Aici descoperim
dreptul tehnologiei

date-21.png

Zvonurile circulă cum că Moș Crăciun nu prea ar mai ajunge anul ăsta pe la noi, pentru că ar fi șters toată baza de date ca să respecte GDPR. Îngrijorați, i-am făcut o vizită week-end-ul ăsta. Nu ne-au descurajat nămeții și gerul de -20 grade. Moșul ne-a primit la el acasă și ne-a întâmpinat cu ciocolată caldă cu aromă de portocale și cozonac. S-a așezat resemnat la birou, ne-a arătat o foaie goală și a început să ne povestească:

– Dragii Moșului, sunt puțin derutat. Sunt un SRL cu un singur asociat, fără angajați. În cele din urmă, l-am numit pe Rudolph DPO…, începe moșul cu vocea răgușită.

– Înțelegem… Și totuși, noi vă așteptăm pe 24 seara.

– Când am auzit de GDPR, m-am speriat. Aveam mult prea multe date personale despre toți copiii. Spiridușii au venit de zor prin mai astă-vară și mi-au spus că datele cu caracter personal ale copiilor sunt date sensibile și că trebuie să cer consimțământul tuturor părinților. Dar cum să obțin eu consimțământul a câteva miliarde de oameni?

– Și ce ați făcut?

– Am șters, oftează Moș Crăciun.

– Ce anume ați șters?

– Toată baza de date… Spiridușii și Doamna Crăciun mi-au zis că nu există altă variantă. „Gata moșule, atât a fost. E vremea să te pensionezi…”. Doamna Crăciun spunea să mergem într-o vacanță în Caraibe că s-a săturat de atâta frig… Am fost într-o vacanță prelungită și m-am întors abia ieri că, cine știe, poate se mai poate face ceva.

– Dar Moșule, de ce ai mers pe consimțământ? Ai fi putut utiliza interesul legitim și era suficientă informarea. Pune spiridușii să îți scrie o notă de informare și o analiză a interesului legitim și ai grijă ca alături de jucării să lași și nota de informare.

– Unde scrie asta? întreabă curios Moșul.

– Art. 5 lit. d coroborat cu art. 13 din GDPR.

Moș Crăciun își cheamă spiridușii și se pun să studieze Regulamentul și ghidurile Grupului de Lucru Art. 29. După o oră, Moșul e lămurit:

– La treabă, spiriduși! Analiză a interesului legitim și notă de informare. Ne pregătim pentru Crăciun! Unde e responsabilul cu protecția datelor? Ruuudooolph??

Apare Rudolph.

– Rudolph, recuperează toată baza de date. Te-am numit DPO, tu te ocupi de asta!

Rudolph zâmbește ștrengar:

– Eu nu primesc ordine, sunt independent!

 

Moș Crăciun deschide laptopul și dă câteva telefoane. Adaugă apoi:

– Văd că ai fost cuminte anul ăsta…

-Dar Moșule, ai zis că ai șters…

-Are Moșul backup.

 

 


llave-seguridad-teclado.jpg

Întrebarea importantă în ceea ce privește GDPR, domeniul de aplicare a amenzilor, modul de calculare a acestora și modul de reducere a riscurilor este: Care sunt noile amenzi pentru încălcarea protecției datelor personale?

Regulamentul UE privind confidențialitatea prevede amenzi:

  • Până la 10 milioane EURO sau 2% din cifra de afaceri globală din anul precedent în cazul încălcării obligațiilor referitoare, printre altele, la
  • Implementarea confidențialității prin design și a securității prin design, precum și realizarea unei evaluări a riscurilor protecției datelor în cazul noilor tehnologii, cum ar fi Internet of Things,
  • Înregistrarea activităților de prelucrare a datelor,
  • Obligațiile principale ale împuternicitului,
  • Notificarea în cazul încălcării datelor și
  • Numirea unui responsabil cu protecția datelor (atunci când este necesar);

și

  • Până la 20 milioane EUR sau 4% din cifra de afaceri globală a anului precedent în cazul încălcării obligațiilor referitoare, printre altele, la
  • Principiile de bază ale prelucrării datelor, inclusiv condițiile aplicabile consimțământului,
  • Drepturile persoanelor, cum ar fi dreptul de acces, dreptul de a fi uitat și dreptul la portabilitatea datelor și
  • Transferul de date cu caracter personal în afara Spațiului Economic European, care va fi esențial în lumina Privacy Shield, care a fost acceptat în vederea transferului de date către Statele Unite.

