Ghid de implementare GDPR

IMPLEMENTARE GDPR

IMPLEMENTARE GDPR – GHID 

Implementare GDPR, mai specific spus a Regulamentului 679/2016 se face analizand fiecare speta in parte; formularele GDPR prestabilite, in multe cazuri, mai mult incurca decat sa ajute in implementarea GDPR, de aceea, pentru a facilita inceputul implementarii, ti-am pregatit mai jos un Ghid al Implementarii GDPR, ce cuprinde reperele implementarii din principalele etape ale acesteia. 

Protectia datelor cu caracter personal este un domeniu stufos dar odata deprinse lucrurile esentiale, intreg procesul poate fi aprofundat si aplicat.
Este recomandat sa tii cont de trei mari categorii de lucruri: implementare masuri organizatorice adecvate, implementare masuri tehnice adecvate si monitorizare si actualizare permenenta a intregului proces, ulterior implementarii.

1. Auditul GDPR – etapa anterioara intr-o implementare GDPR

Orice implementare GDPR incepe cu auditarea operatorului/a societatii, organizatiei sau institutiei care prelucreaza datele cu caracter personal.
In aceasta etapa analizam cu deosebita atentie fiecare departament in parte. Este necesar sa acorzi insemnatate acestei etape, intrucat aceasta sta la baza intregii implementari.

Este necesar sa stabilim in principal, ce date sunt prelucrate, cine are acces la date, cum sunt prelucrate aceste date, in ce scop si in ce temei si pentru ce perioada.
Tot prin audit analizam si stabilim care sunt tertii destinatari, care sunt categoriile de persoane vizate si modul in care datele cu caracter personal sunt prelucrate, raportat la nivelul de securitate fizica (incuietori, sisteme de alarma etc.) si securitate cibernetica (parole, criptari, securitate a serverelor etc.)

Toate cele de mai sus aratate vor fi analizate pentru fiecare categorie de date in parte. Un audit bun, este un audit amanuntit si el ne va ajuta sa parcurgem corect urmatoarele etape, mai cu seama stabilirea fluxurilor de prelucrare a datelor cu caracter personal si a procedurilor GDPR.

Pentru a face o implementare buna, tineti cont de toate legile relevante aplicabile activitatii operatorului cat si de intreaga legislatie conexa Regulamentului 679/2016 dar si de particularitatile de lucru ale operatorului.

Studiaza cu atentie concluziile de audit pentru a face recomandari in cunostinta de cauza pe o implementare GDPR.

Atragem atentia asupra faptului ca Regulamentul se aplica in acord cu legislatia interna si chiar daca nu gasiti o reglementare expresa in Regulamentul nr. 679/2016, asta nu inseamna in mod implicit ca nu incalcati legislatia interna in privinta protectiei datelor cu caracter personal, daca nu coroborati si armonizati prevederile europene cu cele nationale si cele specifice fie categoriei de date prelucrate, fie domeniului de activitate al operatorului.

implementare gdpr

2. Numirea DPO – Responsabilului cu protectia datelor cu caracter personal

Sunt situatii in care numirea unul DPO este obligatorie, fiind prevazuta fie in Regulamentul 679/2016, fie prin Legea 190/2018, oricare ar fi situatia insa, noi iti recomandam sa numiti un responsabil cu protectia datelor cu caracter personal, rolul acestuia fiind esential in implementarea si monitorizarea GDPR.

Care este rolul unui DPO?

Asigura suport:

– asigura suport in implementarea politicilor si procedurilor interne in domeniul protectiei datelor;
– instruieste initial si periodic angajatii si eventualii colaboratori cu privire la prevederile GDPR si responsabilitatile ce le revin in prelucrarea datelor cu caracter personal;
– asigura consultanta de specialitate necesara personalului si a managerilor in luarea deciziilor in prelucrarea datelor si in sustinerea procesului de prelucrare a datelor cu caracter personal;
– analizeaza si face recomandari pe situatii specifice;
– faciliteaza gestionarea si documentarea incidentelor de securitate a datelor cu caracter personal;
– asigura suport in realizarea DPIA (studiu de impact al riscurilor prelucrarii datelor cu caracter personal asupra drepturilor si libertatile persoanelor);
– identifica si asigura suport pentru imbunatatirea zonelor unde sunt neceasare modificari pentru a fi respectate cele mai inalte standarde de bune practici in domeniul protectiei datelor;

