Regulamentul General privind protecția Datelor Personale, pe scurt RGPD (sau GDPR de la varianta în engleză – General Data Protection Regulation) a început să producă efecte de la data de 25 mai 2018. Acesta este prima încercare de a proteja datele personale în noua eră cibernetică. În urmă cu 20 de ani, o familie normală avea un singur computer, care era folosit de toți membrii. Studiile actuale arată că astăzi, în aceeași familie, există peste 6 dispozitive conectate la o rețea de Internet. La fel se întâmplă și la nivelul companiilor, în condițiile digitalizării galopante. La un nivel fără precedent este de asemenea și infracționalitatea informatică iar acest aspect ne afectează indiferent că suntem utilizatori fizici, companii sau instituții de stat.

Scopul articolului „Cum ne pregătim de implementare GDPR în 10 pași” este să ne ghideze pas cu pas în procesul de conformare la noul Regulament General privind Protecția Datelor.

1. Fiți informați!

Cea mai bună metodă de a ști ce sunt datele personale, ce înseamnă GDPR și mai ales cum vă afectează este să citiți textul Regulamentului. Fie ca sunteți persoană vizată și vreți să vă cunoașteți drepturile, fie că sunteți responsabil de protecția datelor într-o companie sau instituție publică sau pur și simplu conduceți o companie și vreți sa fiți conform cu GDPR, a citi personal regulamentul este cea mai bună metodă de informare. Deoarece lipsa timpului este mereu o problemă iar volumul textului regulamentului poate fi un factor care să ducă la amânarea acestei activități, vă recomandăm câteva articole cheie cu care puteți începe. Este vorba de 22 de articole din cele 99 ale întregului Regulament și nu ar trebui să vă ia mai mult de 20 minute citirea lor.

  • Art 6 – Legalitatea prelucrării datelor
  • Art 7 și 8 – Despre condițiile de consimțământ
  • Art 9 – Prelucrarea datelor personale speciale – date biometrice sau genetice, convingeri religioase, orientare sexuală, opinii politice.
  • Art 12-23 – Drepturile persoanelor vizate
  • Art 30 – Despre obligativitatea evidenței activităților de prelucrare
  • Art 32-34 – Securitatea datelor cu caracter personal
  • Art 37-39 – Despre responsabilul cu protecția datelor

2. Asigurați-vă că personalul existent în funcțiile de conducere conștientizează importanța GDPR.

Pentru a garanta o implementare GDPR adecvată, asigurați-vă că personalul cu funcție de conducere din compania dumneavoastră conștientizează importanța GDPR și impactul acesteia la nivel de organizație. Ei trebuie să fie suficient de bine pregătiți pentru a lua cele mai bune decizii. Cu cât compania este mai complexă din punct de vedere al departamentelor cu atât mai mult este nevoie de implicarea lor. Toate echipele trebuie să fie implicate în acest proces de conformare în special cele cu profil informatic și juridic. Timpul este limitat, iar conformarea poate dura mai mult decât este estimat. În cele multe cazuri un specialist vă poate economisi timp și bani. Cazul ideal este apelarea la o echipă formată din membri cu pregătire cât mai diversă, pentru a face față tuturor provocărilor.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță GDPR online.

  • Îți evaluăm riscurile în cel mai mic detaliu

  • Te asistăm pas cu pas în implementare

  • Îți instruim angajații care prelucrează date

  • Îți oferim proceduri și documente tipizate

3. Inventarierea datelor cu caracter personal și a documentelor

Evaluarea impactului și crearea unui registru este prima acțiune pe care trebuie să o faceți. Identificați prima dată problemele și vulnerabilitățile pentru a găsi cea mai bună rezolvare. Pentru asta este nevoie să știți:

  • ce date cu caracter personal dețineți și unde sunt ele localizate
  • de unde provin aceste datele cu caracter personal și cine are acces la ele
  • care sunt vulnerabilitățile sistemului de date și cum pot fi ele protejate
  • cât timp sunt păstrate datele și când pot fi șterse
  • de unde pot fi accesate aceste date
  • la ce sunt folosite
  • suportul pe care sunt stocate datele
  • sunt sau nu criptate
  • baza legală pentru a deține astfel de date.

