Prima şi cea mai importantă regulă: Înainte de a începe implementarea măsurilor de protecţie şi securitate a datelor cu caracter personal, este necesar să atragem atenţia asupra unor articole de bază din Regulamentul nr.679/2016.
Pentru a veni în întâmpinarea managerilor IMM-urilor, prea ocupaţi cu gestiunea propriei afaceri şi conformarea la vertiginos schimbătoarea legislaţie fiscală, vă recomandăm să atrageţi atenţia la câteva articole de bază din regulament: Legalitatea prelucrării datelor (art 6); Despre condiţiile de consimţământ (art.7 si 8); Prelucrarea datelor personale speciale – date biometrice sau genetice, convingeri religioase, orientare sexuală, opinii politice (art.9); Drepturile persoanelor vizate: Dreptul de acces al persoanei vizate la datele care se colectează despre ea, dreptul la rectificare, dreptul de ştergere a datelor (dreptul de “a fi uitat”, dreptul la restricţionarea prelucrării, dreptul la portabilitatea datelor şi dreptul la opoziţie (art.12-23); Despre obligativitatea evidenţei activităţilor de prelucrare (art.30); Securitatea datelor cu caracter personal (art.32-34); Despre responsabilul cu protectia datelor (art.37-39);
O altă sursă relevantă de informaţii o reprezintă ghidurile emise de Comitetul european pentru protecția datelor. Unul dintre cele mai importante ghiduri este “Ghidul privind Responsabilul cu Protectia datelor” – tradus în limba română, care poate fi descărcat de pe site-ul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (denumită în continuare ANSPDCP). Din păcate, cel puţin până la ora actuală, în România nu avem normele de aplicare ale Regulamentului. Avem convingerea că ANSPDCP le va pregăti, în ideea de a avea interpretarea oficială a prevederilor legale, acolo unde este necesar.
Al doilea pas: Întocmirea de către conducera companiei a Procesului-verbal de conştientizare a importanţei GDPR
Orice echipă de conducere trebuie sa fie conştientă de importanţa GDPR, iar pentru a dovedi aceasta vă recomandăm să încheiaţi în acest sens un proces-verbal. Nu există un format standard al procesului-verbal dar, în esenta, el trebuie să conţină: datele firmei; numele membrilor echipei de conducere; categorii de date prelucrate; temeiul legal al prelucrării; necesitatea desemnării unei echipe de conformare; acţiunile minime de conformare care vor fi întreprinse; data pâna la care acestea se vor executa.
Al treilea pas: Actualizaţi Politica de confidenţialitate!
Acest demers are drept scop informarea persoanelor vizate despre modalitatea şi scopul folosirii datelor lor personale. Pentru a se evita interpretările subiective, vă recomandăm să utilizaţi un limbaj clar, simplu şi în limba română. Totodată, acest instrument oferă un mod facil de a obţine consimţământul utilizatorului site-ului.
Este foarte important să obţineţi acordul pentru fiecare colectare sau procesare în parte, astfel, în caz de necesitate, veţi putea dovedi clar că sunteţi îndreptăţiţi să folosiţi informaţiile personale în scopul precizat. Să nu uitaţi de opţiunea pe care trebuie să o dati utilizatorilor site-ului de a-şi retrage consimţământul. Acesta este un drept obligatoriu acordat persoanelor vizate, conform art.7 paragraf 3 (despre dreptul la retragerea consimţământului) şi art.21 (despre dreptul la opoziţia prelucrării datelor).
Pasul patru: Proceduri GDPR legate de ofiţerul pentru protecţia datelor
Responsabilul cu protectia datelor sau DPO, devine un ”actor-cheie” în noul sistem de protecţie a datelor. Toate instituţiile publice, precum şi majoritatea companiilor private, vor avea obligaţia de a numi un DPO. Aşadar, cum aflaţi daca aveţi sau nu nevoie de DPO? Obligativitatea desemnării unui DPO apare dacă vă încadraţi în una sau mai multe situaţii, cum ar fi: dacă sunteţi o instituţie publică; dacă principala activitate a companiei implică prelucrarea datelor cu caracter personal; dacă principala activitate a companiei implică prelucrarea datelor sensibile; dacă procesaţi date provenite de la un numar mare de persoane fizice şi pe scară largă;
Cine poate fi numit DPO? Funcţia de DPO poate fi deţinută de un membru al personalului dumneavoastră; de un reprezentant comun al unui grup de operatori; de conducătorul unui departament specializat; de un angajat extern care va îndeplini sarcini în baza unui contract de prestări servicii, etc. În cazul în care DPO este din cadrul companiei, numirea se poate face printr-un act adiţional la contractul individual de muncă. În această situaţie devine foarte important conţinutul fişei de post a DPO-ului:
Fişa de post a responsabilului cu protectia datelor derivă chiar din Regulament. Pornind de la aceste acte, DPO-ul trebuie să asigure atât respectarea drepturilor persoanelor vizate, cât şi să depună o muncă de diligenţă în vederea conformării companiei la GDPR. În afara fişei de post şi a documentului de numire, un aspect important îl constituie şi poziţionarea optimă a DPO-ului în organigrama companiei. Ne referim aici la o poziţionare care să-i asigure în acelaşi timp independenţă, dar şi posibilitatea de relaţionare nesubordonată faţă de celelalate departamente.
O altă posibilitate de desemnare a responsabilului o reprezintă externalizarea serviciului către o firmă specializată, caz în care se va semna un contract de consultanţă, sau de prestări servicii.
Pasul cinci: Documentul de notificare a Autorităţii
În cazul în care compania pe care o conduceţi are obligativitatea desemnării unui DPO, vă recomandăm să transmiteţi ANSPDCP pe e-mail-ul instituţiei: anspdcp@dataprotection.ro, formularul de declarare a responsabilului pentru protecţia datelor.
Pasul şase: De adăugat la contractele cu furnizorii Anexa cu clauza privind protecţia datelor personale
Pentru a respecta principiul privacy by design impus de GDPR, vă recomandăm să folosiţi această clauză în contractele cu furnizorii dumneavoastră de bunuri şi servicii. Aceasta are rolul de a evidenția angajamentul dumneavoastră şi al tuturor celor cu care colaboraţi de a proteja datele cu caracter personal.
Pasul şapte: Informarea angajaţilor privind prelucrarea datelor.
Informaţi şi instruiţi angajaţii despre colectarea şi prelucrarea datelor cu caracter personal, conform GDPR. Această informare trebuie făcută în scris şi să conţină, în principal, următoarele: ce fel de date colectaţi; prin ce mijloace; temeiul legal al prelucrării; perioada de retenţie a datelor.
În concluzie, folosind aceste minime proceduri şi instrumente veţi putea înteprinde câteva acţiuni de conformare la GDPR. Vă dorim succes!
Sursa: https://gdprcomplet.ro/7-proceduri-gdpr-obligatorii-in-orice-imm/
