Manual implementare GDPR – simplu, rapid și eficient

gdpr. amenda

Important: acest articol nu este actualizat cu toate documentele conținute de KIT GDPR Premium.  Vom încerca să actualizăm curând articolul, dar până atunci, lista completă a documentelor și procedurilor GDPR se regăsește aici. 

 

Scopul acestui manual de implementare GDPR este de a ajuta organizațiile să respecte prevederile GDPR utilizând KIT GDPR Premium LegalUp. Există mai multe soluții disponibile pentru implementarea GDPR în cadrul companiei dumneavoastră, însă metoda noastră este una eficientă și completă, structurată pe etape. incluzând atât documentația tehnică, cât și și organizatorică. 

Documentația este un factor important pentru demonstrarea conformității Organizației cu prevederile GDPR. Ea este solicitată de către autoritățile de supraveghere la fiecare investigație și pe bună dreptate: Cum poate o organizație care nu își ține în ordine politicile și procedurile de protecție a datelor să pretindă că asigură protecția datelor personale?

Pasul 1. Întocmirea planului de implementare  

Primul pas în procesul de implementare GDPR este organizarea.

1.1. Deschide cu încredere folderul 1. 

Vei găsi acolo un document denumit „Planul operatorului pentru conformarea la GDPR” unde se structurează, în funcție de priorități, acțiunile pe care trebuie să le întreprinzi pentru a respecta RGPD.

1.2. Creează-ți planul de implementare GDPR. Vei putea trece termene-limită pentru implementarea acțiunilor, vei putea trece rolurile și responsabilitățile persoanei/persoanelor responsabile în procedura de aliniere la prevederile RGPD.

Ar fi util ca, pe tot parcursul implementării, să ai Planul la îndemână pentru a ști ce anume s-a început, ce s-a finalizat și ce mai este de făcut.

 

 

Pasul 2. Audit 

Înainte de a începe implementarea ar trebui să știi unde te situezi. Este posibil să fi implementat deja o parte din proceduri.

Audit-ul unui specialist în protecția datelor este scump și, în majoritatea cazurilor, chiar dacă ai angajat un specialist, cea mai mare parte din muncă o faci singur.

Doar tu știi cum funcționează Organizația, de aceea:

2.1. Deschide „Folderul 2 – Audit” și răspunde la întrebările din „Chestionar audit protecția datelor cu caracter personal”.

Ulterior

2.2. Deschide documentul „Raport audit” și urmează instrucțiunile pentru a afla în ce stadiu te afli și care este gradul de conformare al companiei.  

 

 

Pasul 3. Cartografierea

Acest pas este foarte important și ar trebui parcurs cu multă atenție. El te va ajuta să implementezi corect și complet pașii următori, ca de exemplu completarea Registrelor Activităților de Prelucrare sau redactarea notelor de informare către persoanele vizate.

3.1. Începe prin a răspunde la chestionare pentru a conștientiza, printre altele, ce categorii de date prelucrezi, care sunt persoanele vizate, care sunt scopurile, care este temeiul legal cui transmiți datele, ce proceduri ai implementat sau trebuie să implementezi.

 

cartografierea

Utilizează cu încredere cele 8 chestionare structurate pe departamente din folderul 3.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

Pasul 4. Întocmirea Registrului activităților de prelucrare

Așa cum am precizat mai sus, întocmirea acestui registru este obligatorie pentru aproape toate Organizațiile din România. În funcție de calitatea ta, operator sau împuternicit sau ambele va trebui să ai un registru pentru fiecare calitate.

 

Ambele registre din KITul de implementare GDPR vin cu exemple de completare.

Dacă ai parcurs cu succes Pasul 3 din KIT GDPR, completarea registrului nu va fi dificilă, deoarece vei utiliza răspunsurile pe care le-ai dat deja la întrebările din chestionare. Registrele sunt în format excel.

Reține faptul că registrul trebuie revizuit periodic. Ar fi util să stabilești date pentru revizuire, ca de exemplu, de două ori pe an. Pe măsură ce afacerea evoluează sau se schimbă (de exemplu, adoptă noi tehnologii care pot avea impact asupra vieții private), noile procese trebuie trecute în registru. Păstrează și versiunile anterioare.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

Pasul 5. Înformarea persoanelor fizice

Clienții, angajații, candidații, voluntarii, vizitatorii pe site, reprezentații legale sau persoanele de contact din cadrul partenerilor comerciali etc – toți trebuie informaț icu privire la modalitatea în care le prelucrezi datele.

5.1. Deschide folderul 5 din KITul de implementare GDPR și completează notele de informare.

Am construit note de informare pentru majoritatea categoriilor de persoane vizate: angajați, candidați, clienți, vizitatori pe site, parteneri comerciali. Notele de informare sunt redactate de avocați specializați în protecția datelor și respectă cerințele GDPR și sunt construite utilizând un format stratificat și un limbaj ușor de înțeles. Ele sunt standardizate. 

dreptul la informare

După ce ai completat notele de informare, va trebui să informezi persoanele vizate, alegând canalul de comunicare (înmânarea documentului scris, comunicarea pe e-mail etc).

Ai nevoie de o notă de informare care nu se regăsește acolo? Scrie-ne la adresa de e-mail furnizată și ți-o vom trimite pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

 

Pasul 6. Obținerea consimțământului

În unele cazuri este obligatoriu să iei consimțământul. Deschide folderul 6 și acolo vei găsi șabloanele de consimțământ:

  • Formular consimțământ angajat;
  • Formular consimțământ client;
  • Formular consimțământ părinte pentru minor;
  • Formular consimțământ pacient;
  • Formular consimțământ explicit prelucrare date sensibile;
  • Formular consimțământ explicit transfer international;
  • Formular consimțământ marketing.