Nu este nevoie să urmați un tipar anume în alcătuirea acestui inventar. Important este să țineți cont de prevederile articolului 30 din Regulament. Această procedură are scopul de a vă ajuta în procesul de conformare la GDPR și de vă oferi o imagine de ansamblu asupra datelor cu caracter personal care le dețineți.

Inventarierea se aplică pentru toate datele indiferent de natura lor. Aici vorbim despre angajați, voluntari, utilizatori de servicii, clienți, sponsori etc.

Automatizează ținerea evidenței prelucrărilor de date cu
aplicația GDPR Complet Evidența Operațiunilor de Prelucrare

  • Monitorizare activitate pe fișiere (pe unități fixe sau mobile, cloud)

  • Raport complet al activității pe Internet

  • Evidența tuturor documentelor printate

  • Activitatea de prelucrare și operare a documentelor

  • Activitatea în cadrul aplicațiilor și ferestrelor de aplicații

  • Alertare a potențialelor riscuri

  • Nivele de acces diferite la infomațiile colectate

  • Monitorizarea operațiilor pe bazele de date

  • Inventar Software – identificarea actualizărilor de Securitate

  • Inventar Hardware

4. Politica de confidențialitate

Persoanele vizate trebuie să știe clar cum și la ce intenționați să le folosiți datele. Cea mai bună și ușoară metodă de a face acest lucru sunt ”notele de confidențialitate”. Chiar dacă aveți  deja aceste notificări, ele vor trebui modificate și îmbănătățite pentru a informa utilizatorii cu privire la timpul de stocare al datelor și baza legală pentru aceste prelucrări.

Este foarte important să obțineți acordul pentru fiecare colectare sau procesare în parte, astfel veți putea dovedi clar că sunteți îndreptățit să folosiți informațiile personale în scopul precizat. Când vine vorba de acord GDPR, să nu uităm de relația operator – persoană împuternicită și de importanța stabilirii clauzelor contractuale în mod corect prin acordul GDPR dintre părți.

Nu colectați mai multe date decât este necesar! De multe ori, datele furnizate de persoanele fizice sunt folosite cu scop diferit față de cel propus si uneori, nu sunt folosite deloc. O astfel de procedură stufoasă, poate să atragă după sine răspundere contravențională. Ca să nu ajungeți la amenzi, GDPR recomandă să folosiți anonimizarea și criptarea datelor pentru procesul de prelucrare a acestora sau atunci când ele sunt distribuite către terți.

5. Drepturile persoanelor vizate

GDPR se concentrează pe persoana fizică și îi conferă acesteia mai multe drepturi. Acestea sunt curpinse în Regulament de la articolul 12 până la articolul 21. Asigură-te că le respecți pe toate!

  • Persoana privată are dreptul de a avea acces la datele sale și la informații cu privire la felul și scopul în care îi sunt folosite datele.
  • Pentru a se asigura că datele sale sunt corecte și complete, persoana fizică are dreptul la rectificare. În cazul unei sesizări, operatorul de date are obligația de a actualiza datele persoanei vizate, astfel încât acestea să reflecte realitatea și să nu cauzeze nici un prejudiciu.
  • Persoanele vizate au dreptul de a solicita ștergerea datelor cu caracter personal, ori de câte ori acestea consideră că le sunt folosite în scopuri nelegitime sau dacă și-au atins scopul pentru care au fost colectate. Operatorul de date are obligația de a se conforma întocmai și imediat.
  • În cazul în care există suspiciuni că datele cu caracter personal ale unei persoane sunt folosite în alte scopuri decât cele declarate sau că acestea sunt incorecte, el are dreptul de a restricționa procesarea lor.
  • Articolul 20 din GDPR vorbește despre dreptul la portabilitatea datelor. În acest sens, operatorul de date trebuie să pună la dispoziția persoanei toate datele pe care le deține despre ea. Ele trebuie să fie într-un format corect și universal compatibil din punct de vedere tehnic. Aceasta asigură transmiterii datelor către un alt operator de date, fără a ridica obligații financiare din partea persoanei vizate.
  • În cazul în care datele personale ale unei persoane sunt folosite in scopuri comerciale sau în acțiuni de profilare, individul are dreptul de a obiecta și a se opune în orice moment.

Când și în baza cărui temei legal dăm curs unei cereri de acces la date spre exemplu? Dar la o cerere de ștergere? Îi putem da curs în orice condiții? Află din articolul: GDPR – drepturile persoanei vizate. Când răspundem și când nu?

