10 aspecte esențiale despre GDPR pe care trebuie să le știe orice companie

Regulamentul GDPR vizează toate companiile care prelucrează date personale, mai exact stochează, colectează sau gestionează acest tip de informații în vederea îndeplinirii activității. Totuși, nu întotdeauna vorbim despre datele clienților, ci chiar și despre informațiile personale ale angajaților, date care vor fi cel puțin o dată prelucrate de către firmă. În acest context, orice angajator trebuie să cunoască prevederile regulamentului GDPR sau cel puțin să recurgă la ajutorul unui serviciu de protecție a datelor. Iată ce trebuie să știe companiile: 

GDPR UE se aplică tuturor 

Regulamentul GDPR UE se aplică tuturor companiilor din lume care prelucrează date cu caracter personal ale cetățenilor UE, indiferent de locul propriu-zis unde are loc prelucrarea. Cele două entități care sunt vizate de aceste prevederi sunt operatorii, dar și persoanele fizice împuternicite de către operator. 

Prin operator ne referim la persoane fizice sau juridice, autorități publice, agenții sau alte organisme care stabilesc scopurile și mijloacele de prelucrare a datelor cu caracter personal. 

Prin persoană împuternicită înțelegem tot persoane fizice sau juridice, autorități publice, agenții sau alte organisme care prelucrează datele personale în numele operatorilor menționați mai sus. 

Consimțământul nu este singura bază de prelucrare și acesta nu se aplică de regulă în relația angajator-angajat

Chiar dacă nu va fi necesar consimțământul angajatului pentru prelucrarea datelor personale, una dintre următoarele condiții trebuie îndeplinită pentru a prelucra datele cu caracter personal: 

 

• Existența unei obligații contractuale față de persoana în cauză;
• Îndeplinirea unei obligații legale;
• Protejarea intereselor vitale ale persoanei vizate;
• Îndeplinirea unei sarcini în interesul publicului;
• Existența unui interes legitim al companiei, atâta timp cât nu vor fi afectate în mod serios libertățile și drepturile fundamentale ale persoanelor vizate de prelucrarea datelor. 

 

Care sunt drepturile angajaților

Unele dintre cele mai importante drepturi ale angajaților, în contextul GDPR, sunt dreptul de a avea acces la datele personale pe care firma le deține despre el sau ea, dreptul de a cere o copie după informațiile respective, dreptul de a le modifica sau dreptul de a fi uitat/ă, adică dreptul de a cere ștergerea datelor din fișierele companiei după ce colaborarea s-a încheiat. 

Răspunsul firmei la oricare dintre cererile de mai sus trebuie să fie produs fără întârzieri nejustificate, în termen de maximum o lună de la data la care a fost primită solicitarea. Astfel, orice companie trebuie să se asigure că dispune atât de personal calificat, dar și de procese și proceduri care pot soluționa aceste cereri. 

E adevărat, în cazul în care cererea angajatului este complexă sau cuprinde mai multe cereri într-una singură, atunci termenul de răspuns poate fi prelungit cu încă două luni, dar doar după ce persoana a fost informată în legătură cu această prelungire și în legătură cu motivele din spatele acestei decizii. Notificarea trebuie trimisă în termen de maximum  o lună de la data la care angajatorului i-a fost înmânată cererea respectivă. 

 

Care sunt informațiile care trebuie puse la dispoziția angajaților

Înainte de a începe procesul de colectare a datelor personale ale angajaților, compania trebuie să pună la dispoziția acestora o serie de detalii. Iată care sunt acestea: 

• Numele companiei;
• Datele de contact și numele responsabilului cu protecția datelor din cadrul companiei;
• Scopul sau scopurile în care datele personale vor fi prelucrate, dar și temeiul/temeiurile juridice pentru prelucrare;
• Care sunt interesele legitime ale întreprinderii, dar doar dacă temeiul juridic al prelucrării se bazează pe acestea;
• Informații despre intenția firmei (dacă aceasta există) de a transfera datele personale către un terț, dar și temeiul juridic al acestui transfer;
• Destinatarul sau tipul de destinatari care vor avea acces la datele personale;
• Perioada de păstrare a datelor cu caracter personal, dar și modul prin care angajatul/candidatul își poate exercita drepturile;
• Modul prin care angajatul/candidatul își poate retrage consimțământul dacă prelucrarea datelor se bazează pe acesta;
• Dreptul de a depune o plângere la autoritatea de supraveghere a protecției datelor;

 

Gestionarea incidentelor de securitate și crearea unui plan de răspuns este necesară 

Pe parcursul activității se prea poate să te confrunți cu incidente de securitate. Mai exact, situații în care compania nu mai poate asigura confidențialitatea, integritatea și disponibilitatea datelor cu caracter personal. 