 

 

Ai nevoie de un formular care nu se regăsește mai sus? Scrie-ne la adresa de e-mail furnizată și ți-l vom trimite în scurt timp pe e-mail deoarece, ulterior, îl vom standardiza și îl vom include în KIT. 

 

Pasul 7. Respectă drepturile persoanelor vizate

În folderul 7 vei găsi documentul „Procedura privind respectarea drepturilor persoanelor vizate”. În fiecare companie trebuie să existe o astfel de procedură. În cele mai multe cazuri, existența unui control sau nu depinde de existența unei plângeri a unei persoane vizate. Utilizează „Registrul cererilor persoanelor vizate” pentru a documenta cererile în temeiul GDPR.

 

drepturi gdpr

 

Pasul 8. Încheie contracte cu furnizorii

În primul rând, trebuie să întocmești o listă cu toate organizațiile terțe cărora le transferi într-o formă sau alta date personale. Contabilitate, SSM, agenții de marketing, firme de recrutare, furnizori de servicii IT etc – toți sunt împuterniciți și tu ai obligația de a te asigura că ei respectă RGPD și de a încheia acorduri scrise cu ei.

GDPR cere ca operatorul să contracteze doar cu împuterniciții (furnizorii de servicii care au acces la date) care prezintă garanții că respectă GDPR. În folderul 8 vei găsi un chestionar prin care îl vei trimite împuterniciților pentru a verifica dacă respectă GDPR.

De asemenea, GDPR cere ca între operator și împuternicit să existe un contract scris. În folderul 8 vei găsi un astfel de contract.

8.1. Trimite chestionarul furnizorilor pentru a-i verifica

8.2. Încheie acordurile de prelucrare. 

 

 

Pasul 9. Încheie contracte cu partenerii comerciali

Pot exista situații în care partajezi date cu diverși parteneri comerciali din dorința de a oferi împreună un bun sau un serviciu. GDPR spune că trebuie să existe un contract pentru a stabili cine informează persoana vizată și cine răspunde la cererile de acces. În folderul 9 găsești un astfel de contract.

 

Pasul 10. Încheie contracte de confidențialitate

Datele cu caracter personal trebuie protejate și GDPR cere încheierea acordurilor de confidențialitate. Bazele de date și secretele comerciale trebuie, de asemenea, protejate. Noi am reușit prin acordurile de confidențialitate din Folderul 10 (Acord de confidențialitate angajat și Acord de confidențialitate partener comercial) să împușcăm doi iepuri dintr-un foc: protejarea afacerii (secrete comerciale și alte informații) și protecția datelor cu caracter personal.

 

 

Pasul 11. Prevenirea și managementul incidentelor de securitate

Procedurile din folderul 11 din KIT GDPR sunt necesare atât pentru respectarea GDPR, cât și pentru prevenirea și managementul adecvat al incidentelor de securitate.

 

 

Pasul 12. Interesul legitim

Există situații în care nu poți să iei consimțământul și nu te poți baza nici pe alt temei legal, așa că singura variantă rămâne interesul legitim. Dar pentru a utiliza interesul legitim, trebuie să afli dacă interesul Organizației prevalează asupra intereselor și drepturilor persoanelor fizice. În folderul 12 găsești analize ale interesului legitim:

  • Analiză interes legitim – supraveghere CCTV;
  • Analiză interes legitim – monitorizare GPS;
  • Analiză interes legitim standard – pentru a fi adaptată la alte situații.

Necesitatea unei analize a interesului legitim în situația supravegherii CCTV a fost introdusă de legiuitorul roman prin Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR de care trebuie să ținem cont în procesul de implementare GDPR.

Ai nevoie să păstrezi baza de date și vrei să mergi pe interes legitim? De exemplu, recrutezi sau organizezi evenimente? Scrie-ne la adresa de e-mail furnizată și îți vom trimite analiza în scurt timp pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT GDPR.

 

 

Pasul 13. Instruirea angajaților

Angajații trebuie să înțeleagă și să protejeze datele cu caracter personal. Cele mai multe incidente de securitate provin de la fapta angajatului, iar Organizația are obligația de a instrui corespunzător angajații. În folderul 13 găsești proceduri în relația cu angajații, documente prin care angajatul se oblige să respecte procedurile GDPR și Capitol ROI privind protecția datelor cu caracter personal.

 

Pasul 14. Securitatea. Politici tehnice și organizatorice

 

Am reușit să elaborăm, printr-o strânsă colaborare între juriști și experți în securitate cibernetică, următoarele Politici:

  • Politică Anti-Spam – pentru a ști cum să faci marketing care să respecte GDPR;
  • Politica de retenție – pentru a stabili termene-limită pentru stocarea datelor, așa cum cere RGPD;
  • Politica privind accesul la date – cum se face accesul la date pentru a se preveni accesul neautorizat;
  • Politica privind anonimizarea și pseudonimizarea – cum se anonimizează și pseudonimizează datele pentru a respecta GDPR;
  • Politică privind Securitatea informației – ce măsuri se vor întreprinde pentru a preveni incidentele de securitate;
  • Politica de ștergere – cum se șterg datele cu caracter personal de pe diver medii de stocare.

 

Folderul 15.  Responsabilul cu protecția datelor

Folderul 15 din KITul de implementare GDPR conține documentele necesare pentru desemnarea responsabilului cu protecția datelor.

 

 

 

Ce altceva mai este inclus în KIT-ul meu?

Kit-ul tău include

  • Un abonament de un an la actualizări gratuite
  • suport inclus la implementare

Kitul GDPR se găsește aici.































AFLĂ MAI MULTE!