Monitorizeaza:

– monitorizeaza faza de implementare si operatiunie de prelucrare in acord cu politicile GDPR implementate cat si ulterior implementarii,
– monitorizeaza procesele de prelucrare a datelor desfasurate de operator;
– eficientizeaza procesele de prelucrare a datelor si a securitatii prelucrarilor;
– analizeaza solicitarile venite din partea persoanelor vizate in temeiul GDPR (dreptul de acces, dreptul de a fi uitat, dreptul la rectificarea datelor etc.) si asigura suport in formularea raspunsurilor;
– monitorizeaza modificarile legislative si noile recomandari/practici in domeniul GDPR;
– instruieste personalul si echipa manageriala privind noutatile legislative si bunele practici in domeniul protectiei datelor, in acord cu specificului activitatii Operatorului.
– elaboreaza puncte de vedere pe probleme specifice protectiei datelor cu caracter personal;
– emite recomadari si decizii pe baza recomandarilor agreate de operator;
– auditeaza societatea periodic si emite rapoarte si recomandari specifice;
– mentine legatura cu autoritatea de control – ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal);
– asista operatorul in controalele initiate de ANSPDCP.

3. Efectuarea DPIA – implementare GDPR riguroasa

Reprezinta un studiu de impact, pe scurt o evaluare a riscurilor asociate prelucrarii si este necesar sa o efectuam ori de cate ori prelucram anumite categorii de date.
ANSPDCP a adoptat Decizia nr. 174/2018 privind lista operatiunilor pentru care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal, publicata in Monitorul Oficial al Romaniei – Partea I – nr. 919 din 31.10.2018.

Potrivit prevederilor articolului 1 alin. (1) din Decizia amintita, evaluarea impactului asupra protectiei datelor cu caracter personal de catre operatori este obligatorie in special in urmatoarele cazuri:

  • prelucrarea datelor cu caracter personal in vederea realizarii unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa;
  • prelucrarea pe scara larga a datelor cu caracter personal privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unica a unei persoane fizice, a datelor privind sanatatea, viata sexuala sau orientarea sexuala ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnari penale si infractiuni;
  • prelucrarea datelor cu caracter personal avand ca scop monitorizarea sistematica pe scara larga a unei zone accesibile publicului, cum ar fi supravegherea video in centre comerciale, stadioane, piete, parcuri sau alte asemenea spatii;
  • prelucrarea pe scara larga a datelor cu caracter personal ale persoanelor vulnerabile, in special ale minorilor si ale angajatilor, prin mijloace automate de monitorizare si/sau inregistrare sistematica a comportamentului, inclusiv in vederea desfasurarii activitatilor de reclama, marketing si publicitate;
  • prelucrarea pe scara larga a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile, cum ar fi utilizarea tehnicilor de recunoastere faciala in vederea facilitarii accesului in diferite spatii;
  • prelucrarea pe scara larga a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicatii “Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucarii inteligente, orase inteligente sau alte asemenea aplicatii);
  • prelucrarea pe scara larga si/sau sistematica a datelor de trafic si/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografica a pasagerilor in transportul public sau alte asemenea situatii) atunci cand prelucrarea nu este necesara pentru prestarea unui serviciu solicitat de persoana vizata.”Fluxul de date cu caracter personal.
    Acestea sunt cazurile reglementate de legislatia nationala ca fiind obligatorie efectuarea unei DPIA, insa ori de cate ori prelucrarea este susceptibila de a afecta intr-o masura semnificativa drepturile si libertatile persoanelor fizice, iti recomandam sa faci acest studiu de impact (DPIA).

I. IMPLEMENTAREA DE MASURI ORGANIZATORICE

4. Fluxuri de date cu caracter personal

Este recunoscut de Regulamentul nr. 679/2016, dreptul persoanelor vizate de a avea acces la datele cu caracter personal proprii.
Stabilirea fluxurile este necesar sa sa faca astfel incat, atunci cand primesti o cerere de acces la date, din partea unei persoane vizate, sa poti identifica in mod complet si cat mai simplu posibil datele prelucrate, pe baza planului de implementare.
Evident ca, atunci cand spunem prelucrare de date nu ne referim doar la nume, prenume, telefon si adresa de e-mail, ci orice data care singura sau impreuna cu alte mijloace (chiar daca noi nu avem acces la acele mijloace dar ele exista) sa poata conduce la identificarea unei persoane.
Din departament in departament, fiecare data cu caracter personal este prelucrata in mod diferit, de aceea, cand stabilim fluxul de date cu caracter personal, este foarte important ca acesta sa urmareasca sa fie:
– corect;
– clar;
– accesibil.
Pe baza fluxurilor de date, putem stabili si dezvolta procedurile de lucru atat la nivel de departament cat si la nivel de unitatate (operator).

