Pașii implementării
GDPR-ului

Pașii implementării GDPR-ului.

Atunci când prelucrăm date cu caracter personal ne numim, automat, operator de date. Acest lucru vine cu noi responsabilități. Pentru a putea înțelege ce înseamnă aceste responsabilități, am structurat pașii implementării GDPR-ului. Astfel, așa cum sunt ei detaliați , mai jos, dorim să venim în ajutorul fiecărui operator, pentru a înțelege mai bine procesele de implementare a GDPR-ului. 

Pasul 1 - Inventarierea și cartografierea datelor

1. Fiti Conștienți de cerințele de baza ale GDPR-ului. Desemnarea unui responsabil cu protecția datelor (DPO), intern sau extern, este o cerință în temeiul Regulamentului general privind protecția datelor (GDPR) pentru toate entitățile publice sau private care colectează, stochează și/sau prelucrează datele cu caracter personal ale unei persoane fizice. Responsabilul cu protecția datelor are o serie de competențe și un rol-cheie în asigurarea conformității companiei cu reglementările legale privind prelucrarea datelor cu caracter personal.

2. Inventariați toate datele pe care le prelucrează întreaga organizație, căutați temeiul legal al acetor prelucrări, apoi cartografiați-le. Pe baza registrului de procesare pe care l-ați înființat, trebuie să identificați acțiunile care trebuie întreprinse pentru a demonstra conformitata cu GDPR. După identificare, veți prioritiza acțiunile și punctele de atenție care prezintă riscuri pentru persoanele vizate de colectarea acestor date.

3. Evaluați riscurile! Întocmiți analize de risc. Unele dintre prelucrările de date cu caracter personal pe care le realizați sunt susceptibile să genereze riscuri mai mari pentru persoanele la care se referă. Prin urmare, trebuie să vă asigurați că aceste riscuri sunt gestionate în mod corespunzător și în conformitate cu contextul și reglementările în vigoare.

În unele cazuri, este necesară o

  • evaluare a impactului asupra protecției datelor (DPIA) sau
  • evaluare a impactului asupra vieții private (PIA).

Această analiză vă permite să vă asigurați că aceste riscuri sunt controlate în mod corespunzător. De remarcat faptul că o DPIA este obligatorie atunci când prelucrați așa-numitele date cu caracter personal „sensibile” (date medicale, date etnice etc.), ceea ce poate implica riscuri ridicate pentru drepturile și libertățile persoanelor la care se referă.

4. Inventariați măsurile tehnice și organizatorice care asigură confidențialitatea datelor. Pentru a asigura conformitatea optimă pe parcursul diferitelor etape ale prelucrării datelor, asigurați-vă că toate procedurile dvs. interne asigură că protecția datelor persoanelor vizate este luată în considerare. Procesele interne ar trebui să conțină, de asemenea, o componentă legată de evenimentele externe care pot apărea: încălcarea securității interne, breșă de securitate pe un site web sau o aplicație, gestionarea diferitelor solicitări de drepturi, colectarea consimțământului persoanelor vizate, etc.

5. Elaborați Politici și Proceduri operaționale pentru a asigura conformitatea, fiecare prelucrare de date ar trebui procedurată! Fiecare procedură de lucru trebuie să aibă componentă de prelucrare a datelor cu caracter personal. Drepturile persoanelor vizate sunt punctul de pornire in redactarea politicilor și a procedurilor.

6. Documentați-vă conformitatea. În cazul unui control al Autorității , va trebui să dovediți conformitatea cu GDPR în fiecare etapă a procesului de prelucrare a datelor. Toate acțiunile întreprinse și viitoare, precum și documentele referitoare la acestea trebuie să fie actualizate, complete și ușor accesibile.

Pasul 2 - Redactarea și implementarea documentației specifice GDPR-ului

După cum s-a menționat mai sus, trebuie să vă „documentați conformitatea” pentru a respecta Principiul Responsabilității. Pentru a respecta acest lucru, dosarul va trebui să includă trei categorii principale de documentație: 

1. Documentație privind prelucrarea datelor cu caracter personal

  • Registrul de prelucrare
  • LIA – demonstrarea interesului legitim pentru anumite prelucrări 
  • DPIA, pentru așa-numitele date sensibile care pot prezenta riscuri pentru persoanele vizate
  • Cadrul pentru transferurile în afara Uniunii Europene

2. Documentație privind informarea persoanelor fizice

  • Notificări de informare
  • Obținerea consimțământului persoanelor vizate
  • Proceduri de exercitare a drepturilor

