5 puncte cheie de urmărit în implementarea politicii GDPR

Au trecut mai mult de 2 ani de la intrarea în vigoare a Regulamentului General pentru Protecția Datelor (GDPR), menit să protejeze, într-o manieră coerentă și consecventă, drepturile fundamentale la intimitate și viață privată ale persoanelor fizice pe teritoriul UE. GDPR a creat un cadru legislativ complex, adecvat erei digitale, însă pentru operatorii care prelucrează date personale procesul de armonizare cu prevederile acestuia poate fi, uneori, dificil. 

Implementarea GDPR într-o organizație se face continuu și într-un mod sustenabil, fiind un factor important pentru creșterea loialității clienților. Ca actual sau viitor antreprenor, este esențial să asimilezi și să înțelegi reglementările în ce privește protecția datelor cu caracter personal. Legea vizează orice firmă, indiferent de mărime, și orice persoană fizică care desfășoară activități economice (PFA, PFI, PF, II, IF, Profesie liberală) și prelucrează date cu caracter personal. 

Așadar, iată cinci puncte cheie pe care trebuie să le urmărești pentru ca entitatea comercială pe care o reprezinți să fie conformă cu normele GDPR. 

  1. Desemnează un responsabil cu protecția datelor

Înainte de orice, trebuie să faci o evaluare a gradului inițial de conformitate – un Audit GDPR. Acest proces cuprinzător identifică datele personale procesate de companie, evaluează și apreciază nivelul de risc asociat fluxurilor de date și proiectează un plan de acțiune în vederea respectării dispozițiilor GDPR. În urma acestei evaluări (pentru care poți apela la serviciile unei societăți de servicii juridice specializate în protecția datelor) se va stabili dacă este oportună desemnarea unui Responsabil cu Protecția Datelor (Data Protection Officer – DPO). 

Desemnarea unui specialist DPO este obligatorie pentru: 

  • Toate autoritățile și organismele publice;
  • Operatorii care monitorizează persoane în mod periodic și sistematic, pe scară largă;
  • Operatorii care prelucrează categorii speciale (sensibile) de date, precum originea rasială sau etnică, convingerile religioase, date privind starea de sănătate etc. sau date referitoare la condamnări penale.

Chiar dacă nu te încadrezi în categoriile pentru care este obligatorie numirea unui DPO, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) recomandă numirea unei astfel de persoane. Aceasta va avea un efect benefic în cadrul companiei: se va asigura că obligațiile în domeniul protecției datelor cu caracter personal sunt respectate și va contribui la dezvoltarea unei culturi a responsabilității în cadrul organizației tale. De exemplu, un responsabil cu protecția datelor joacă un rol de o foarte mare importanță în business-uri precum magazinele online sau alte platforme care se adresează direct utilizatorului final. 

DPO-ul poate fi:

  • Un angajat existent;
  • Un prestator extern.

Indiferent de persoana desemnată ca responsabil cu protecția datelor, aceasta trebuie să fie independentă, să nu dețină o funcție de conducere și să aibă cunoștințe de specialitate în acest domeniu. La desemnarea acestuia trebuie să informezi Autoritatea de Supraveghere, prin completarea unui formular existent pe site-ul autorității la Secțiunea „Responsabilul cu protecția datelor”. 

  1. Realizează o inventariere a datelor personale deținute

Conform regulamentului GDPR, o companie poate prelucra în scopuri comerciale doar date precum:

  • Nume și prenume;
  • Adresa de domiciliu;
  • Adresa de e-mail;
  • Număr de telefon;
  • Numărul cărții de identitate sau al pașaportului;
  • Adresa IP;
  • Date de interes public major. 

Conform art. 9 alin. (2) din Regulamentul (UE) 2016/679, se interzice prelucrarea următoarelor date cu caracter personal (cu anumite excepții):

  • Rasă sau etnie;
  • Opinia politică;
  • Confesiunea religioasă sau convingerile filozofice;
  • Apartenența la sindicate; 
  • Date genetice, biometrice, privind sănătatea, viața sexuală sau orientarea sexuală.