5. Proceduri GDPR – anterior procesului de implementare GDPR

Aminteste-ti ca disciplina este un aspect extrem de important in lucrul cu date cu caracter personal.
Pentru a gestiona corespunzaror fluxul de date cu caracter personal si intreg procesul de date cu caracter personal, va trebui sa concepi proceduri personalizate activitatii pe care o desfasori.
Nicio procedura nu este similara alteia, intrucat fiecare operator functioneaza diferit, are reguli diferite, activitate diferita s.a.m.d.
Detaliaza pe cat posibil prevederile procedurilor, astfel incat fiecare angajat sa inteleaga ce sarcini si responsabilitati are in prelucrarea datelor si in sustinerea procesului de implementare si mentinere a politicilor GDPR, dar si sa fie usor de parcurs in situatia in care sunteti supusi controlului ANSPDCP.
Intotdeauna este necesar sa mergi sa consulti procedura, atunci cand trebuie sa iei o decizie in privinta prelucrarii, atunci cand raspunzi unei cereri de acces la date sau cand documentezi sau raportezi un incident de securitate si nu numai.
Formuleaza-le asadar intr-un limbaj simplu si clar, pentru a fi cu adevarat intelese si aplicabile.

6. Politicile GDPR

Poti incepe sa te gandesti inca de pe acum, care este politica firmei in prelucrarea datelor sau poti astepta pana ai o vedere de ansamblu asupra datelor cu caracter personal prelucrate, pentru a dezvolta politicile GDPR pe site si in societate.
Recomandarea noastra este de a incepe sa le concepi, doar dupa ce etapele de pana aici au fost deja parcurse, altfel iti va fi mult mai dificil, iar calitatea lucrarii este foarte probabil sa nu fie aceeasi cu cea obtinuta in urma parcurgerii celorlalte etape in ordinea amintita.
Politicile se concep in acord cu principiile si valorile societatii dar intotdeauna raportat la prevederile legale din GDPR si legile conexe.

7. Informarea persoanelor vizate si consimtamantul – etapa de implementare GDPR

In politicile de lucru si in planul de implementare va fi prevazuta modalitatea de informare a diferitelor categorii de persoane vizate, precum si conditiile in care anumite categorii de date se prelucreaza exclusiv pe baza de consimtamant.

Informarea este necesar sa se faca pentru toate persoanele pentru care prelucrezi date cu caracter personal.

Va fi obligatoriu astfel, sa concepi notele de informare pentru angajati, pentru clienti, pentru furnizori si toti partenerii.

Orice informare se face in prelabil prelucrarii datelor cu caracter personal, insa atunci facem o implementare GDPR cu intarziere, o vom face incepand cu momentul implementarii si ulterior de fiecare data cand avem o noua prelucrare de date.

Informarea trebuie sa cuprinda minim urmatoarele informatii: drepturile persoanelor vizate, categoriile de date prelucrate, scopurile pentru fiecare categorie, temeiurile prelucrarii, durata prelucrarii, tertii destinatari.

Nu uita ca este necesar sa informezi persoana vizata si asupra datelor de contact al DPO-ului astfel incat sa-i facilitezi accesul la date in eventualitatea formuarii unor cereri, opozitii de prelucrare s.a.m.d.

Informarea nu va fi standardizata decat pe categorii de date si de persoane vizate, in functie de prelucrari si de toate celelalte date anterior amintite.

Cu alte cuvinte, nu vom informa prin acelasi draft de nota de informare atat un salariat cat si un partener de afaceri.

GDPR prevede norme stricte pentru prelucrarea datelor pe baza consimtamantului. Scopul acestor norme este sa garanteze ca persoana vizata intelege pentru ce isi acorda consimtamantul. De aceea, consimtamantul trebuie sa fie acordat in mod liber, specific, informat si lipsit de ambiguitate, prin intermediul unei cereri prezentate intr-un limbaj clar si simplu. Consimtamantul trebuie acordat printr-un act pozitiv, cum ar fi bifarea unei casete on-line sau semnarea unui formular.

