Zonele principale de conformare GDPR
SOFTWARE: Este recomandată folosirea unor produse software licențiate, care corespund cerințelor GDPR (ex. legate de criptarea și anonimizarea datelor cu caracter personal, asigurarea securității acestora, acces auditat la datele cu caracter personal al furnizorului de soft și a firmei care asigură mentenanța acestuia).
HARDWARE: Este recomandată utilizarea unor echipamente IT cât mai noi, pentru a evita incidentelor legate de securitatea datelor cu caracter personal. mentenanța acestuia).
JURIDICĂ: Pentru respectarea prevederilor GDPR, este necesară întocmirea unor documente (politici, proceduri, note de informare, acte adiționale, registru de evidență a prelucrărilor etc.) care să asigure respectarea principiilor de prelucrare a datelor cu caracter personal și a drepturilor persoanelor vizate. Aceste documente pot fi solicitate de ANSPDCP (autoritatea de supraveghere) și cu ajutorul lor veți demonstra eforturile făcute de organizația dumneavoastră pentru conformarea la GDPR.
Instruire a angajaților: Oricâte politici și proceduri menite să asigure respectarea prevederilor legale referitoare la protecția datelor cu caracter personal ar avea întocmite organizația dumneavoastră, dacă acestea nu sunt respectate și puse în aplicare de angajați, nu veți ajunge să fiți conformi cu GDPR. Respectarea politicilor organizației în materia protecției datelor cu caracter personal poate fi realizată numai dacă are la bază o instruire GDPR adecvată a angajaților. Recomandăm ca activitățile de pregătire GDPR să fie externalizate către persoane calificate sau consultanți cu experiență practică GDPR în domeniul dumneavoastră de activitate.
Întrebări frecvente
Ce reglementează Regulamentul general privind protecția datelor (RGPD)?
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului, noul Regulament general privind protecția datelor al Uniunii Europene („RGPD”) reglementează prelucrarea de către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.
Regulamentul nu se aplică prelucrării datelor cu caracter personal ale persoanelor decedate sau ale persoanelor juridice.
Normele nu se aplică datelor prelucrate de către o persoană fizică din motive pur personale și nici activităților desfășurate în locuință, cu condiția să nu existe nicio legătură cu o activitate profesională sau comercială. Atunci însă când o persoană fizică utilizează datele cu caracter personal în afara „sferei personale”, cum ar fi pentru activități socioculturale sau financiare, persoana în cauză trebuie să respecte legea privind protecția datelor.
Ce sunt datele cu caracter personal?
Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane constituie și ele date cu caracter personal.
Datele cu caracter personal care au fost anonimizate, criptate sau pseudonimizate, dar pot fi utilizate pentru reidentificarea unei persoane rămân date cu caracter personal și sunt vizate de RGPD.
Datele cu caracter personal care au fost făcute anonime, în așa fel încât persoana fizică nu este sau nu mai este identificabilă nu mai sunt considerate date cu caracter personal. Pentru ca datele să fie cu adevărat anonimizate, anonimizarea trebuie să fie ireversibilă.
RGPD protejează datele cu caracter personal indiferent de tehnologia utilizată pentru prelucrarea datelor respective - este „neutră din punct de vedere tehnologic” și se aplică atât prelucrării automate, cât și prelucrării manuale, cu condiția ca datele să fie organizate potrivit unor criterii predefinite ( de exemplu, în ordine alfabetică). De asemenea, nu contează cum sunt stocate datele – într-un sistem de TIC, prin supraveghere video sau pe hârtie; în toate aceste cazuri, datele cu caracter personal sunt supuse cerințelor de protecție formulate în RGPD.
Ce constituie prelucrare de date?
„Prelucrarea” acoperă o varietate amplă de operații efectuate asupra datelor cu caracter personal, inclusiv prin mijloace manuale sau automate. Aceasta include colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal.
Regulamentul general privind protecția datelor (GDPR) se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin mijloace neautomatizate, dacă aceasta face parte dintr-un sistem structurat de evidență a datelor.
Ce sunt autoritățile de protecție a datelor (APD)?
APD sunt autorități publice independente care supraveghează, prin competențe de investigare și competențe corective, aplicarea legii privind protecția datelor. Acestea oferă consultanță de specialitate privind problemele legate de protecția datelor și tratează plângerile referitoare la încălcări ale Regulamentului general privind protecția datelor și ale legilor naționale relevante. Există o astfel de autoritate în fiecare stat membru al UE.
În general, principalul punct de contact pentru întrebări legate de protecția datelor este APD din statul membru al UE în care are sediul societatea/organizația dvs. Dacă însă societatea/organizația dvs. prelucrează date în diferite state membre ale UE sau face parte dintr-un grup de societăți cu sedii în diferite state membre ale UE, punctul principal de contact poate fi o APD dintr-un alt stat membru al UE.
Cui se aplică legea privind protecția datelor?
Dacă compania dvs. este o întreprindere mică și medie ("IMM") care prelucrează datele personale, trebuie să vă conformați GDPR. Cu toate acestea, dacă prelucrarea datelor cu caracter personal nu este o parte esențială a afacerii dvs. și activitatea dvs. nu creează riscuri pentru persoane fizice, atunci anumite obligații ale GDPR nu se vor aplica în cazul dvs. (de exemplu numirea unui responsabil de protecție a datelor). Rețineți că "activitățile principale" ar trebui să includă activități în care prelucrarea datelor formează o parte intrinsecă a activităților operatorului sau ale operatorului.
