Avocat Dr. Constantin Neacșu –
Baroul București
Tel.: 0744244852
Acest aspect ne afectează indiferent dacă suntem utilizatori fizici, companii sau instituții de stat. Măsurile de implementare a noului Regulament implică unele costuri inițiale pentru companii prin numirea unei persoane responsabile, evaluarea efectelor procesării datelor și conceperea unor procese care să asigure protecția datelor. Cum implementăm în activitatea practică noile reguli reprezintă o chestiune delicată, care diferă de la caz la caz, dar în general trebuie avuți în vedere următorii pași concreți:
1. Inventariați date și documente
Prima acțiune pe care trebuie să o faceți constă în evaluarea impactului Regulamentului prin identificarea problemelor și vulnerabilităților societății dvs. Astfel, aveți nevoie să știți:
• ce date cu caracter personal dețineți și unde sunt acestea localizate
• de unde provin aceste date cu caracter personal și cine are acces la ele
• care sunt vulnerabilitățile sistemului de date și cum pot fi ele protejate
• cât timp sunt păstrate datele și când pot fi șterse
• de unde pot fi accesate aceste date
• la ce sunt folosite
• suportul pe care sunt stocate datele
• baza legală pentru a deține astfel de date
Inventarierea se aplică pentru toate datele, indiferent de natura lor: angajați, parteneri de afaceri, utilizatori de servicii, clienți etc.
2. Numiți un responsabil cu protecția datelor
Majoritatea instituţiilor publice din UE, cât şi o parte dintre companiile private sunt obligate să desemneze un responsabil cu protecţia datelor care să vegheze la respectarea prevederilor G.D.P.R. în companie. Din rândul afacerilor cu capital privat, doar două tipuri de companii au această obligativitate şi anume companiile private care prelucrează la scară largă date personale sensibile cum ar fi: date rasiale, fiscale, istoricul penal etc., această categorie fiind destul de clară. Intră în cea de a doua categorie ” companiile private care prelucrează date în cadrul unor activităţi de monitorizare periodică şi sistematică a persoanelor vizate pe scară largă”, ceea ce înseamnă că aproape toate site-urile sunt obligate să numească un responsabil cu protecţia datelor.
Responsabilul este răspunzător de tot ce are legătură cu protecţia datelor în cadrul companiei. De exemplu, informează şi sfătuieşte despre obligaţiile ce revin companiei în temeiul Regulamentului, monitorizează punerea în aplicare a politicilor de protecţie a datelor, gestionează cererile consumatorilor. În plus, responsabilii cu protecţia datelor acţionează ca persoană de contact pentru autoritatea de supraveghere. Responsabilul ar trebui numit pentru o perioadă de cel puţin un an.
3. Revizuiți contractele
Noile contracte, atât cele de muncă precum și cele cu partenerii comerciali, vor trebui să cuprindă paragrafe referitoare strict la prelucrarea datelor. Societățile sunt obligate să revizuiască mecanismele de informare a persoanelor vizate și de obținere a consimțământului acestora, pentru a se asigura că politica de prelucrare a datelor cu caracter personal este valabilă inclusiv pe terenul noii reglementări – incluzând revizuirea politicilor de confidențialitate, contractele cu angajații implicați în activitățile de prelucrare, cu eventualii parteneri comerciali, cu persoanele împuternicite sau contractele pentru revizuirea eficacității sistemelor IT și de securitate.
4. Pregătiți-vă din punct de vedere tehnic
Asigurarea că datele sunt în siguranță este una dintre cele mai importante reguli. O eroare tehnică sau tehnologică în sistemul de date poate duce la distrugerea, pierderea, alterarea sau folosirea neautorizată a datelor cu caracter personal.
Aceste erori vor trebui raportate – împreună cu măsurile luate pentru a minimiza eroarea – către instituția responsabilă cu protecția datelor în termen de 72 de ore de la luarea la cunoștință a erorii.
Pentru a preîntâmpina problemele de securitate puteți implementa un sistem de gestionare a documentelor și înregistrărilor, puteți cripta și/sau pseudonimiza datele sau crea un depozit de conținut securizat.
Alte soluții tehnice includ capabilități de export de date, instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale, capabilități de prevenire a pierderilor de date (DLP) pentru a putea examina fluxurile de date și a identifica datele cu caracter personal care nu fac obiectul garanțiilor sau autorizațiilor adecvate. Instrumentele DLP pot bloca sau pune în carantină astfel de fluxuri de date, în așteptarea rectificării adecvate.
5. Modificați politicile de confidențialitate
Regulamentul pune un accent mare pe consimțământul persoanei. În cazul în care obținerea acestuia este dificilă sau imposibilă este necesar să se identifice o bază legală pentru a continua procesarea datelor. Consimțământul exprimat trebuie să fie clar, concis și explicit.
Persoanele vizate trebuie să știe clar cum și la ce intenționați să le folosiți datele. Cea mai bună și ușoară metodă de a face acest lucru sunt ” notele de confidențialitate”. Chiar dacă aveți deja aceste notificări, ele vor trebui modificate și îmbănătățite pentru a informa utilizatorii cu privire la timpul de stocare a datelor și baza legală pentru aceste operațiuni.
Este foarte important să obțineți acordul pentru fiecare colectare sau procesare, astfel veți putea dovedi clar că sunteți îndreptățiți să folosiți informațiile personale în scopul precizat.
