Vrei sa vorbesti cu un specialist GDPR? Suna la 0751 100 335 sau adreseaza o intrebare Comunitatii DPO.

Cum ne pregătim pentru GDPR în 10 pași

Regulamentul General privind protecția Datelor Personale (sau GDPR) va produce efecte începând cu data de 25 mai 2018. Acesta este prima încercare de a proteja datele personale în noua eră cibernetică. În urmă cu 20 de ani, o familie normală avea un singur computer, care era folosit de toți membrii. Studiile actuale arată că astăzi, în aceeași familie, există peste 6 dispozitive conectate la o rețea de Internet. Infracționalitatea informatică este de asemenea la un nivel fără precedent. Acest aspect ne afectează indiferent că suntem utilizatori fizici, companii sau instituții de stat. Cum ne protejăm?

  1. Fiți informați!

Cea mai bună metodă de a ști ce înseamnă GDPR și mai ales cum vă afectează este să citiți textul Regulamentului.

  1. Asigurați-vă că personalul existent în funcțiile de conducere conștientizează importanța GDPR.

Pentru a garanta o implementare adecvată, asigurați-vă că personalul cu funcție de conducere din compania dumneavoastră conștientizează importanța GDPR și impactul acesteia la nivel de organizație. Ei trebuie să fie suficient de bine pregătiți pentru a lua cele mai bune decizii. Cu cât compania este mai complexă din punct de vedere al departamentelor cu atât mai mult este nevoie implicarea lor. Toate echipele trebuie să fie implicate în acest proces de conformare în special cele cu profil informatic și juridic. Timpul este limitat, iar conformarea poate dura mai mult decât este estimat. În cele multe cazuri un specialist vă poate economisi timp și bani. Un specialist GDPRcomplet ideal este o echipă formată din membri cu pregătire cât mai diversă, pentru a face față tuturor provocărilor.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță online.

AFLĂ MAI MULTE DESPRE SERVICIILE NOASTRE DE CONSULTANȚĂ
  1. Inventarierea datelor și a documentelor

Evaluarea impactului și crearea unui registru este prima acțiune care trebuie să o faceți. Identificați prima dată problemele și vulnerabilitățile pentru a găsi cea mai bună rezolvare. Pentru asta este nevoie să știți:

  • ce date cu caracter personal dețineți și unde sunt ele localizate
  • de unde provin aceste datele cu caracter personal și cine are acces la ele
  • care sunt vulnerabilitățile sistemului de date și cum pot fi ele protejate
  • cât timp sunt păstrate datele și când pot fi șterse
  • de unde pot fi accesate aceste date
  • la ce sunt folosite
  • suportul pe care sunt stocate datele
  • sunt sau nu criptate
  • baza legală pentru a deține astfel de date

Nu este nevoie să urmați un tipar anume în alcătuirea acestui inventar. Important este să țineți cont de prevederile articolului 30 din Regulament. Această procedură are scopul de a vă ajuta în conformarea cu GDPR și de vă oferi o imagine de ansamblu asupra datelor cu caracter personal care le dețineți.

Inventarierea se aplică pentru toate datele indiferent de natura lor. Aici vorbim despre angajați, voluntari, utilizatori de servicii, clienți, sponsori etc.

Automatizează ținerea evidenței prelucrărilor de date cu
aplicația GDPR Complet Evidența Operațiunilor de Prelucrare

  • Monitorizare activitate pe fișiere (pe unități fixe sau mobile, cloud)

  • Raport complet al activității pe Internet

  • Evidența tuturor documentelor printate

  • Activitatea de prelucrare și operare a documentelor

  • Activitatea în cadrul aplicațiilor și ferestrelor de aplicații

  • Alertare a potențialelor riscuri

  • Nivele de acces diferite la infomațiile colectate

  • Monitorizarea operațiilor pe bazele de date

  • Inventar Software – identificarea actualizărilor de Securitate

  • Inventar Hardware

AFLĂ MAI MULTE DESPRE GDPR Complet Evidența Operațiunilor de Prelucrare
  1. Politica de confidențialitate

Persoanele vizate trebuie să știe clar cum și la ce intenționați să le folosiți datele. Cea mai bună și ușoară metodă de a face acest lucru sunt ”notele de confidențialitate”. Chiar dacă aveți  deja aceste notificări, ele vor trebui modificate și îmbănătățite pentru a informa utilizatorii cu privire la timpul de stocare a datelor și baza legală pentru aceste operațiuni.

Este foarte important să obțineți acordul pentru fiecare colectare sau procesare în parte, astfel veți putea dovedi clar că sunteți îndreptățit să folosiți informațiile personale în scopul precizat.

Nu colectați mai multe date decât este necesar. De multe ori, datele furnizate de persoanele fizice sunt folosite cu scop diferit față de cel propus si uneori, nu sunt folosite deloc. O astfel de procedură stufoasă, poate să atragă după sine răspundere contravențională. Ca să nu ajungeți la amenzi, GDPR recomandă să folosiți anonimizarea și criptarea datelor pentru procesul de prelucrare a acestora sau atunci când ele sunt distribuite către terți.

