Ce este Regulamentul general privind protecția datelor (GDPR)?

Înainte de a intra în detalii referitoare la ce este un GDPR training, să ne amintim ce înseamnă GDPR: Regulamentul General de Protecție a Datelor (GDPR) este un set de legi stabilite de Uniunea Europeană cu scopul principal de a proteja datele personale ale cetățenilor împotriva utilizării abuzive de către organizații, prin impunerea de reglementări și ordine asupra organizațiilor retroactive care colectează sau vizează datele oamenilor din Uniunea Europeană. Regulamentul a intrat în vigoare la 25 mai 2018. Se impun amenzi grele companiilor și organizațiilor care utilizează în mod abuziv datele cu caracter personal ale persoanelor europene.

Obiectivul principal al instituirii Regulamentului general privind protecția datelor (GDPR) este de a proteja datele cu caracter personal la diferite niveluri. GDPR protejează datele cu caracter personal pe toate platformele, fie că sunt online sau nu. GDPR se aplică atât prelucrării manuale, cât și celei automate.

Ce se întâmplă dacă legile GDPR sunt încălcate?

GDPR impune amenzi și sancțiuni semnificative în cazul în care reglementările sunt încălcate. Amenzile trebuie să fie disuasive și, în același timp, proporționale cu mărimea încălcării. În cazul încălcărilor majore, amenda ajunge la 20 de milioane de euro sau la 4% din cifra de afaceri a companiei pentru anul precedent. În cazul încălcărilor de mică amploare, amenda ajunge la 10 milioane de euro sau la 2% din valoarea cifrei de afaceri din anul fiscal precedent. De asemenea, se ia un angajament din partea companiei sancționate de a nu mai repeta încălcarea, iar amenzile vor fi majorate în caz de repetare.

Din motivele de mai sus, proprietarii de afaceri ar trebui să aibă ca prioritate training-urile GDPR, instruirile GDPR cu privire la protecția datelor pentru a evita aceste sancțiuni dure.

De ce este importantă instruirea GDPR?

După ce GDPR a fost implementat, autoritățile se asigură în mod regulat că toate politicile GDPR sunt implementate, iar în cazul oricărei încălcări a prevederilor GDPR, sunt inițiate o serie de măsuri stricte care se finalizează cu sancțiuni contraventionale. Aceste sancțiuni vor fi impuse angajatorului în cazul încălcării GDPR de către un angajat, chiar și din greșeală. Instruirea angajaților și învățarea modului de implementare a GDPR vă ajută să evitați astfel de sancțiuni. Studiile au arătat că aproximativ 26% dintre incidentele de încălcare a datelor sunt cauzate de greșelile angajaților obișnuiți, astfel încât puteți fi supus sancțiunilor GDPR pentru că un angajat a dat click pe un link sau a partajat un fișier din greșeală.

Vezi o listă actualizată a amenzilor aplicate de ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în România in articolul nostru Amenzi GDPR în România.

Este obligatoriu un GDPR training?

GDPR prevede în legile sale că toți angajații trebuie să înțeleagă și să implementeze GDPR cu exactitate. Poate că aceasta nu este o obligație absolută, dar cu siguranță înseamnă că toți angajații trebuie să practice bine aplicarea prevederilor GDPR. Indiferent de faptul că instruirea este obligatorie în regulamentele și legile GDPR sau nu, training-ul GDPR, adică instruirea angajaților cu privire la protecția datelor este benefică pentru orice afacere și are mai multe beneficii pe care le vom menționa în acest articol.

Cine trebuie să participe la un GDPR training ?

Vă sfătuim să instruiți toți angajații pentru a evita orice consecințe grave, dar cea mai mare atenție ar trebui să fie acordată angajaților care se ocupă de datele cu caracter personal. Termenul de date cu caracter personal include o mulțime de date (mult mai multe decât vă vin în minte acum), nu doar numele unui client, adresa sa de e-mail sau adresa sa de reședință privată. Dacă sunteți o companie care furnizează servicii electronice, date precum adresa IP a computerului clientului sau momentele în care clientul utilizează serviciul dvs. sunt considerate date cu caracter personal. Orice angajat care manipulează astfel de date trebuie să urmeze un GDPR training. Și mă aștept ca procentul angajaților care se ocupă de toate aceste date să ajungă la 95% în orice companie, așa că este posibil ca majoritatea angajaților să fie nevoiți să urmeze cursuri de formare GDPR sau să participe la instruiri GDPR.