În acest caz este recomandat să ai deja o persoana responsabilă (de exemplu un DPO) și un plan de acțiune pentru a remedia problema. Reglementările GDPR impun organizațiilor să notifice autoritatea locală de protecție a datelor despre o încălcare a securității datelor în termen de 72 de ore de la descoperirea incidentului. În plus, organizațiile trebuie să se asigure că dispun de tehnologiile și procesele care le vor permite să detecteze și să răspundă rapid la o încălcare a datelor. 

 

Trebuie să întreprinzi o auditare periodică a companiei din perspectiva protecției datelor și a securității informației

Ca să te asiguri că operezi în conformitate cu prevederile GDPR va fi necesar ca din când în când să-ți analizezi afacerea, inclusiv din punctul de vedere al proceselor de prelucrare a datelor, dar și în ceea ce privește măsurile pe care le iei pentru a securiza informația. 

În acest sens te sfătuim să apelezi la o echipă de specialiști sau să numești un DPO intern. 

 

De ce este necesar să numești un DPO

Există mai multe situații în care afacerea ta trebuie să numească un DPO. Iată care sunt acestea: 

• Dacă afacerea ta este autoritate sau organism public, indiferent de datele cu caracter personal pe care le prelucrează;
• Dacă activitatea ta de bază presupune monitorizarea persoanelor în mod sistematic și la scară largă;
• Dacă afacerea ta prelucrează categorii speciale de date cu caracter personal la scară largă;
• Dacă activitatea ta presupune inclusiv prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin pentru a realiza interesele legitime urmărite de operator sau terți. 

Chiar dacă organizația ta nu îndeplinește criteriile de mai sus, ai putea numi un DPO pe bază de voluntariat. Poți verifca dacă ești obligat să numesti un DPO, AICI: https://decalex.ro/afla-daca-trebuie-sa-numesti-un-responsabil-dpo  

 

Trebuie să introduci evaluarea obligatorie DPIA 

DPIA sau Data Processing Impact Assessment se traduce prin „Evaluarea impactului asupra protecției datelor”. Ea reprezintă un instrument cu ajutorul căruia te poți asigura că respecți cerințele impuse prin Regulamentul 2016/679. Scopul acestei analize este de a descrie procesul actual de prelucrare a datelor, a stabili măsurile pe care trebuie să le iei pentru a elimina sau soluționa riscurile, și nu în ultimul rând demonstrează faptul că operatorul înțelege de ce trebuie să respecte Regulamentul. 

Potrivit art. 35 din RGPD, elaborarea unei DPIA este obligatorie mai ales în cazul:

 

• unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
• prelucrării pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;
• unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

 

Trebuie să ai un plan de conformitate continuă și să-l ajustezi frecvent 

Nu va fi suficient să întreprinzi o analiză DPIA și să respecți pașii de acțiune. Conformarea cu Regulamentul GDPR este un proces de durată, tocmai deoarece riscurile și modurile în care acestea apar se schimbă de la o zi la alta. 

Tocmai de aceea oferim sprijin pentru a continua programul de conformitate atât prin intermediul serviciului de DPO externalizat, cât și prin serviciul de Suport DPO pentru echipa internă (Consultanță GDPR). 

 

Respectă principiul privacy by design și privacy by default

Cele două concepte, privacy by design și privacy by default se referă la modalitatea prin care, încă din faza de proiect, atât procesele, cât și tehnologia din spatele lor sunt create cu scopul de a proteja datele cu caracter personal. 

În cazul în care nu ai aplicat până acum aceste concepte, trebuie să-ți ajustezi activitatea. Specialiștii te pot ajuta ca pe viitor să respecți aceste două principii încă de când te apuci de treabă! 

 

Vei beneficia de pe urma procesului de crearea a unei culturi organizaționale 

Dacă vrei să te asiguri că principiile legate de protecția datelor fac parte din ADN-ul afacerii tale, atunci trebuie să investești în cultura organizațională. De preferat va fi să implementezi programe de instruire trimestriale pe subiectul protecției datelor, dar și legate de cybersecurity. 

Poți apela la ajutorul specialiștilor pentru a te asigura că programa este corectă și se respectă un nivel adecvat de exprimare, în funcție de specificul afacerii tale. 

 

Respectă principiul răspunderii în solidar 

Conform prevederilor GDPR, operatorii de date răspund în solidar cu împuterniciții lor. Cu alte cuvinte, dacă furnizorii externi care prelucrează date personale pentru afacerea ta fac o greșeală, greșeala respectivă poate fi atribuită inclusiv afacerii tale! 

Pentru a evita astfel de situații neplăcute, creează un cod de conduită pentru furnizorii externi, cod care să stabilească principii sănătoase privind securitatea informației și protecția datelor. De preferat va fi și să realizezi o auditare periodică pentru a te asigura că măsurile prevăzute chiar sunt implementate. 

Dacă toate acestea par prea complicate, cel mai probabil ai nevoie de un DPO, adică un responsabil cu protecția datelor sau de o colaborare cu o firmă din domeniu.