6. Identificați baza legală conform căreia procesați datele cu caracter personal

Pentru a avea dreptul de a opera date cu caracter personal, este nevoie de o bază legală solidă și conformă. Având în vedere că există mai multe forme legale care permit procesarea datelor personale, trebuie identificată cea mai potrivită în funcție de scop și intenție. Identificarea trebuie făcută înainte de a se începe colectarea datelor și este necesar să fie cea corectă, asta deoarece nu poate fi schimbată pe parcursul procesării.

Regulamentul pune un accent mare pe consimțământul persoanei. În cazul în care obținerea acestuia este dificilă sau imposibilă, este necesar să se identifice o bază legală pentru a continua procesarea datelor. Consimtământul exprimat trebuie să fie clar, concis și explicit. De asemenea, trebuie să fie separat de secțiunea ”Termeni și condiții” și trebuie să îi ofere celui vizat posibilitatea de a și-l retrage oricând.

Interesul legitim este cel mai la îndemână și flexibil mod de a opera date cu caracter personal, dar asta nu înseamnă că este întotdeauna cel mai corect. Pentru a fi curpins de cadrul legal, procesul de colectare și prelucare a datelor trebuie să fie imperativ necesar. Dacă se pot obține aceleași rezultate prin metode mai puțin intruzive, prima data trebuie exploatate acelea. Înțelegem astfel că protejarea individului primează.

Când vine vorba de categorii de date sensibile, trebuie întâi identificată baza legală, conform articolului 6 din Regulament și apoi o condiție pentru prelucarea lor.

Categoriile de date sensibile sunt acele date care, prin caracterul lor, pot aduce atingere integritații sau libertății  personale, cum ar fi: rasă, origine etnică, culoare politică, religie, viață sexuală, orientare sexuală, genetică etc. Toate condițiile de care trebuie să țineți cont când lucrați cu date sensibile se găsesc în articolul 9 din GDPR.

7. Fiți pregătiți să identificați, investigați și raportați breșele de securitate

O scurgere de informații poate duce la distrugerea, pierderea, alterarea sau accesarea de către persoane neautorizate a datelor cu caracter personal. Conform noului Regulament, sunteți obligați să raportați în decursul a 72 de ore o breșă de securitate. În caz de neconformare amenzile prevăzute de GDPR au crescut considerabil. Acestea sunt aplicate în cazul în care, din cauza unei scurgeri de informații, persoanei vizate i s-a cauzat un prejudiciu de ordin moral sau material. Operatorul de date poate fi amendat cu pana la 4% din cifra de afaceri sau 20 de milioane de euro. Pentru a vă asigura că nu vă aflați în această situație trebuie să securizați toate datele din sistemul electronic. GDPRcomplet vă pune la dispoziție o unealtă soft dezvoltată cu acest scop. Pentru a putea identifica cu ușurință persoana care a dus la producerea breșei de securitate, este necesară o monitorizare a tuturor operațiunilor din cadrul sistemelor de prelucrare automată, precum colectarea, modificarea, consultarea, divulgarea, inclusiv transferurile, combinarea sau ștergerea. Identificarea persoanei care a consultat sau divulgat date cu caracter personal ar trebui să fie înregistrată și, plecând de la identificarea respectivă, ar putea fi posibil să se stabilească justificarea operațiunilor de prelucrare. Înregistrările ar trebui să fie utilizate numai pentru verificarea legalității prelucrării, monitorizarea proprie, asigurarea integrității și securității datelor și pentru proceduri penale.

Monitorizarea proprie include, de asemenea, proceduri disciplinare interne ale autorităților competente.

Află mai mult despre gestionarea breșelor de securitate GDPR în articolul nostru dedicat: Gestionarea breșelor de securitate GDPR.

Calea mai simplă și mai eficientă de a-ți obține diploma de responsabil de protecția datelor (DPO)

  • 4,5 ore de conținut video – acces pe viață

  • Înveți de la experți în domeniul legal, IT, management

  • Beneficiezi de asistență unu la unu

8. Ofițerul pentru protecția datelor

Responsabilul cu protecția datelor sau DPO (așa cum este numit în Regulamentul (UE) 2016/679),  devine un ”actor-cheie” în noul sistem de protecție a datelor. Toate instituțiile publice precum și  majoritatea companiilor private au obligativitatea de a numi un DPO.