 

Particularitatea amenzilor de mai sus este faptul că nu stabilesc o sumă minimă pentru fiecare încălcare și acest lucru va acorda o mai mare flexibilitate autorităților de supraveghere în stabilirea amenzilor corespunzătoare. Cu toate acestea, lumea se așteaptă ca această abordare să ducă la pornirea unor litigii privind cuantumul amenzilor.

 

Pe ce se bazează calculul procentului de amendă? Conceptul de întreprindere

GDPR prevede că amenzile se impun unei “întreprinderi”, iar Grupul de lucru Articolul 29, în instrucțiunile sale, a clarificat că noțiunea de întreprindere este prevăzută de CJUE în scopul aplicării articolelor 101 și 102 din TFUE și trebuie interpretată în în conformitate cu legislația și jurisprudența UE.

“O întreprindere trebuie înțeleasă ca fiind unitatea economică, care se angajează în activități comerciale/economice, indiferent de persoana juridică implicată”.

Problema nu este analizată în detaliu de Grupul de lucru Articolul 29, însă definiția întreprinderii este un concept al dreptului concurenței. Utilizăm cazuri din domeniul concurenței pentru a da indicații clienților cu privire la nivelul real al expunerii la riscuri, care poate fi declanșat de amenzile prevăzute de GDPR. Din cele de mai sus rezultă că:

  • Amenzile ar putea să nu fie calculate doar pe baza cifrei de afaceri a entității juridice care a încălcat legea sau a operatorului/împuternicitului, dar ar putea fi determinate luând în considerare toate entitățile implicate în activitatea investigată;
  • Consecința concluziei de mai sus este faptul că o integrare puternică a infragrupurilor în chestiuni expuse amenzilor pentru încălcarea confidențialității, cum ar fi crearea unui departament centralizat de marketing sau de resurse umane care deservește întregul grup, ar putea crește riscul de calculare a amenzilor pe cifra de afaceri a întregul grup sau extins la mai multe entități ce aparțin grupului;
  • Reorganizarea grupului, în special în cadrul întreprinderilor care se bazează în mod considerabil pe exploatarea unor cantități mari de date cu caracter personal, ar trebui evaluată, pentru a limita expunerea întregului grup la riscurile privind viața privată ; și
  • Ar trebui să se verifice dacă un singur DPO care asigură respectarea legislației privind confidențialitatea în cadrul grupului poate să asigure un control deplin asupra strategiei de confidențialitate a tuturor filialelor sau dacă poate crește riscul unui efect domino în cadrul grupului în cazul unei încălcări a protecției datelor.

Care sunt criteriile de calcul al amenzilor?

GDPR prevede că amenzile aplicabile sunt:

  • Efective
  • Proporționale și
  • Disuasive (de exemplu, dacă o întreprindere este mare, probabil se va confrunta cu amenzi mai mari decât un start-u, pentru aceeași încălcare).

Aceste amenzi se stabilesc în funcție de natura, gravitatea și durata încălcării, ținând seama, printre altele, de:

  • Numărul persoanelor afectate și prejudiciile suferite de acestea;
  • Scopul prelucrării contestate;
  • Nivelul prejudiciilor suferite de persoanele fizice;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă pentru diminuarea prejudiciilor suferite de persoanele fizice;
  • Implementarea măsurilor organizatorice de confidențialitate prin design și securitate prin design care, în consecință, devin instrumente eficiente, de asemenea, menite să diminueze cuantumul amenzilor în cazul sancțiunilor emise;
  • Orice încălcări anterioare relevante ale operatorului sau împuternicitului, adică istoricul întreprinderii reclamate, vor avea importanță;
  • Gradul de cooperare cu autoritatea de supraveghere, pentru a remedia încălcarea și pentru a atenua posibilele efecte negative ale încălcării;

Despre ce sume este vorba?

Este interesant faptul că până în prezent, una dintre cele mai mari amenzi emise în Uniunea Europeană pentru încălcarea confidențialității a fost de 1 milion de euro, împotriva Google pentru datele colectate prin serviciul Street View, urmată recent de amenda de 11 milioane euro emisă de autoritatea de supraveghere italiană. Însă, în cadrul regimului stabilit de GDPR, Google s-ar putea confrunta cu o amendă de până la 2,9 miliarde de dolari.

 

Te-ar putea interesa și:

Există și alte motive de îngrijorare?

