10 puncte de urmarit în implementarea GDPR

10 puncte de urmarit în implementarea GDPR

Pregătiți-vă pentru introducerea Regulamentului UE privind protecția generală a datelor (GDPR). Iată 10 puncte care vă vor ajuta să începeti implementarea. Regulamentul UE privind protecția generală a datelor va afecta multe companii din Europa. Sunteți pregătiți pentru aceste schimbări? Citiți cele 10 puncte care stau la baza unei implementări de succes.

În luna mai a anului 2016, Uniunea Europeana a emis un regulament general privind protecția datelor, numit GDPR. Ceea ce știm deja este că, în momentul în care noile reglementări vor intra în vigoare, la data de 25 mai 2018, după o perioadă de tranziție de doi ani, regulamentul va aduce noi cerințe operaționale companiilor care dețin și lucrează cu date cu caracter personal.

Din moment ce definiția datelor personale este atât de largă, majoritatea companiilor se vor afla sub această lege, deci vor trebui să implementeze măsurile necesare pentru protecția datelor. Altfel, amenzile vor fi usturătoare. 

1. Demonstrați că respectati regulamentele

Noul regulament de protecție a datelor, GDPR, impune ca cei care păstrează și prelucrează datele personale să poată demonstra că le gestionează ținând cont de toți termenii și toate conditiile impuse de noul regulament.

În practică, aceasta presupune că persoana din companie desemnată cu protecția datelor, DPO (Data Protection Officer) este responsabilă de stocarea datelor în mod conform cu Legea Europeană.

2. Asigurați-vă că aveți consimtământul pentru folosirea / stocarea datelor

Daca lucrați cu date personale sau le stocați, atunci trebuie să puteți dovedi că utilizatorul, clientul sau persoana fizică v-a dat acordul în acest sens.

Mai mult, acordul consensului va deveni chiar și mai strict în viitor.

Consimțământul trebuie să exprimat clar în scris, în format electronic sau verbal. Consimțământul trebuie să arate că persoana respectivă și-a exprimat acordul în mod voluntar și individual și își dorește ca organizația respectivă să îi folosească datele, doar în acesteia. În mod normal, acest lucru se va realiza prin bifarea spatiului aferent consimțământului.

3. Aplicarea dreptului de a fi uitat

Un nou subiect care este introdus în noua lege se referă la faptul că persoana înregistrata are dreptul de a fi uitată. În practică, aceasta presupune dreptul ca o persoană să solicite ștergerea datelor personale din baza de date a companiei. 

Acest tip de situatie se poate întâlni chiar și dupa ce persoana și-a dat consimtamantul de a-i fi utilizate datele. În orice caz, dacă utilizarea datele personale are la baza alta clauză legală, atunci nu există obligația de a șterge datele.

Daca ați decis totuși să eliminați datele la cererea persoanei, aveți obligația de a informa toate părtile care au avut acces la datele respective, pentru a se conforma ștergerii acestora. Sub acest aspect intră și materialele în copie sau documentele digitale și scanate.

4. Dreptul la potabilitatea datelor

În momentul de față, orice persoană are posibilitatea de a solicita ca datele cu caracter personal care nu au fost furnizate explicit, să îi fie returnate într-un format structurat, utilizat pe scară largă și electronic. De asemenea, persoana are dreptul de a solicitata transferul acelor informații către un alt operator.

5. Blocarea profilării ar putea să vă afecteze

Orice persoana are dreptul de a nu deveni obiectul unei decizii bazate pe prelucrarea automată a datelor care ar avea un efect judiciar sau alt efect semnificativ asupra acestora. Cu alte cuvinte, aceasta presupune că nu puteți lua o decizie importantă care să afecteze o persoană, doar bazându-va pe un proces de procesare automat al datelor.

O excepție de la această "interdicție de profilare" ar putea fi atunci când decizia este necesară pentru încheierea unui contract între o persoană și compania dvs. Trebuie însă să vă asigurați că metodele dumneavoastră de profilare și de luare a deciziilor respectă legea și că toate modificarile necesare au fost implementare.

Un exemplu comun de excepție la interzicerea profilării este atunci când se iau decizii de creditare. Aceste decizii se bazează adesea pe sisteme automatizate de clasificare și pe recomăndari de decizie.

6. Informarea despre breșe de securitate

Odata cu implementarea GDPR sunteți obligați să informați autoritățile și persoanele ale căror datele prelucrați, de orice breșe de securitate. În cazul în care o situație de acest gen intervine, aveți obligația de a acționa astfel:

Sunteți obligat să anunțați autoritățile și toate personale implicate în termen de 72 de ore de la depistarea breșei de securitate. 

Pentru a îndeplini și a respecta aceste prevederi legale este important să aveți proceduri interne bine stabilite și un proces corect și eficient.

7. Informații despre procesarea datelor

Companiile din toată lumea colectează în momentul de față mult mai multe date decât au facut-o până acum. Pentru a respecta reglementările UE, aveți obligația de a furniza informații mult mai detaliate despre procesarea datelor într-o manieră mult mai detaliată decât o făceați până acuma.

Aceasta presupune ca dumneavoastră să comunicați durata de păstrare a datelor personale sau, dacă acest lucru nu este posibil, trebuie să informați criteriile care determină timpul de păstrare al acestor date.

În practică, aceasta presupune, de exemplu, actualizarea registrelor și a documentelor de securitate a datelor dar și realizarea unei proceduri de informare efectivă a persoanelor, în momentul în care vor solicita acest tip de informații.

8. Rolul Ofiterului de Protecție a Datelor (DPO)

Cu un focus tot mai mare pe protecția datelor, este posibil să fie necesară desemnarea unui ofițer de protecție a datelor, care să aibă în control datele personale. De exemplu, organizațiile care au nevoie de un ofiter de protecție a datelor sunt companiile în care există o monitorizară largă, reglementată și sistematică a persoanelor iar activitățile lor principale sunt alcătuite din astfel de monitorizări. În acest sens, vă recomandăm să verificați dacă în cazul dumneavoastra aveți nevoie de un ofițer de protecție a datelor (DPO).

9. Procesul de externalizare a datelor personale va necesita măsuri de protecție sporite

Dacă ati externalizat unei terțe părti un proces ce presupune accesul la datele personale, atunci va trebui să aplicați următoarele acțiuni: 

Aveți datoria de a vă asigura că măsurile de protecție tehnice și organizatorice sunt adecvate și vor îndeplini cerințele reglementărilor. De asemenea, trebuie să vă asigurați că drepturile persoanelor înregistrate sunt protejate.

În practică, aceasta presupune că aveți datoria de a indentifica situațiile unde externalizarea este benefică și unde contractul se poate exercita corect. De exemplu, stocarea datelor în servere de tip cloud este privită ca o activitate externalizată chiar dacă furnizorul serviciilor nu procesează efectiv datele.

  1. Încălcările regulamentului GDPR presupune amenzi usturatoare

De asemenea, trebuie să luați în calcul faptul că puteți primi o amendă gravă pentru încălcarea regulamentului privind protecția datelor. Amenda poate fi de maximum 20 de milioane EUR sau 4% din cifra de afaceri totală a companiei dvs.