Află ce sunt datele cu caracter personal, ce categorii de date personale există precum și ce altceva trebuie să știi pentru a fi conform GDPR.

Cerințele unui GDPR training

Doar 3 articole din GDPR menționează cerințele de instruire GDPR. Vom enumera un singur articol dintre ele, deoarece este cel mai evident, și anume articolul 39. Articolul 39 prevede că responsabilul cu protecția datelor trebuie să sensibilizeze și să ofere instruire personalului care este implicat în prelucrarea datelor cu caracter personal.

Când ne uităm la sarcinile unui responsabil cu protecția datelor, nu găsim că GDPR menționează un tip specific de formare pe care trebuie să o urmeze un angajat. Articolul 39 prevede că „să monitorizeze conformitatea cu prezentul regulament, cu alte dispoziții ale Uniunii sau ale statelor membre privind protecția datelor și cu politicile operatorului sau ale persoanei împuternicite de operator în ceea ce privește atribuirea de date cu caracter personal, inclusiv atribuirea responsabilităților, sensibilizarea și formarea personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;”.

Termenul „formare” sau “instruire” în sine nu apare prea mult în textul GDPR.

Important! Instrumentele tehnice pot fi de ajutor, dar nu sunt suficiente de unele singure.

Un sistem de securitate puternic este unul dintre cele mai importante elemente de protecție a datelor clienților dumneavoastră împotriva hackerilor, iar elemente precum un firewall puternic și un antivirus pot fi foarte eficiente împotriva atacurilor cibernetice. Cu toate acestea, aceste instrumente nu sunt suficiente singure, deoarece sistemul de securitate puternic nu împiedică un angajat să împărtășească informații cu persoana nepotrivită, de exemplu. Există lucruri care nu trebuie să se întâmple ca angajații să aibă un nivel ridicat de competențe tehnice. Prin urmare, instrumentele tehnice sunt importante, dar importanța lor este completată de o echipă calificată care știe ce are de făcut.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță GDPR online.

  • Îți evaluăm riscurile în cel mai mic detaliu

  • Te asistăm pas cu pas în implementare

  • Îți instruim angajații care prelucrează date

  • Îți oferim proceduri și documente tipizate

Beneficiile unui GDPR training 

  • Documentarea înregistrărilor de instruire. Atunci când are loc un GDPR training, o instruire a angajaților cu privire la protecția datelor, se vor înregistra rapoarte ale acestei instruiri, ceea ce vă va ajuta să dovediți că faceți ceea ce este necesar pentru a aplica legile GDPR. De asemenea, în cazul în care drepturile cuiva sunt încălcate, aceste înregistrări vă vor ajuta să dovediți că sunteți în conformitate cu GDPR, ceea ce vă va ajuta să evitați penalitățile financiare.
  • Instruirea GDPR reduce erorile umane. Studiile au arătat că 90% dintre încălcările GDPR se datorează erorilor umane. Instruirea GDPR va reduce erorile prin faptul că îi va învăța pe angajați cum se produc cele mai multe erori și cum pot fi evitate.
  • Instruirea ajută personalul să înțeleagă drepturile persoanelor vizate. Articolul 15 din GDPR prevede că persoana vizată are dreptul de a controla toate datele sale, de exemplu, o persoană fizică are dreptul de a specifica și de a cunoaște scopul pentru care sunt colectate datele, persoana fizică are dreptul de a specifica părțile cu care vor fi partajate datele, persoana fizică are, de asemenea, dreptul de a ordona companiei să îi șteargă complet datele. Un training GDPR ajută personalul să înțeleagă aceste drepturi și îi ajută în ceea ce privește modul în care se comportă cu oamenii.
  • Instruirea GDPR crește încrederea între companie și clienții săi. Confidențialitatea este un lucru pe care clienții îl caută întotdeauna la orice companie, astfel că instruirea GDPR nu aduce beneficii companiei doar prin evitarea amenzilor pentru încălcări, ci și prin crearea unei relații puternice de încredere între clienți și companie. Instruirea GDPR îi face pe clienți să simtă că vă asigurați că GDPR este aplicat, făcându-i astfel să se simtă în siguranță.