Noile amenzi se aplică în plus față de:

  • Pretențiile împotriva companiilor, ale persoanelor care au fost victimele unei încălcări a securității datelor sau ale unei prelucrări ilegale;
  • Pretențiile împotriva directorilor companiei și a directorilor de departamente juridice sau de protecție a datelor, de la acționari, deoarece amenzile de asemenea dimensiuni, lipsa implementării tuturor măsurilor necesare pentru a asigura conformitatea poate fi considerată o neglijență majoră;
  • ordine de ștergere a datelor cu caracter personal prelucrate în mod ilegal, care ar putea provoca pagube majore întreprinderilor din domeniile bazate considerabil pe prelucrarea de date; și
  • potențiale sancțiuni penale impotriva directorilor companiei sau a directorilor de departamente juridice sau de protecție a datelor, răspunzători pentru încălcare, în țările în care sunt emise sancțiuni penale pentru încalcarea vieții private (spre exemplu, Italia).

Principiul responsabilității este o “armă” suplimentară

GDPR prevede principiul responsabilității, care pune obligația de a demonstra respectarea GDPR în sarcina părții investigate, ceea ce face ca poziția acesteia din urmă să fie și mai delicată. Punerea în aplicare a politicilor și a procedurilor în vederea respectării cerințelor GDPR de către angajați și partenerii lor va deveni crucială.

Este timpul pentru o revoluție culturală?

Asemenea amenzi vor obliga companiile să considere respectarea vieții private ca nefiind mai “plăcută”. Până în prezent, în unele cazuri datele sunt stocate mulți ani sau pe o perioadă nedeterminată de timp, însă acestea ar putea pune în pericol întreaga companie, deoarece prelucrarea ilegală poate declanșa amenzi imense.

Prin urmare, este necesar să se efectueze un audit al datelor prelucrate în prezent pentru a se asigura, printre altele, că datele au fost colectate în conformitate cu legislația privind confidențialitatea, că au fost păstrate pe perioada prevăzută de lege și că nu au fost utilizate în alte scopuri decât cele pentru care a fost obținut consimțământul.

GDPR este în vigoare și se va aplica datelor colectate de companie în prezent și în trecut.

De asemenea, aplicându-se amenzi atât de mari, chiar și directorii s-ar putea alege cu datorii, dacă nu adoptă nicio măsură pentru a asigura respectarea confidențialității.

https://www.lexology.com/library/detail.aspx?g=cd8ee5ef-9b38-41ba-828e-f9c200e280ca&fbclid=IwAR2MVzC0_5OTheC17NEeXYalDC285zkYI4vfgKAYzG0kQ1XPiSpUaNjLqg8

 


Copy-of-Câteva-sute-de-companii-din-România-au-ales-să-implementeze-GDPR-inteligent-7-1200x675.png

Investigații GDPR. 10 Lucruri pe care trebuie să le știi despre controalele GDPR.

Nota Ruxandrei Sava, CIPP/E

Dragă cititorule, 

Eu știu că timpul este important pentru tine, așadar, prin acest articol mi-am propus să îți prezint, într-un limbaj simplu și ușor de înțeles, lucrurile care te interesează cu adevărat despre modalitatea în care se vor desfășura investigațiile GDPR.

Îți mulțumesc pentru aprecierile tale,

Ruxandra Sava,

CIPP/E

 

Descarcă procedura desfășurării investigației GDPR de aici

 

1.Investigații GDPR. Cine le desfășoară?

Investigațiile GDPR sunt desfășurate de către ANSPDCP (Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal), prin personalul său de control.

2. Cum pot ajunge să fiu investigat de ANSPDCP?

Există două căi prin care ANSPDCP poate decide să efectueze un control cu privire la conformitatea activităților tale de prelucrare a datelor cu caracter personal, și anume:

  • a fost depusă o plângere;

Cu alte cuvinte, atunci când o persoană fizică, nemulțumită de felul în care i se prelucrează datele, depune o plângere împotriva ta, ANSPDCP, în situația în care constată că respectiva plângere este întemeiată, va decide efectuarea unei investigații. De aceea este foarte important să ne asigurăm că respectăm drepturile tuturor persoanelor vizate.

Mai multe despre drepturile persoanei vizate poți citi aici:

Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

Dreptul la opoziție al persoanei vizate

Dreptul la restricționarea prelucrării

Dreptul la portabilitatea datelor 

Dreptul la rectificare al persoanei vizate

De asemenea, proceduri pentru asigurarea respectării drepturilor persoanelor vizate găsești aici.