Trebuie să știi ce date personale deții în baza ta, din ce surse provin aceste date și cui aparțin aceste date, pe care le poți împărți pe clienți, furnizori și angajați. De asemenea, este important să știi cu ce scop deții aceste date și cine are acces la ele. Pentru nu a omite nimic din punct de vedere legal, cel mai sigur este să apelezi la servicii de consultanță GDPR, oferite de experți în domeniu.

  1. Pregătește obținerea consimțământului

Nu mai poți prelucra date personale fără ca persoanele fizice să-și dea acordul de folosire. În plus, trebuie să soliciți și să obții consimțământul pentru fiecare scop în parte, de la aceeași persoană. De asemenea, este important ca viitorii clienți, furnizori sau angajați să-și dea acordul  în mod liber pentru prelucrarea datelor.

Totuși, consimțământul nu este singura bază de prelucrare a datelor și nici cea mai „sigură” sau recomandată de către specialiști. Bazele de prelucrare se determină pentru fiecare caz în parte, în urma unui audit al proceselor din companie.

Prin urmare, o companie poate prelucra date în baza următoarelor: 

  • consimțământ; 
  • interes legitim; 
  • interes public; 
  • obligație legală; 
  • interes vital; 
  • contract.

Toate datele pot fi prelucrate dacă se identifică o bază legală pentru procesarea generală, însă pentru datele din categoriile speciale și cele referitoare la condamnări penale ori infracțiuni trebuie să fie îndeplinită și o condiție suplimentară. Baza legală va depinde de scopul și relația companiei cu persoana fizică. 

Dacă scopul poate fi realizat în mod rezonabil fără prelucrarea datelor persoanei fizice, atunci temeiul respectiv nu poate fi considerat bază legală. Baza legală se alege în urma unei documentări complexe înainte de a începe procesarea și nu se schimbă ulterior, fără un motiv întemeiat. 

Dacă scopul se modifică, procesarea poate fi continuată în baza legală originală, cu condiția ca noul scop să fie compatibil cu scopul inițial. De la aceasta face excepție cazul în care baza legală inițială a fost consimțământul.

  1. Oferă securitate datelor prelucrate

Orice companie trebuie să ia măsurile tehnice și organizatorice necesare pentru a securiza datele personale, cum ar fi:

  • anonimizarea și criptarea datelor cu caracter personal;
  • asigurarea confidențialității, integrității, disponibilității și rezistenței continue ale sistemelor și serviciilor de prelucrare;
  • restabilirea disponibilității datelor și accesului la acestea în timp util, în caz de incident de natură fizică sau tehnică.
  1. Instruiește angajații care folosesc date personale

În funcție de activitate, în orice firmă există cel puțin un angajat care prelucrează cu un anumit scop date cu caracter personal. Poate fi angajatul care solicită consimțământul clienților pentru prelucrarea datelor, persoana care se ocupă de contractele salariaților sau specialistul în marketing, important este ca angajații respectivi să primească instrucțiunile necesare de la responsabilul DPO pentru a prelucra datele clienților, fără să provoace daune companiei. 

Ține cont de informațiile de mai sus și asigură-te că firma ta este aliniată la normele GDPR. Protejând datele personale ale persoanelor fizice construiești încredere în brandul tău și beneficiezi, printre altele, de loialitatea acestora. 

- Publicitate -

1 din 7 români consideră că deșeurile de plastic din natură au devenit o problemă majoră

Deșeurile din plastic aruncate în natură – în păduri, ape sau pe marginea drumului – sunt considerate una dintre...

Românii au nevoie de o sumă mai mare decât salariul mediu anual mediu ca să-și permită o mașină SH

După analizarea piețelor de mașini second hand din 23 de țări europene, s-a constatat că, în medie, este nevoie...