la: scopul prelucrării, durata prelucrării, temeiul legal al prelucrării, drepturile pe care le are etc.
Haideți să luăm exemplul supravegherii video de tip CCTV într-un mall. Nu este suficient să afișați un autocolant pe coridoare care să atenționeze că zona este supravegheată video. În primul rând, autocolantul respectiv trebuie să fie plasat înainte de intrarea în mall, intrarea reprezentând acordul persoanelor vizate.
În al doilea rând, dincolo de faptul că ‘Zona este supravegheată video’, formularea de pe autocolantul respectiv mai trebuie să conțină faptul că:
- supravegherea se face în baza interesului legitim de siguranță al clienților, respectiv angajaților din mall de către compania X SRL.
- persoanele vizate au dreptul de a avea acces la înregistrările video în care aceștia apar, precum și dreptul la modificarea sau ștergerea înregistrărilor respective.
Nu credem că mai e cazul să o spunem dar informarea cu pricina NU trebuie semnată.
Cum spuneam la început, aceste greșeli pleacă în general fie de la lipsa unei înțelegeri temeinice a Regulamentului de către unii consultanți / specialiști GDPR din România, mai puțin pregătiți, fie din cauza ignoranței companiilor sau instituțiilor pentru protecția datelor. Așadar dacă v-ați dat seama că faceți aceste greșeli dar aveți totuși în organizația dumneavoastră o preocupare reală pentru conformarea la prevederile Regulamentului, acest articol ar trebui să fie un punct bun de plecare pentru remedierea problemelor în cauză.
Pentru mai multe detalii despre nuanțele fiecărui aspect de mai sus, specialiștii noștri vă stau la dispoziție.