  • ANSPDCP s-a sesizat din oficiu

Mai exact, chiar în absența unei plângeri, ANSPDCP poate desfășura o investigație în firma ta atunci când a obținut date și informații (art. 5 din Decizie) din surse cum ar fi:

– corespondenţa primită de ANSPDCP;

– mass-media;

– accesarea reţelei de internet;

De exemplu, ANSPDCP poate intra pe site-ul tău și descoperi faptul că nu ai implementat cerințele obligatorii, precum informarea utilizatorilor privind modulele cookie, acordul pentru marketing sau informarea vizitatorilor privind prelucrarea datelor cu caracter personal. Acest lucru poate da naștere unei investigații GDPR.

De exemplu, în anii trecuți, ANSPDCP a amendat diverse companii care dețineau site-uri și acestea nu aveau implementate procedurile GDPR. Potrivit statisticilor, cele mai multe amenzi s-au luat pentru nerespectarea obligației de informare, aceasta fiind și cel mai ușor de verificat. Află aici  cum trebuie să faci ca informarea să corespundă standardelor GDPR.

-documentele de constatare întocmite în urma efectuării altor investigaţii GDPR sau alte documente de la nivelul ANSPDCP;

De exemplu, dacă ANSPDCP desfășoară un control la un partener comercial este posibil să ajungă, pe acestă cale, și la tine.

-activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate

-alte surse.

Decizia nu menționează celelalte surse, lăsând a se înțelege că ANSPDCP are libertatea de a culegere informațiile de oriunde 🙂

3. Voi înștiințat cu privire la investigație?

Da și nu. Depinde. Potrivit Deciziei, investigaţiile pot fi efectuate cu înştiinţarea ta sau se pot desfăşura inopinat, fără anunţarea în prealabil.

4. Cum se desfășoara investigația? Se deplasează la mine, mă duc la ei la sediu sau în scris?

Potrivit Deciziei, investigațiile se pot desfășura:

-pe teren;

Decizia prevede, printre altele, că inspectorii ANSPDCP:

  • se deplasează la sediul  sediul/domiciliul/punctul de lucru sau alte locaţii;
  • prezintă legitimația de control;
  • prezintă obiectivele investigației;
  • verifică aspectele ce au legătură cu obiectivul investigației;
  • verifică orice document, echipament, mijloc sau suport de stocare a datelor;
  • ridică documentelor, în copie certificată de către entitatea controlată, sau a înregistrărilor relevante care au legătură cu obiectul controlului şi anexarea acestora
    la procesul-verbal de constatare/sancţionare;
  • întocmirea procesului-verbal de constatare/sancţionare;
  • aplicarea sancţiunii amenzii în situaţia în care cuantumul acesteia nu depăşeşte echivalentul în lei al sumei de 300.000 euro. Amenzile mai mari de 300.000 euro se dau de președintele ANSPDCP;
  •  înmânează o copie procesului-verbal de constatare/sancţionare.

Sfat: Asigură-te că ai dosarul cu proceduri GDPR, semnat de conducere și de personal și pus în ordine. Cum ar putea organizație care nu e în stare să își țină în ordine politicile și procedurile GDPR, să protejeze datele cu caracter personal? Dacă nu ai procedurile, le găsești aici.

Ce se întâmplă dacă împiedic accesul personalului de control?

În situaţia în care personalul de control este împiedicat în orice mod în exercitarea atribuţiilor, ANSPDCP poate solicita autorizarea judiciară, dată prin încheiere de către preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta, în condiţiile legii.

Ar mai trebui să știi că, în toate situaţiile investigaţia nu poate începe înainte de ora 8,00 şi nu poate continua după ora 18,00 şi trebuie efectuată în prezenţa persoanei la care se efectuează investigaţia sau a reprezentantului său. Investigaţia poate continua şi după ora 18,00 numai cu acordul persoanei la care se efectuează aceasta sau a reprezentantului său.

De asemenea,  personalul de control poate audia persoanele ale căror declaraţii sunt considerate relevante şi necesare desfăşurării investigaţiei. Audierea se consemnează într-o notă de audiere.

În cadrul efectuării investigaţiilor, personalul de control poate propune printr-o notă, avizată/semnată de şeful ierarhic şi aprobată de preşedintele ANSPDCP/înlocuitorul acestuia, efectuarea de expertize, în condiţiile legii. De exemplu, în situația în care este nevoie de o expertiză informatică.

-la sediul ANSPDCP;

Investigațiile GDPR mai pot fi desfășurate și la sediul ANSPDCP. În acest sens, primești o adresă de convocare cu precizarea datei şi orei de începere a investigaţiei GDPR la sediul ANSPDCP. În adresă se menţionează obligaţia de a te prezenta la sediul ANSPDCP, după caz, cu documente, înregistrări relevante, echipamente informatice (dacă e cazul), actele de identitate ale reprezentantului legal/persoanei împuternicite şi ale entităţii controlate, inclusiv cu ştampila în cazul autorităţilor publice şi registrul de control, dacă este cazul.