Principala responsabilitate este de cooperare cu autoritatea națională de supraveghere și de asumare a rolului de punct de contact cu aceasta. Urmărind aceste aspecte, cu toate că Regulamentul nu prevede cerințe specifice, putem spune că este nevoie de o pregătire profesionala specializată care să lase cât mai puțin loc erorilor.

Înainte de a lua o hotărâre cu privire la DPO este necesar să fiți atenți la specificațiile acestui post. În primul rând responsabilul cu protecția datelor trebuie să fie independent. Acesta nu poate fi sancționat, nici concediat pentru îndeplinirea atribuțiilor sale. Este necesar să aibă acces la toate operațiunile de prelucrare a datelor până la cel mai înalt nivel al conducerii.

În plan intern, acesta are sarcina de a monitoriza modul în care sunt gestionate datele cu caracter personal, atât prin îndrumare și consiliere cât și prin control.

Cine poate fi DPO?

  • membru al personalului operatorului
  • reprezentant comun al unui grup de operatori
  • conducătorul unui departament specializat
  • angajat extern, să îndeplinească sarcini, pe baza unui contract de servicii de DPO externalizat.

Dacă vorbim de un funcționar public, sarcinile care îi revin sunt reglementate printr-un raport de serviciu pe baza Legii 188/1999 + atribuțiile din GDPR.  Această funcție implică exercitarea prerogativelor de putere publică, de exemplu: punerea în executare a actelor normative; consilierea, controlul și auditul public intern; reprezentarea intereselor autorității sau instituției publice în raporturile acesteia cu persoane fizice sau juridice.

În cazul personalul contractual, atribuțiile sunt reglementate de Codul Muncii împreună cu Regulamentul de Organizare și Funcționare și Fișa Postului. În data de 21 noiembrie 2017, Ordinul comun 1786/5384/2017 al MMJS și INS completează Clasificarea ocupațiilor din România cu responsabil cu protecția datelor cu caracter personal.

Ultima posibilitate sugerată în cadrul Conferinței și care o regăsim în articolul 37 aliniatul (6) din GDPR  este cea de ”Contract de servicii” sinalagmatic (obligații reciproce și interdependente).

Ofițerul responsabil pentru protecția datelor cu caracter personal sau DPO-ul, poate fi un angajat din cadrul organigramei sau poate fi contractat extern. Este necesară angajarea unuia în următoarele cazuri:

  • operatorul de date cu caracter personal este o Instituție publică
  • principala activitate a companiei este prelucrarea datelor cu caracter personal
  • principala activitate a companiei este prelucrarea datelor sensibile
  • operatorul de date procesează date provenite de la mai mult de 5000 de persoane

Dacă DPO-ul este un angajat intern, este necesar:

  • să îi puneți la dispoziție resursele necesare pentru îndeplinirea atribuțiilor care îi revin
  • garantarea accesului la datele cu caracter personal și la procesul de prelucrare a acestora
  • ca datele sale de contact să fie publice și să anunțați Autoritatea Națională

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

9. Înștiințarea angajaților

Informați și instruiți angajații privind prelucrarea datelor cu caracter personal, conform GDPR. Toți cei care au acces la date personale trebuie să fie conștienți de riscurile care pot apărea și trebuie să fie pregătiți să preîntâmpine abuzurile.

10. Implementează protecția datelor în proiectele noi – Privacy by design

Privacy by design înseamnă dezvoltarea de proiecte noi având ca punct de focus protecția datelor cu caracter personal. Fie că ne referim la proiecte informatice, legi, regulamente sau politici noi, trebuie să avem în vedere protejarea intereselor persoanei vizate.

Urmând acest concept, puteți identifica încă de la început punctele slabe și posibilele probleme, ușurându-vă astfel considerabil munca.

Concluzii

Acțiunile care trebuie realizate pentru conformarea la GDPR sunt numeroase, iar implementarea GDPR este un proces continuu. Dar să nu uităm că până la urmă ceea ce se dorește prin GDPR este grija firească față de datele personale ale celor care apelează la serviciile / produsele tale.

Dacă sunteți la începutul procesului de implementare GDPR și aveți nevoie de asistență, sau dacă doriți să vă sprijinim în evaluarea și implementarea standardului GDPR în compania sau instituția pe care o reprezentați, contactați-ne pe contact@gdprcomplet.ro.