Alinierea la norme GDPR, o prioritate maxima pentru toate companiile din Romania

pubnub gdpr compliance

 

Incepand cu data de 25 mai 2018 se vor produce modificari importante in legislatia privind protectia datelor cu caracter personal in Europa. La aceasta data va incepe aplicarea Regulamentului UE 679/2016, cunoscut sub numele de Regulamentul General privind Protectia Datelor Personale (GDPR).

Pe langa obligatiile preluate din legislatia existenta,  acest regulament aduce si o serie de schimbari majore cum ar fi:

  • aplicabilitatea extra-teritoriala,
  • nivelul ridicat al sanctiunilor in cazul nerespectarii prevederilor
  • relatia dintre procesator (cel care prelucreaza datele) si operator (cel ale carui date sunt procesate)
  • conditiile de acordare a consimtamantului si drepturile persoanelor vizate

Desi cele mai multe surse de informare pe care probabil le-ati accesat pana acum puneau accent pe colectarea datelor cu caracter personal in mediul online (trimiterea de mesaje electronice, politica privind cookies pe site-uri), GDPR are implicari mult mai extinse, inclusiv in legatura cu relatiile de munca cu angajatii dumneavoastra.

Cat de urgenta este alinierea la normele GDPR?

Procesul de conformare la normele GDPR ar trebui sa fie deja pe ultima suta de metri. Aveti mai putin de 3 luni la dispozitie pentru a efectua evaluarea interna si a implementa masurile necesare pentru ca organizatia dumneavoastra sa poata demonstra aceasta conformare.

Evaluarea interna este o procedura complexa, care implica toate departamentele companiei, inclusiv: echipa de management, departamentele IT, juridic, de resurse umane. Conformarea la GDPR nu este o problema strict legata de IT, de actualizarea unor softuri cum ar fi softul de salarizare si administrare de personal sau softul ERP.

Echipa Wizrom Software va indeamna sa demarati acest proces de evaluare interna cat mai rapid, daca nu l-ati inceput deja. Pentru a va face o idee despre ceea ce implica o astfel de evaluare, am pregatit o mica lista cu directiile principale:

[accordion title=”1. Evaluarea proceselor operationale care implica procesarea de date personale” is_open=”yes”]Operati un magazin online sau prestati servicii la domiciliul clientilor? Sunteti o firma de contabilitate sau de resurse umane? Toate aceste activitati implica procesarea de date personale, atat ale clientilor directi, cat si din bazele de date puse la dispozitie de acestea.

In principiu, orice activitate comerciala sau de afaceri implica procesarea de date personale: nume, adresa de domiciliu si de email, numar de telefon, etc. Toate procesele operationale ce implica  prelucrarea de date personale trebuie evaluate pentru a vedea daca se conformeaza principiilor GDPR:

    • Legalitate, echitate si transparenta
    • Limitari legate de scop
    • Reducerea la minimum a datelor
    • Exactitate
    • Limitari legate de stocare
    • Integritate si confidentialitate
    • Responsabilitate
[/accordion]

[accordion title=”2. Securitate IT” is_open=”yes”]Operatori de date personale si procesatorii pe care acestia ii imputernicesc trebuie sa implementeze o serie de masuri tehnice si administrative pentru a minimiza riscurile privind pierderea, accesul neautorizat, furtul sau compromiterea datelor personale procesate.

Iata cateva exemple de astfel de masuri:

      • Datele personale colectate sunt prelucrate in mod securizat;
      • Utilizatorii platformei IT sunt identificati si autentificati in mod securizat;
      • Exista un protocol strict privind accesul la informatii;
      • Realizati copii de siguranta a datelor personale colectate si le pastrati intr-un loc sigur, la care au acces doar persoanele autorizate;
      • Implementati un protocol strict legat la transferul informatiilor prin mesaje electronice sau medii de stocare;
      • Pe computerele din organizatia dumneavoastra nu sunt instalate softuri din surse nesigure, iar utilizatorii au acces segmentat la informatiile companiei.
[/accordion]

[accordion title=”3. Aspecte legale” is_open=”yes”]Aceasta evaluare trebuie sa vizeze temeiurile pentru  prelucrarea datelor cu caracter personal. Conform GDPR, aceste temeiuri legale sunt:

        • Consimtamantul liber exprimat al persoanei;
        • Incheierea sau executarea unui contract;
        • Indeplinirea unei obligatii legale;
        • Atingerea intereselor legitime;
        • Indeplinirea unei sarcini care serveste unui interes public;
        • Protejarea intereselor vitale ale persoanei ale carei date personale sunt colectate.
[/accordion]

[accordion title=”4. Documente necesare” is_open=”yes”]Acest tip de evaluare acopera revizuirea tuturor documentelor emise de compania dumneavoastra care au legatura cu datele personale si, prin extensie, cu aplicarea GDPR.

Cateva exemple de astfel de documente sunt:

          • Clauzele din contractul incheiat intre operator si persoana imputernicita;
          • Notificarile transmise catre operatori si catre persoanele vizate;
          • Instiintari transmise catre persoanele vizate.
[/accordion]

[accordion title=”5. Necesitatea angajarii unui responsabil cu protectia datelor” is_open=”yes”]Pentru inceput, va trebui sa evaluati necesitatea angajarii unui responsabil cu protectia datelor. Conform GDPR, entitatile publice si companiile care au ca activitati principale prelucrarea periodica si pe scara larga a datelor personale sau a unor categorii speciale de date personale sunt obligate sa aiba un responsabil cu protectia datelor. Acest responsabil poate fi un angajat al companiei sau un prestator de servicii externalizate.

Responsabilul cu protectia datelor va avea urmatoarele sarcini:

            • Informeaza si consiliza operatorul de date cu caracter personal si pe angajatii acestuia;
            • Monitorizeaza modul in care sunt respectate regulile GDPR;
            • Coopereaza cu autoritatile de supraveghere;
            • Ofera consiliere privind evaluarea impactului asupra protectiei datelor.
[/accordion]

Echipa Wizrom Software va poate asigura, la cerere, consiliere privind efectuarea evaluarii interne si implementarea modificarilor care tin de produsele si serviciile pe care vi le furnizam. Echipele noastre interdisciplinare, juridica si de IT, va stau alaturi pentru a va ajuta sa faceti cu succes tranzitia catre modul de lucru cu datele personale conform normelor GDPR.