-în scris

Întrucât este modalitatea cea mai puțin costisitoare, va fi probabil cea preferată de ANSPDCP. În acest sens, primești o adresă prin care ți se solicită ca într-un anumit termen să comunici informațiile și documentele necesare. În funcție de informațiile și documentele primite, se poate decide continuarea investigației în scris sau pe teren, sau se poate decide finalizarea investigaţiei prin încheierea procesului-verbal de constatare/sancţionare la sediul ANSPDCP.

5. Ce obligații am în eventualitatea unei investigații GDPR?

În cadrul investigaţiei, ai, în principal, următoarele obligaţii:

a)să permiți inespectorilor să înceapă și să deruleze investigația, fără a-i stânjeni în vreun fel;
b)să asiguri accesul personalului de control orice echipament, mijloc sau suport de prelucrare/stocare a datelor;
c)să pui la dispoziţia personalului de control orice informaţii şi documente indiferent de suportul de stocare, necesare desfăşurării investigaţiei, inclusiv copii de pe acestea;
d)să pui la dispoziţia ANSPDCP documentele solicitate, certificate pentru conformitate cu originalul;
e)să furnizezi într-o formă completă documentele, informaţiile, înregistrările şi evidenţele solicitate, precum şi orice lămuriri necesare, fără a putea opune caracterul
confidenţial al acestora, în condiţiile legii;
f)să permiți personalului de control utilizarea echipamentelor de înregistrare şi stocare audiovideo/foto ori de câte ori echipa de control consideră că este necesar în cadrul derulării activităţii de control.

 

Te-ar putea interesa și cum să implementezi GDPR corect. 

 

6. Ce sancțiuni pot primi? 

Sancțiunile principale sunt avertismentul sau amenda.

Atunci când se decide dacă se va impune o amendă și dacă da, cuantumul acesteia, se iau în calcul următoarele aspecte:

  • gravitatea încălcării;
  • dacă încălcarea a fost comisă intenționat sau din culpă;
  • acțiunile întreprinse de tine pentru pentru a reduce prejuciul;
  • gradul de responsabilitate, ținându-se seama de măsurile tehnice și organizatorice implementate, precum politici de securitate, proceduri pentru respectarea drepturilor, transferuri de date, managementul incidentelor de securitate etc. Măsurile care ar trebui să existe se găsesc aici.
  • încălcările anterioare;
  • gradul de cooperare cu ANSPDCP;
  • categoriile de date afectate, dacă este vorba de date obișnuite sau date sensibile;
  • orice alt factor agravant sau atenuat.

Sfat: Așa cum orice suspect în cazul unui investigații penale (vinovat sau nevinovat) ar trebui să își ia un avocat ca să îl apere, poate nu ar fi o idee rea să apelezi la un avocat cu experiență care să te apere pe parcursul investigației. Pe noi ne găsești aici 

7. Ce trebuie să conțină procesul-verbal?

Sub sancțiunea nulității absolute, procesul-verbal emis în urma unei investigații GDPR trebuie să conțină:

a) data şi locul încheierii procesului-verbal de constatare/sancţionare;
b) datele de identificare şi funcţiile membrilor echipei de control, inclusiv numărul legitimaţiei de control;
c) numărul şi data deciziei de împuternicire emise de preşedintele ANSPDCP şi, după caz, numărul şi data împuternicirii pentru investigaţiile efectuate pe teren şi neanunţate în prealabil în scris;
d) obiectul controlului;
e) datele de identificare ale entităţii controlate;
f) datele de identificare şi funcţiile reprezentanţilor entităţii controlate;
g) constatările rezultate în urma verificărilor efectuate;
h) descrierea faptei contravenţionale, cu indicarea datei şi locului în care a fost săvârşită fapta, a împrejurărilor ce pot servi la aprecierea gravităţii faptei şi, eventual, a pagubelor, a actului normativ prin care se stabileşte şi se sancţionează contravenţia, precum şi a măsurilor corective şi/sau a sancţiunii aplicate, dacă este cazul;
i) termenul de exercitare a căii de atac şi instanţa la care se depune plângerea, în cazul aplicării unei sancţiuni contravenţionale;
j) dacă s-au ridicat documente sau alte materiale, felul şi natura acestora;
k) dacă reprezentanţii entităţii controlate, care au participat la activitatea de control, au refuzat să consemneze obiecţiunile cu privire la conţinutul procesului-verbal de constatare/sancţionare, după ce le-a fost adus la cunoştinţă acest drept;
l) menţiuni privind înmânarea/comunicarea procesului-verbal de constatare/sancţionare, în copie, reprezentanţilor entităţii controlate;
m) motivele pentru care reprezentanţii entităţii controlate nu au semnat procesul-verbal de constatare/sancţionare, cu indicarea datelor de identificare a martorului care atestă motivele nesemnării procesului-verbal, în cazul în care acesta există, sau a motivelor care au condus la întocmirea procesului-verbal în lipsa unui martor.