  1. Drepturile persoanelor vizate

GDPR se concentrează pe persoana fizică și îi conferă acesteia mai multe drepturi. Acestea sunt curpinse în Regulament de la articolul 12 până la articolul 21. Asigură-te că le respecți pe toate.

Persoana privată are dreptul de a avea acces la datele sale și la informații cu privire la felul și scopul în care îi sunt folosite datele.

Pentru a se asigura că datele sale sunt corecte și complete, persoana fizică are dreptul la rectificare. În cazul unei sesizări, operatorul de date are obligația de a actualiza datele persoanei vizate, astfel încât acestea să reflecte realitatea și să nu cauzeze nici un prejudiciu.

Persoanele vizate au dreptul de a solicita ștergerea datelor cu caracter personal, ori de câte ori acestea consideră că le sunt folosite în scopuri nelegitime sau dacă și-au atins scopul pentru care au fost colectate. Operatorul de date are obligația de a se conforma întocmai și imediat.

În cazul în care există suspiciuni că datele cu caracter personal ale unei persoane sunt folosite în alte scopuri decât cele declarate sau că acestea sunt incorecte, el are dreptul de a restricționa procesarea lor.

Articolul 20 din GDPR vorbește despre dreptul la portabilitatea datelor. În acest sens, operatorul de date trebuie să pună la dispoziția persoanei toate datele pe care le deține despre ea. Ele trebuie să fie într-un format corect și universal compatibil din punct de vedere tehnic. Aceasta asigură transmiterii datelor către un alt operator de date, fără a ridica obligații financiare din partea persoanei vizate.

În cazul în care datele personale ale unei persoane sunt folosite in scopuri comerciale sau în acțiuni de profilare, individul are dreptul de a obiecta și a se opune în orice moment.

  1. Identificați baza legală conform căreia procesați datele cu caracter personal

Pentru a avea dreptul de a opera date cu caracter personal, este nevoie de o bază legală solidă și conformă. Având în vedere că există mai multe forme legale care permit procesarea datelor personale, trebuie identificată cea mai potrivită în funcție de scop și intenție. Identificarea trebuie făcută înainte de a se începe colectarea datelor și este necesar să fie cea corectă, asta deoarece nu poate fi schimbată pe parcursul procesării.

Regulamentul pune un accent mare pe consimțământul persoanei. În cazul în care obținerea acestuia este dificilă sau imposibilă, este necesar să se identifice o bază legală pentru a continua procesarea datelor. Consimtământul exprimat trebuie să fie clar, concis și explicit. De asemenea, trebuie să fie separat de secțiunea ”Termeni și condiții” și trebuie să îi ofere celui vizat posibilitatea de a și-l retrage oricând.

Interesul legitim este cel mai la îndemână și flexibil mod de a opera date cu caracter personal, dar asta nu înseamnă că este întotdeauna cel mai corect. Pentru a fi curpins de cadrul legal, procesul de colectare și prelucare a datelor trebuie să fie imperativ necesar. Dacă se pot obține aceleași rezultate prin metode mai puțin intruzive, prima data trebuie exploatate acelea. Înțelegem astfel că protejarea individului primează.

Când vine vorba de categorii de date sensibile, trebuie întâi identificată baza legală, conform articolului 6 din Regulament și apoi o condiție pentru prelucarea lor.

Categoriile de date sensibile sunt acele date care, prin caracterul lor, pot aduce atingere integritații sau libertății  personale, cum ar fi: rasă, origine etnică, culoare politică, religie, viață sexuală, orientare sexuală, genetică etc. Toate condițiile de care trebuie să țineți cont când lucrați cu date sensibile se găsesc în articolul 9 din GDPR.

  1. Fiți pregătiți să identificați, investigați și raportați breșele de securitate

O scurgere de informații poate duce la distrugerea, pierderea, alterarea sau accesarea de către persoane neautorizate a datelor cu caracter personal. Conform noului Regulament, sunteți obligați să raportați în decursul a 72 de ore o breșă de securitate. În caz de neconformare amenzile prevăzute de GDPR au crescut considerabil. Acestea sunt aplicate în cazul în care, datorită unei scurgeri de informații, persoanei vizate i s-a cauzat un prejudiciu de ordin moral sau material. Operatorul de date poate fi amendat cu pana la 4% din cifra de afaceri sau 20 de milioane de euro. Pentru a vă asigura că nu vă aflați în această situație trebuie să securizați toate datele din sistemul electronic. GDPRcomplet vă pune la dispoziție o unealtă soft dezvoltată cu acest scop. Pentru a putea identifica cu ușurință persoana care a dus la producerea breșei de securitate, este necesară o monitorizare a tuturor operațiunilor din cadrul sistemelor de prelucrare automată, precum colectarea, modificarea, consultarea, divulgarea, inclusiv transferurile, combinarea sau ștergerea. Identificarea persoanei care a consultat sau divulgat date cu caracter personal ar trebui să fie înregistrată și, plecând de la identificarea respectivă, ar putea fi posibil să se stabilească justificarea operațiunilor de prelucrare. Înregistrările ar trebui să fie utilizate numai pentru verificarea legalității prelucrării, monitorizarea proprie, asigurarea integrității și securității datelor și pentru proceduri penale.