Cand o persoana isi da acordul pentru prelucrarea datelor cu caracter personal, datele respective pot fi prelucrate doar in scopul pentru care s-a obtinut consimtamantul. De asemenea, trebuie sa-i acordati persoanei respective posibilitatea de a-si retrage consimtamantul la fel de facil precum acordarea acestuia.

8. Actualizarea documentelor societatii

In raport cu etapele anterior descrise, este necesara actualizarea unor documente in acord cu implementarea GDPR si respectarea legislatiei, precum: fise de post, regulamente interne sau altfel de regulamente la care societatea a aderat, contracte etc.

Iti recomandam sa analizezi cu atentie fiecare tip de document pentru a aplica actualizarile necesare.

Se actualizeaza doar documentele folosite in desfasurarea activitatii curente si doar contractele aflate in derulare.

9. Registrul operatorului

Societatea este obligata sa poata demonstra ca actioneaza in conformitate cu GDPR si isi indeplineste toate obligatiile aplicabile – in special la cererea ANSPDCP pentru protectia datelor sau cu ocazia inspectiilor acesteia.

O modalitate de a realiza acest lucru este pastrarea de evidente detaliate cu privire la:
– numele si datele de contact ale operatorului ce prelucreaza date cu caracter personal
– scopul prelucrarii datelor
– descrierea categoriilor de persoane care furnizeaza date cu caracter personal
– categoriile de organizatii care primesc datele cu caracter personal
– transferul de date cu caracter personal catre o alta tara sau organizatie
– perioada de stocare a datelor cu caracter personal
– descrierea masurilor de securitate utilizate cand se proceseaza datele cu caracter personal
Operatorul este obligat sa pastreze si sa actualizeze periodic proceduri si orientari scrise si sa le comunice angajatilor.

II. IMPLEMENTAREA DE MASURI TEHNICE

10. Securitatea fizica

Regulamentul prevede ca orice implementare GDPR sa se faca de catre operator prin a asigura masuri tehnice si organizatorice adecvate in vederea protejarii datelor cu caracter personal. Am vazut deja care sunt in linii mari masurile organizatorice.

Masurile tehnice constau in implementarea unor sisteme, apte sa asigure securitatea si confidentialitatea documentelor fizice si electronice, ce contin date cu caracter personal dar si a oricaror comunicari sau baze de date apte sa divulge identitatea persoanelor sau sa conduca la aceastea.

Masurile privind securitatea fizica, sunt foarte variate si ar trebui aplicate in orice implementare GDPR in principal in raport cu categoriile de date prelucrate, sensibilitatea si volumul acestora.

Nu vom putea aborda exhaustiv aceasta problematica, insa vom incerca sa iti dam cateva repere, astfel incat sa poti aborda subiectul fie cu consultantul tau GDPR, fie direct cu consultantii in securitate fizica si informatica.

Masuri posibile 

Una dintre masurie de securitate fizica propusa, este delimitarea zonelor securizate, aceasta masura avand drept scop prevenirea accesului neautorizat sau afectarea facilitatilor oferite de sistemele informationale.

Un alt aspect important al securitatii fizice ce ar trebui urmarit este acela al protectiei echipamentelor, prin prevenirea pierderii, distrugerii sau compromiterii functionarii care pot afecta buna functionare a organizatiei si pierderea unui numar considerabil de date.

Echipamentele de calcul trebuie sa fie protejate fizic impotriva amenintarilor voite sau accidentale. In acest sens trebuie dezvoltate standarde si proceduri pentru securizarea atat a serverelor, cat si a statiilor de lucru ale utilizatorilor.

Masurile de control al accesului, implementate in aplicatii sau baze de date la nivelul aplicatiei ori retelelor, pot deveni inutile daca nu exista si o protectie fizica corespunzatoare.

Accesul neautorizat la date ar trebui sa fie interzis in unitate si fiecare persoana sa aiba acces doar in zonele de interes profesional.

Poti asigura paza fizica prin folosirea unor fisete metalice, seife sau containere securizate si asigurate la randul lor de supraveghere video.

Acestea sunt doar recomandarile de baza in privinta securitatii fizice, urmand ca in functie de activitatea ta, de specificul si categoria de date prelucrate insa in acord cu toate celelalte aspecte anterior discutate in ghidul nostru, sa le stabilesti in concret, in functie de particularitatile activitatii ce o desfasori, impreuna cu specialistii in domeniu.