Tipuri de GDPR training

Cursurile de formare GDPR și instruire a angajaților cu privire la protecția datelor sunt multiple și variază în funcție de tipul de serviciu pe care îl furnizează compania și de rolul angajatului care primește formarea. Este important să alegeți cursul potrivit, tipul de instruire potrivit pentru dumneavoastră, iar acest lucru depinde de rolul pe care îl aveți la locul de muncă și de natura muncii dumneavoastră. De exemplu, instruirea necesară unui angajat din cadrul serviciului clienți este diferită de instruirea necesară unui inginer IT.

  • Training GDPR în echipă. Acest tip de instruire este mai eficient decât instruirea individuală, deoarece se asigură că tot personalul dobândește același nivel de cunoștințe și înțelegere a GDPR. Atunci când toți oamenii au același nivel de cunoștințe, dacă cineva uită unele detalii despre un anumit subiect, colegul său va fi gata să îl ajute. Instruirea GDPR în echipă este recomandată dacă persoanele cărora li se adresează formarea nu au mai beneficiat de un training GDPR înainte sau au fost în formare pentru o perioadă semnificativă de timp.
  • Instruire individuală în materie de GDPR. Acest tip de instruire este recomandat persoanelor care doresc să dobândească abilități personale și care ocupă poziții care necesită un nivel ridicat de experiență și de cunoaștere a legislației GDPR.
  • Training GDPR online. Instruirea GDPR online este o opțiune care se potrivește multor persoane, deoarece oferă multă flexibilitate. Un training GDPR online este potrivit pentru persoanele care locuiesc în locuri îndepărtate de centrele de formare deoarece vor economisi timp și costuri de transport, de asemenea, acest tip de instruire este potrivit pentru persoanele care nu pot respecta programul de formare deoarece pot participa la lecțiile înregistrate în orice moment al zilei.
  • Training GDPR în persoană. Instruirea GDPR In-Person este o instruire în care o persoană primește instruirea față în față de la un consultant GDPR sau coach GDPR. Ghidul se poate întâlni într-un grup sau individual la anumite ore.


 Sfat: Reîmprospătați instruirea GDPR!

Ideea de a instrui personalul și apoi de a uita de el nu este o idee bună. GDPR necesită o testare regulată pentru a se asigura că firma implementează cu exactitate legile GDPR. Unul dintre aceste teste este de a se asigura cât de bine înțelege personalul legile, astfel încât, dacă găsiți proceduri de neînțelegere din partea personalului, este posibil să fie nevoie să efectuați o reeducare GDPR, o re-instruire a angajaților cu privire la protecția datelor.

Ce mai este important de reținut referitor la GDPR training, este că nu toate grupurile au nevoie de același nivel de instruire.

Bineînțeles, toți angajații trebuie să aibă cunoștințe de bază despre GDPR, dar există unii angajați care lucrează în locuri de muncă sensibile și care ar trebui să aibă cunoștințe mai multe și mai precise despre GDPR, astfel încât aceștia ar trebui să beneficieze de o instruire mai intensă decât alții. Printre aceste persoane se numără cei care lucrează în departamentul IT.  Acești oameni au de-a face cu date aproape zilnic, deoarece sunt responsabili de stocarea și organizarea datelor etc. De asemenea, persoanele care ar trebui să aibă mai multe cunoștințe despre GDPR sunt cele care lucrează în departamentul de resurse umane, deoarece acestea sunt responsabile de luarea deciziilor de management ale companiei.

Ce ar trebui să conțină un GDPR training ?

Instruirea GDPR are foarte multe elemente pe care nu le putem acoperi în totalitate în acest articol, dar vom menționa, pe scurt elementele de bază care ar trebui să fie incluse în orice training GDPR.

– Elemente generale de protecție a datelor cu caracter personal (definiții, terminologie) Angajații trebuie să cunoască ce sunt exact datele cu caracter personal, la ce ne referim când vorbim despre datele cu caracter personal și alți termeni folosiți în regulament.

– Principiile GDPR – Principiile care trebuie să se afle în centrul abordării tuturor angajaților privind prelucrarea datelor cu caracter personal.