Monitorizarea proprie include, de asemenea, proceduri disciplinare interne ale autorităților competente.

Calea mai simplă și mai eficientă de a-ți obține diploma
de responsabil de protecția datelor (DPO)

AFLĂ MAI MULTE DESPRE CURSUL NOSTRU ONLINE DE GDPR
  1. Ofițerul pentru protecția datelor

Responsabilul cu protecția datelor sau DPO (așa cum este numit în Regulamentul (UE) 2016/679),  devine un ”actor-cheie” în noul sistem de protecție a datelor. Toate instituțiile publice precum și  majoritatea companiilor private vor avea obligativitatea de a numi un DPO începand cu data de 25 mai 2018.

Principala responsabilitate este de cooperare cu autoritatea națională de supraveghere și de asumare a rolului de punct de contact cu aceasta. Urmărind aceste aspecte, cu toate că Regulamentul nu prevede cerințe specifice, putem spune că este nevoie de o pregătire profesionala specializată care să lase cât mai puțin loc erorilor.

Înainte de a lua o hotărâre cu privire la DPO este necesar să fiți atenți la specificațiile acestui post. În primul rând responsabilul cu protecția datelor trebuie să fie independent. Acesta nu poate fi sancționat, nici concediat pentru îndeplinirea atribuțiilor sale. Este necesar să aibă acces la toate operațiunile de prelucrare a datelor până la cel mai înalt nivel al conducerii.

În plan intern, acesta are sarcina de a monitoriza modul în care sunt gestionate datele cu caracter personal, atât prin îndrumare și consiliere cât și prin control.

Cine poate fi DPO?

  • membru al personalului operatorului
  • reprezentant comun al unui grup de operatori
  • conducătorul unui departament specializat
  • angajat extern, să îndeplinească sarcini, pe baza unui contract de servicii

Dacă vorbim de un funcționar public, sarcinile care îi revin sunt reglementate printr-un raport de serviciu pe baza Legii 188/1999 + atribuțiile din GDPR.  Această funcție implică exercitarea prerogativelor de putere publică, de exemplu: punerea în executare a actelor normative; consilierea, controlul și auditul public intern; reprezentarea intereselor autorității sau instituției publice în raporturile acesteia cu persoane fizice sau juridice.

În cazul personalul contractual, atribuțiile sunt reglementate de Codul Muncii împreună cu Regulamentul de Organizare și Funcționare și Fișa Postului. În data de 21 noiembrie 2017, Ordinul comun 1786/5384/2017 al MMJS și INS completează Clasificarea ocupațiilor din România cu responsabil cu protecția datelor cu caracter personal.

Ultima posibilitate sugerată în cadrul Conferinței și care o regăsim în articolul 37 aliniatul (6) din GDPR  este cea de ”Contract de servicii” sinalagmatic (obligații reciproce și interdependente).

Ofițerul responsabil pentru protecția datelor cu caracter personal sau DPO-ul, poate fi un angajat din cadrul organigramei sau poate fi contractat extern. Este necesară angajarea unuia în următoarele cazuri:

  • operatorul de date cu caracter personal este o Instituție publică
  • principala activitate a companiei este prelucrarea datelor cu caracter personal
  • principala activitate a companiei este prelucrarea datelor sensibile
  • operatorul de date procesează date provenite de la mai mult de 5000 de persoane

Dacă DPO-ul este un angajat intern, este necesar:

  • să îi puneți la dispoziție resursele necesare pentru îndeplinirea atribuțiilor care îi revin
  • garantarea accesului la datele cu caracter personal și la procesul de prelucrare a acestora
  • ca datele sale de contact să fie publice și să anunțați Autoritatea Națională
  1. Înștiințarea angajaților

Înformați și înstruiți angajații privind colectarea și prelucrarea datelor cu caracter personal, conform GDPR. Toți cei care au acces la date personale trebuie să fie conștienți de riscurile care pot apărea și trebuie să fie pregătiți să preîntâmpine abuzurile.

  1. Implementează protecția datelor în proiectele noi – Privacy by design

Privacy by design înseamnă dezvoltarea de proiecte noi având ca punct de focus protecția datelor cu caracter personal. Fie că ne referim la proiecte informatice, legi, regulamente sau politici noi, trebuie să avem în vedere protejarea intereselor persoanei vizate.

Urmând acest concept, puteți identifica încă de la început punctele slabe și posibilele probleme, ușurându-vă astfel considerabil munca.

By | 2018-06-11T16:20:34+00:00 18 ian., 2018|Aspecte generale|0 Comments