3. Documentele juridice care definesc rolurile și responsabilitățile 

  • Contracte cu subcontractanții
  • Politicile și Procedurile interne, mai ales cele legate de Breșele de Securitate 
  • Dovada consimțământului persoanelor vizate (în cazul în care prelucrarea datelor se bazează pe acest temei juridic)
  • Dovada Instruirilor făcute angajaților 

Pasul 3 - Conformitatea prelucrării

1. Identificați toate prelucrările de date realizate in cadrul organizației

Persoana desemnată/departamentul din cadrul organizației cu prelucrarea de date trebuie să țină un registru actualizat al prelucrării datelor, indicând pentru fiecare dintre operațiunile de prelucrare:

  • scopul datelor colectate
  • numele și datele de contact ale operatorului de date
  • scopurile fiecărei prelucrări cu scop propriu
  • perioadele de păstrare a datelor
  • categoriile de persoane vizate

2. Asigurați-vă că prelucrarea datelor respectă principiile de prelucrare a datelor

Registru de prelucrare a datelor ar trebui să conțină și îndeplinirea principiilor de prelucrare: datele sunt necesare pentru scopurile pe care le-ați stabilit și, prin urmare, relevante; datele sunt clasificate cu atenție în funcție de natura lor pentru a adopta și întreprinde acțiuni de securitate adaptate riscurilor specifice legate de acestea (DPIA pe anumite categorii de date); datele sunt accesibile anumitor persoane, interne și/sau externe, cu un drept de acces specific și supravegheat; datele sunt stocate și arhivate cu un termen limită stabilit care specifică exact cât timp vor fi stocate

3. Informarea persoanelor vizate

De fiecare dată când colectați date, fie printr-un formular de pe site-ul dvs. web, printr-un serviciu online sau în timpul unei comunicări orale, trebuie să informați persoana vizată cu privire la condițiile de utilizare a datelor sale și la drepturile sale.

Conform art 13 GDPR trebuie să furnizați persoanei vizate următoarele informații: identitatea și datele de contact – atât ale operatorului cât și ale reprezentantului acestuia; datele de contact ale DPO-ului; scopurile pentru care prelucați aceste date precum și temeiul juridic al prelucrării; Interesele legitime pe care le urmăresc (ca operator sau ca terță parte); Care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal; Intenția dvs de a transfera aceste date către o terță persoană, aflată într-o altă țară și care sunt garanțiile pe care le oferiți cum că acest trasnfer este perfect legal și nu lezează interesele persoanei vizate.

Prelucrările care se bazează pe consimțământul persoanei vizate ar trebui să îndeplineasca condițiile de valabilitate. Astfel, consimțământul unei persoane trebuie să fie: liber exprimat, specific scopului pentru care a fost colectat, informat, poate fi retras.

4. Modalitatea prin care persoanle vizate își pot exercita drepturile

Toate părțile interesate (angajați, subcontractanți, furnizori de servicii, clienți, pacienți, elevi, etc .) ale unei organizații au drepturi asupra datelor lor. Prin urmare, este responsabilitatea operatorului de date să permită acestor persoane diferite să își exercite drepturile în cel mai simplu mod posibil:

Drepturi specifice: dreptul la acces p- ersoanele ale căror date au fost colectate și procesate au dreptul de a fi informate și de a solicita prestatorilor informații despre modul în care au fost prelucrate datele lor, unde au fost și în ce scop; dreptul la rectificare; dreptul de a fi uitat; dreptul la restricționarea prelucrării; dreptul de portabilitatea a datelor; dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, dreptul de a depune o plângere la Autoritate ANSPDCP.

Pasul 4 - Rolul DPO Data Consulting in managementul si implementarea unui proiect GDPR

Inființată înainte de intrarea în vigoare a GDPR-ului (Regulamentul european privind protecția datelor) , DPO Data Consulting vă poate ajuta să puneți în aplicare acțiunile și procesele care să permită organizației/companiei dvs. să se conformeze pe deplin GDPR. Cu instrumente, instruire și asistență adaptate nevoilor de prelucrare și protecție a datelor cu caracter personal ale companiei dvs. puteți beneficia de toată expertiza noastră.

Ca un adevărat partener în dezvoltarea dumneavoastră, înțelegem ce înseamnă costuri vs avantaje.

! Atenție ! Încălcarea securității datelor și a vieții private atrage sancținuni, de cele mai multe ori.

Solicită o cerere de ofertă

Call Now Button