 

Te-ar putea interesa și: 

 

8. Cum pot ataca în justiție procesul – verbal?

În termen de 15 zile de la data înmânării sau comunicării procesului-verbal emis în urma unei investigații GDPR, poți introduce contestație la Secția de contencios administrativ a tribunalului competent.

9. Ce se întâmplă dacă nu achit amenda în 15 zile?

Dacă nu faci dovada achitării amenzii în termen de 15 zile de la data înmânării sau comunicării procesului-verbal, vei fi executat silit de către organele de executare silită potrivit legii.

10. Pot fi amendat doar prin proces-verbal?

Nu. Dacă amenda este mai mică de 300.000 EURO, atunci aplicarea amenzii în urma unei investigații GDPR se va face prin procesul verbal încheiat de către inspectori.

Dacă amenda este mai mare de 300.ooo EURO, aplicarea amenzii în urma unei investigații GDPR se va face de către președintele ANSPDPC, prin Decizie, pe baza procesului-vernal încheiat de către inspectori.

De asemenea se poate dispune aplicarea unei amenzi cominatorii de până la 3.000 lei pentru fiecare zi de întârziere, în cazul în care nu te conformezi respectării măsurilor corective aplicate în urma unei investigații GDPR sau refuzi să pui la dispoziție documentele și informațiile solicitate.

 


privacy-10x10-FB-1200x1200.jpg

Scopul acestui manual de implementare GDPR este de a ajuta organizațiile să respecte prevederile GDPR utilizând KIT GDPR Premium LegalUp. Există mai multe soluții disponibile pentru implementarea GDPR în cadrul companiei dumneavoastră, însă metoda noastră este una eficientă și completă, incluzând atât documentația tehnică, cât și cea juridică și organizatorică.

Documentația este un factor important pentru demonstrarea conformității Organizației cu prevederile GDPR. Ea este solicitată de către autoritățile de supraveghere la fiecare investigație și pe bună dreptate: Cum poate o organizație care nu își ține în ordine politicile și procedurile de protecție a datelor să pretindă că asigură protecția datelor personale?

Cum încep implementarea GDPR?

După de ai achiziționat KIT GDPR Premium, vei putea începe implementarea GDPR. KIT GDPR Premium vine cu suport inclus nelimitat pe e-mail timp de 12 luni. 

 

Pasul 1. Întocmirea planului de implementare  

Primul pas în procesul de implementare GDPR este organizarea.

1.1. Deschide cu încredere folderul 1. 

 

Vei găsi acolo un document denumit „Planul operatorului pentru conformarea la GDPR” unde se structurează, în funcție de priorități, acțiunile pe care trebuie să le întreprinzi pentru a respecta RGPD.

1.2. Creează-ți planul de implementare GDPR. Vei putea trece termene-limită pentru implementarea acțiunilor, vei putea trece rolurile și responsabilitățile persoanei/persoanelor responsabile în procedura de aliniere la prevederile RGPD.

Ar fi util ca, pe tot parcursul implementării, să ai Planul la îndemână pentru a ști ce anume s-a început, ce s-a finalizat și ce mai este de făcut.

CUMPARĂ KIT

 

 

Pasul 2. Audit 

Înainte de a începe implementarea ar trebui să știi unde te situezi. Este posibil să fi implementat deja o parte din proceduri.

Audit-ul unui specialist în protecția datelor este scump și, în majoritatea cazurilor, chiar dacă ai angajat un specialist, cea mai mare parte din muncă o faci singur.

Doar tu știi cum funcționează Organizația, de aceea:

2.1. Deschide „Folderul 2 – Audit” și răspunde la întrebările din „Chestionar audit protecția datelor cu caracter personal”.

Ulterior

2.2. Deschide documentul „Raport audit” și urmează instrucțiunile pentru a afla în ce stadiu te afli și care este gradul de conformare al companiei.  