GDPR se aplică IMM-urilor?
Da, aplicarea regulamentului privind protecția datelor nu depinde de mărimea companiei / organizației dvs., ci de natura activităților dvs. Activitățile care prezintă riscuri mari pentru drepturile și libertățile persoanelor fizice, indiferent dacă sunt efectuate de un IMM sau de o corporație mare, declanșează aplicarea unor reguli mai stricte. Cu toate acestea, unele dintre obligațiile GDPR nu se pot aplica tuturor IMM-urilor.
De exemplu, companiile cu mai puțin de 250 de angajați nu trebuie să țină evidența activităților lor de prelucrare decât dacă prelucrarea datelor cu caracter personal este o activitate obișnuită, reprezintă o amenințare la adresa drepturilor și libertăților persoanelor fizice sau se referă la date sensibile sau caziere judiciare.
În mod similar, IMM-urile vor trebui să numească un responsabil cu protecția datelor doar dacă prelucrarea lor este principala lor activitate și reprezintă amenințări specifice la adresa drepturilor și libertăților persoanelor (cum ar fi monitorizarea persoanelor sau prelucrarea datelor sensibile sau cazierele judiciare), în special pentru că este făcută pe scară largă.
Ce date pot fi prelucrate și în ce condiții?
Tipul și cantitatea de date cu caracter personal pe care societatea/organizația are dreptul să le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic în cauză) și de scopul în care sunt prelucrare. Societatea/organizația trebuie să respecte mai multe norme-cheie, inclusiv următoarele:
- datele cu caracter personal trebuie prelucrate într-un mod legal și transparent, garantând echitatea în ceea ce privește persoanele fizice ale căror date cu caracter personal sunt prelucrate („legalitate, echitate și transparență”);
- trebuie să existe scopuri specifice ale prelucrării datelor și societatea/organizația trebuie să informeze persoanele fizice în legătură cu scopurile respective atunci când le colectează date cu caracter personal. Societatea/organizația nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitări legate de scop”);
- societatea/organizația trebuie să colecteze și să prelucreze numai acele date cu caracter personal care sunt necesare pentru îndeplinirea scopului respectiv („reducerea la minimum a datelor”);
- societatea/organizația trebuie să se asigure că datele cu caracter personal sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, și să fie corectate în caz contrar („exactitate”);
- societatea/organizația nu are dreptul să utilizeze datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial;
- societatea/organizația trebuie să se asigure că datele cu caracter personal nu sunt stocate mai mult timp decât este necesar pentru scopurile în care au fost colectate („limitări legate de stocare”);
- societatea/organizația trebuie să prevadă garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnologice adecvate („integritate și confidențialitate”).
Cât timp pot fi păstrate datele și se impune actualizarea lor?
Trebuie să stocați datele pentru o perioadă cât mai scurtă posibil. Perioada ar trebui să țină seama de motivele pentru care societatea/organizația dvs. trebuie să prelucreze datele, precum și de eventuale obligații juridice de a păstra datele o perioadă fixă de timp (de exemplu, legile privind ocuparea forței de muncă, legile fiscale sau legile antifraudă naționale care vă impun păstrarea datelor cu caracter personal despre angajații dvs. pentru o perioadă determinată, durata garanției produselor etc.).
Societatea/organizația dvs. ar trebui să stabilească termene pentru ștergerea sau revizuirea datelor stocate.
Ca excepție, datele cu caracter personal pot fi păstrate o perioadă mai îndelungată în scopuri de arhivare în interes public ori în scopuri de cercetare științifică sau istorică, cu condiția să fie puse în aplicare măsuri de ordin tehnic și organizatoric adecvate (precum anonimizare, criptare etc.).
De asemenea, societatea/organizația dvs. trebuie să se asigure că datele pe care le deține sunt exacte și să le actualizeze.
Recomandări
Noul Regulament General de Protecție a Datelor Personale (GDPR), intrat în vigoare la data de 25 mai 2018, este una dintre provocările importante cu care se confruntă toate organizațiile.
Regulamentul, care se aplică indiferent de domeniu de activitate sau de mărimea companiei, a adus schimbări fundamentale în protecția datelor personale și a determinat o reanalizare şi ajustare a întregului proces de colectare, prelucrare şi stocare a datelor.
Față de legislația anterioară în materia protecției datelor cu caracter personal, GDPR a atras atenția tuturor prin nivelul foarte ridicat al amenzilor: până la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internațional.
GDPR este un document complex, pe care cei care nu au o pregătire de specialitate, în special în domeniile juridic și IT, îl parcurg și îl înțeleg cu greutate
KIT-ului GDPR
oferit de BHR sau achiziționarea unui pachet de consultanță adecvat specificului organizației dumneavoastră.Curs DPO autorizat ANC
sauCursul intensiv DPO
organizat de BHR.De aceea, este important ca fiecare organizație să cunoască şi să înţeleagă măsurile pe care trebuie să le întreprindă şi să evalueze modul în care GDPR le influențeaza activitatea.