11. Securitatea informatica

In ceea ce priveste securitatea informatica, este necesar sa dezvolti un set de proceduri si reguli de urmat in ceea ce priveste:
– utilizarea statiilor de lucru;
– utilizarea dispozitivelor mobile;
– utilizarea echipamentelor portabile de tip laptop, tableta si smartphone;
– folosirea propriilor dispozitive in organizatie;
– prevenirea accesului neautorizat la informatiile confidentiale;
– îmbunatatirea securitatii computerelor si a celorlalte dispozitive de lucru, cu acces la internet;
– informari despre amenintari cibernetice si semne de infectare a computerului;
– informari despre malware/ransomware, spyware, scam, spam, phishing, spear-phishing etc.
Toate acestea au ca scop sporirea securitatii alaturi de implementarea altor masuri tehnice de securitate precum parolare, criptare, securizarea site-urile prin certificate SSL etc.

III. MONITORIZARE SI ACTUALIZARE

Odata implementat GDPR-ul in companie, este necesar sa pastrezi ceea ce ai si sa nu ajungi in etapa initiala sau sa stai linistit ca prelucrezi legal date cu caracter personal dar de fapt sa fie o falsa iluzie.
Monitorizarea este un proces absolut obligatoriu din mai multe puncte de vedere. Este o discutie ampla ce poate fi facuta pe marginea acestui subiect, insa noi vom zabovi aici doar asupra catorva aspecte extrem de importante.

Ce trebuie facut dupa o implementare GDPR

In primul rand, este necesar sa monitorizezi modul in care se desfasoara intreaga activitate de dupa implementare, sa poti observa daca persoanele implicate se adapteaza modului de lucru, daca datale cu caracter se prelucreaza responsabil si daca sunt lucruri ce pot fi imbunatatite.

Apoi, este necesar sa monitorizezi permanent activitatea pentru a o actualiza permanent. Actualizarea se poate face nu pentru ca ceva a fost gresit initial, ci pentru ca apar prevederi legale noi sau unele anterioare se modifica sau se completeaza ori pentru ca apar noi opinii pe un anumit segment din partea organismelor europene abilitate. Recomandarile venite din partea organismelor UE de exemplu, desi se numesc „recomandari”, este bine sa le interpretezi ca fiind obligatorii, fiind puncte de vedere oficiale in interpretarea anumitor prevederi.

Totodata, urmarind jurisprudenta Curtii Europene de Justitie, ai mari sanse sa constati ca o solutie uzitata de majoritatea si pe care si tu o ai implementata, a fost amendata de aceasta. Atunci e momentul sa intervii si sa ajustezi politicile, fluxurile si orice e nevoie astfel incat sa te raliezi noilor tendinte de interpretare.

Procesul de monitorizare si actualizare este destul de greu de definit, de aceea rolul DPO -ului specializat si cu expertiza necesara este esential in vederea prelucrarii responsabile a datelor cu caracter personal si evitarea amenzilor.

Mai multe detalii despre rolul DPO-ului in cardul organizatiei poti citi chiar in sectiunea dedicata lui si iti recomandam sa revii asupra informatiei ori de cate ori este necesar pentru a dezvolta o cultura a importantei sale si a rolului in companie.

Cu ce te putem ajuta pentru o implementare GDPR corecta

Tocmai datorita rolului jucat in intregul proces, este necesar sa alegi cu deosebita atentie DPO-ul, pentru a indeplini minim conditiile impuse de art 37 (5) din Regulamentul nr. 679/2016, respectiv „responsabilul cu protectia datelor este desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute la articolul 39.

Radikal Consult pune la dispozitie servicii complete GDPR precum si serviciul de DPO extern prin persoane specializate si cu expertiza relevanta in dreptul protectiei datelor cu caracter personal. Pentru a primi o oferta personalizata, conteaza-ne.

implementare gdpr

Autor
Daniela Mogos

Lasă un răspuns

Acest site apartine Radikal Consult. Aveti dreptul de a fi informat. Va informam ca acest site foloseste Cookies Necesare. Cookies Necesare sunt fisiere de mici dimensiuni, incompatibile cu fisierele executabile. Acestea sunt necesare functionalitatii obisnuite a site-ului pentru a va putea reda continutul.