 

 

Cumpără acum

 

Pasul 3. Cartografierea

Acest pas este foarte important și ar trebui parcurs cu multă atenție. El te va ajuta să implementezi corect și complet pașii următori, ca de exemplu completarea Registrelor Activităților de Prelucrare sau redactarea notelor de informare către persoanele vizate.

3.1. Începe prin a răspunde la chestionare pentru a conștientiza, printre altele, ce categorii de date prelucrezi, care sunt persoanele vizate, care sunt scopurile, care este temeiul legal cui transmiți datele, ce proceduri ai implementat sau trebuie să implementezi.

 

cartografierea

Utilizează cu încredere cele 8 chestionare structurate pe departamente din folderul 3.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

CUMPARĂ KIT

 

Pasul 4. Întocmirea Registrului activităților de prelucrare

Așa cum am precizat mai sus, întocmirea acestui registru este obligatorie pentru aproape toate Organizațiile din România. În funcție de calitatea ta, operator sau împuternicit sau ambele va trebui să ai un registru pentru fiecare calitate.

 

Ambele registre din KITul de implementare GDPR vin cu exemple de completare.

Dacă ai parcurs cu succes Pasul 3 din KIT GDPR, completarea registrului nu va fi dificilă, deoarece vei utiliza răspunsurile pe care le-ai dat deja la întrebările din chestionare. Registrele sunt în format excel.

Reține faptul că registrul trebuie revizuit periodic. Ar fi util să stabilești date pentru revizuire, ca de exemplu, de două ori pe an. Pe măsură ce afacerea evoluează sau se schimbă (de exemplu, adoptă noi tehnologii care pot avea impact asupra vieții private), noile procese trebuie trecute în registru. Păstrează și versiunile anterioare.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

VREAU KIT-UL

 

 

Pasul 5. Înformarea persoanelor fizice

Clienții, angajații, candidații, voluntarii, vizitatorii pe site, reprezentații legale sau persoanele de contact din cadrul partenerilor comerciali etc – toți trebuie informaț icu privire la modalitatea în care le prelucrezi datele.

5.1. Deschide folderul 5 din KITul de implementare GDPR și completează notele de informare.

Am construit note de informare pentru majoritatea categoriilor de persoane vizate: angajați, candidați, clienți, vizitatori pe site, parteneri comerciali. Notele de informare sunt redactate de avocați specializați în protecția datelor și respectă cerințele GDPR și sunt construite utilizând un format stratificat și un limbaj ușor de înțeles. Ele sunt standardizate. 

dreptul la informare

După ce ai completat notele de informare, va trebui să informezi persoanele vizate, alegând canalul de comunicare (înmânarea documentului scris, comunicarea pe e-mail etc).

Ai nevoie de o notă de informare care nu se regăsește acolo? Scrie-ne la adresa de e-mail furnizată și ți-o vom trimite pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

Cumpără acum

 

Pasul 6. Obținerea consimțământului

În unele cazuri este obligatoriu să iei consimțământul. Deschide folderul 6 și acolo vei găsi șabloanele de consimțământ:

  • Formular consimțământ angajat;
  • Formular consimțământ client;
  • Formular consimțământ părinte pentru minor;
  • Formular consimțământ pacient;
  • Formular consimțământ explicit prelucrare date sensibile;
  • Formular consimțământ explicit transfer international;
  • Formular consimțământ marketing.

 

 

Ai nevoie de un formular care nu se regăsește mai sus? Scrie-ne la adresa de e-mail furnizată și ți-l vom trimite în scurt timp pe e-mail deoarece, ulterior, îl vom standardiza și îl vom include în KIT. 

CUMPARĂ KIT

 

Pasul 7. Respectă drepturile persoanelor vizate

În folderul 7 vei găsi documentul „Procedura privind respectarea drepturilor persoanelor vizate”. În fiecare companie trebuie să existe o astfel de procedură. În cele mai multe cazuri, existența unui control sau nu depinde de existența unei plângeri a unei persoane vizate. Utilizează „Registrul cererilor persoanelor vizate” pentru a documenta cererile în temeiul GDPR.

 

drepturi gdpr

 

Pasul 8. Încheie contracte cu furnizorii

În primul rând, trebuie să întocmești o listă cu toate organizațiile terțe cărora le transferi într-o formă sau alta date personale. Contabilitate, SSM, agenții de marketing, firme de recrutare, furnizori de servicii IT etc – toți sunt împuterniciți și tu ai obligația de a te asigura că ei respectă RGPD și de a încheia acorduri scrise cu ei.