– Legalitatea prelucrării datelor – care sunt temeiurile legale în baza cărora prelucrăm date cu caracter personal

– Gestionarea cererilor persoanelor vizate. La training-ul GDPR trebuie prezentate drepturile pe care GDPR le conferă persoanelor vizate, precum și modul în care angajații răspund solicitărilor referitoare la exercizarea drepturilor. Redăm mai jos o parte din aceste drepturi precum și modul în care gestionăm cererile:

  • Dreptul de acces. GDPR stipulează că oamenii au dreptul de a deține o copie a datelor lor private pe care le dețineți, astfel încât angajații dvs. trebuie să furnizeze o copie a acestor date, fără niciun cost, dacă persoana vizată o solicită. Dar dacă aceste solicitări sunt multe, repetitive și stresante, angajații pot refuza politicos sau pot cere costul procedurii respective.  Atunci când înmânați o copie a datelor cu caracter personal unui cetățean, trebuie să verificați identitatea acestuia și să vă asigurați că este persoana corectă prin intermediul cărții de identitate sau al pașaportului și, de asemenea, trebuie să vă asigurați că nu îi înmânați datele altcuiva.
  • Dreptul de rectificare. Trebuie să respectați dorința individului dacă acesta dorește să își actualizeze datele înregistrate, dar în cazul actualizării, trebuie să obțineți permisiunea scrisă înainte de a primi datele de la cetățean. 
  • Dreptul de a fi uitat. Cetățenii au, de asemenea, dreptul de a solicita ca datele să fie șterse complet din registrele companiei, toate aceste proceduri anterioare trebuie să fie învățate de către personalul în formare.

Când și în baza cărui temei legal dăm curs unei cereri de acces la date spre exemplu? Dar la o cerere de ștergere? Îi putem da curs în orice condiții? Află din articolul: GDPR – drepturile persoanei vizate. Când răspundem și când nu?

– Reglementări GDPR în domeniul relațiilor de muncă. Trebuie să vă avertizați angajații să nu divulge date cu caracter personal prin intermediul apelurilor telefonice fără a verifica identitatea interlocutorului. Numărul de telefon prin care se efectuează apelul trebuie să fie înregistrat la companie ca număr al cetățeanului, iar cel puțin numărul național trebuie să fie semnat pentru a verifica identitatea apelantului.

 Protecția datelor și dreptul la confidențialitate la locul de muncă. Trebuie să asigurați personalul că va păstra secretele clienților și că nu le va spune nimănui, chiar dacă persoana respectivă este un membru al familiei. Aceste măsuri sunt importante pentru a evita sancțiunile GDPR.

Noi angajați. Desigur, este de preferat să alegeți angajați care au trecut printr-un proces de instruire GDPR, dar trebuie subliniat faptul că personalul trebuie să monitorizeze și să aibă grijă de noii lor colegi pentru a se asigura că aceștia înțeleg pe deplin GDPR.

– Responsabilul cu protecția datelor. Angajații trebuie să știe când este obligatoriu ca o firmă asă aibe desemnat un DPO, care sunt caracteristicile acestei funcții și care sunt sarcinile unui responsabil cu protecția datelor.

Notificarea încălcărilor de securitate. În timpul unei instruiri GDPR, trebuie să le spuneți angajaților să raporteze orice incident de securitate imediat ce este descoperit. Dacă încălcările de securitate nu sunt raportate în termen de 72 de ore, amenzile și consecințele se vor dubla.

Gestionarea breșelor de securitate poate fi o adevărată provocare pentru operatorii de date, astfel că vă recomandăm să citiți mai multe despre breșele de securitate GDPR.

În mare parte, subiectele mai sus menționate sunt parte din structura training-ului GDPR pe care noi îl abordăm în cadrul cursului de certificare DPO al GDPR Complet. Pe lângă aceste subiecte cae sunt prezentate detaliat în curs, se includ informații și despre:

  • Controlorul de date cu caracter personal și registrul de prelucrare
  • Regimul de sancțiuni cuprins în GDPR
  • Jurisprudența în domeniul protecției datelor cu caracter personal
  • Cartografierea datelor cu caracter personal

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

Concluzie

Angajații sunt cea mai importantă parte a companiei și orice greșeală care expune compania la sancțiunile GDPR se datorează, cel mai probabil, angajaților, așa că este imperios necesară instruirea angajaților cu privire la legislația GDPR. Sancțiunile agresive care vor fi impuse companiei în cazul încălcării GDPR fac din instruirea GDPR o prioritate. Trebuie să aveți două lucruri principale, primul este un sistem tehnologic foarte eficient și al doilea este personalul calificat care înțelege legile GDPR.

Dacă ai nevoie de ajutor în ceea ce privește conformarea activității companiei tale la GDPR, fie prin consultanță GDPR, fie prin servicii de DPO externalizat, contactează-ne pe contact@gdprcomplet.ro și programează o întâlnire cu unul dintre experții GDPR din cadrul echipei GDPR Complet.