GDPR cere ca operatorul să contracteze doar cu împuterniciții (furnizorii de servicii care au acces la date) care prezintă garanții că respectă GDPR. În folderul 8 vei găsi un chestionar prin care îl vei trimite împuterniciților pentru a verifica dacă respectă GDPR.

De asemenea, GDPR cere ca între operator și împuternicit să existe un contract scris. În folderul 8 vei găsi un astfel de contract.

8.1. Trimite chestionarul furnizorilor pentru a-i verifica

8.2. Încheie acordurile de prelucrare. 

 

Cumpără acum

 

Pasul 9. Încheie contracte cu partenerii comerciali

Pot exista situații în care partajezi date cu diverși parteneri comerciali din dorința de a oferi împreună un bun sau un serviciu. GDPR spune că trebuie să existe un contract pentru a stabili cine informează persoana vizată și cine răspunde la cererile de acces. În folderul 9 găsești un astfel de contract.

 

Pasul 10. Încheie contracte de confidențialitate

Datele cu caracter personal trebuie protejate și GDPR cere încheierea acordurilor de confidențialitate. Bazele de date și secretele comerciale trebuie, de asemenea, protejate. Noi am reușit prin acordurile de confidențialitate din Folderul 10 (Acord de confidențialitate angajat și Acord de confidențialitate partener comercial) să împușcăm doi iepuri dintr-un foc: protejarea afacerii (secrete comerciale și alte informații) și protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

 

Pasul 11. Prevenirea și managementul incidentelor de securitate

Procedurile din folderul 11 din KIT GDPR sunt necesare atât pentru respectarea GDPR, cât și pentru prevenirea și managementul adecvat al incidentelor de securitate.

 

 

Cumpără acum

Pasul 12. Interesul legitim

Există situații în care nu poți să iei consimțământul și nu te poți baza nici pe alt temei legal, așa că singura variantă rămâne interesul legitim. Dar pentru a utiliza interesul legitim, trebuie să afli dacă interesul Organizației prevalează asupra intereselor și drepturilor persoanelor fizice. În folderul 12 găsești analize ale interesului legitim:

  • Analiză interes legitim – supraveghere CCTV;
  • Analiză interes legitim – monitorizare GPS;
  • Analiză interes legitim standard – pentru a fi adaptată la alte situații.

Necesitatea unei analize a interesului legitim în situația supravegherii CCTV a fost introdusă de legiuitorul roman prin Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR de care trebuie să ținem cont în procesul de implementare GDPR.

Ai nevoie să păstrezi baza de date și vrei să mergi pe interes legitim? De exemplu, recrutezi sau organizezi evenimente? Scrie-ne la adresa de e-mail furnizată și îți vom trimite analiza în scurt timp pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT GDPR.

 

 

Cumpără acum

Pasul 13. Instruirea angajaților

Angajații trebuie să înțeleagă și să protejeze datele cu caracter personal. Cele mai multe incidente de securitate provin de la fapta angajatului, iar Organizația are obligația de a instrui corespunzător angajații. În folderul 13 găsești proceduri în relația cu angajații, documente prin care angajatul se oblige să respecte procedurile GDPR și Capitol ROI privind protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

Pasul 14. Securitatea. Politici tehnice și organizatorice

 

Am reușit să elaborăm, printr-o strânsă colaborare între juriști și experți în securitate cibernetică, următoarele Politici:

  • Politică Anti-Spam – pentru a ști cum să faci marketing care să respecte GDPR;
  • Politica de retenție – pentru a stabili termene-limită pentru stocarea datelor, așa cum cere RGPD;
  • Politica privind accesul la date – cum se face accesul la date pentru a se preveni accesul neautorizat;
  • Politica privind anonimizarea și pseudonimizarea – cum se anonimizează și pseudonimizează datele pentru a respecta GDPR;
  • Politică privind Securitatea informației – ce măsuri se vor întreprinde pentru a preveni incidentele de securitate;
  • Politica de ștergere – cum se șterg datele cu caracter personal de pe diver medii de stocare.

 

Cumpără acum

Folderul 15.  Responsabilul cu protecția datelor

Folderul 15 din KITul de implementare GDPR conține documentele necesare pentru desemnarea responsabilului cu protecția datelor.

 

 

 

Ce altceva mai este inclus în KIT-ul meu?

Kit-ul tău include

  • Un abonament de un an la actualizări gratuite
  • Suport nelimitat pe e-mail timp de 12 luni la implementarea documentelor.

 

VREAU KIT-UL


arhive-investigatii-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord