Implementarea GDPR în 5 pași

Regulamentul General privind Protecția Datelor Personale (sau GDPR) și-a produs deja efectele începând cu data de 25 mai 2018. Aceasta este prima încercare de a proteja datele personale în noua eră cibernetică, în condițiile în care spam-urile au explodat, iar infracționalitatea informatică este la un nivel fără precedent. Acest aspect ne afectează indiferent că suntem utilizatori fizici, societăți din domeniul ospitalier sau instituții de stat.

Măsurile de implementare a noului Regulament implică unele costuri inițiale pentru companii, prin numirea unei persoane responsabile, evaluarea efectelor procesării datelor și conceperea unor procese care să asigure protecția datelor.

Toate datele clienților și vizitatorilor sunt considerate date cu caracter personal: nume, date din cărțile de identitate, adrese de e-mail sau de domiciliu, înregistrări video, istoricul și comportamentul de consum în cadrul programelor de fidelizare.

Cum implementăm în activitatea practică noile reguli reprezintă o chestiune delicată, care diferă de la caz la caz, dar, în genere, trebuie avuți în vedere următorii pași concreți:

1. INVENTARIAÈšI DATE ȘI DOCUMENTE

Prima acțiune pe care trebuie să o faceți constă în evaluarea impactului Regulamentului, prin identificarea problemelor și vulnerabilităților societății dumneavoastră. Astfel, aveți nevoie să știți:

• ce date cu caracter personal dețineți și unde sunt ele localizate
• de unde provin aceste date cu caracter personal și cine are acces la ele
• care sunt vulnerabilitățile sistemului de date și cum pot fi ele protejate
• cât timp sunt păstrate datele și când pot fi șterse
• de unde pot fi accesate aceste date
• la ce sunt folosite
• suportul pe care sunt stocate datele
• baza legală pentru a deține astfel de date.

Inventarierea se aplică pentru toate datele indiferent de natura lor: angajați, parteneri de afaceri, utilizatori de servicii, clienți etc.

2. NUMIÈšI UN RESPONSABIL CU PROTECÈšIA DATELOR

Mai toate instituțiile publice din UE, cât și o parte din companiile private sunt obligate să desemneze un responsabil cu protecția datelor care să vegheze la respectarea prevederilor G.D.P.R. în companie. Din rândul afacerilor cu capital privat, doar două tipuri de companii au această obligativitate și anume companiile private care prelucrează la scară largă date personale sensibile cum ar fi: date rasiale, fiscale, istoricul penal etc., această categorie fiind destul de clară. Intră în cea de a doua categorie „companiile private care prelucrează date în cadrul unor activități de monitorizare periodică și sistematică a persoanelor vizate pe scară largă”. Ceea ce înseamnă că mai toate site-urile sunt obligate să numească un responsabil cu protecția datelor.

Responsabilul este răspunzător de tot ce are legătură cu protecția datelor în cadrul companiei. De exemplu, informează și sfătuiește despre obligațiile care revin companiei în temeiul Regulamentului, monitorizează punerea în aplicare a politicilor, de protecție a datelor, gestionează cererile consumatorilor. în plus, responsabilii cu protecția datelor acționează ca persoană de contact pentru autoritatea de supraveghere. Responsabilul ar trebui numit pentru o perioadă de cel puțin un an.

3. REVIZUIÈšI CONTRACTELE

Noile contracte, atât cele de muncă, precum și cele cu partenerii comerciali, vor trebui să cuprindă paragrafe referitoare strict la prelucrarea datelor. Societățile sunt obligate să revizuiască mecanismele de informare a persoanelor vizate și obținere a consimțământului acestora, pentru a se asigura că, astfel cum au fost implementate, acestea sunt valabile inclusiv pe terenul noii reglementări (incluzând, dar fără a ne rezuma la revizuirea politicilor de confidențialitate, a contractelor cu angajații implicați în activitățile de prelucrare, cu eventualii parteneri comerciali ori cu persoanele împuternicite ori la revizuirea eficacității sistemelor IT și de securitate).

4. PREGĂTIÈšI-VĂ DIN PUNCT DE VEDERE TEHNIC

Asigurarea că datele sunt în siguranță este una din cele mai importante reguli. O eroare tehnică sau tehnologică în sistemul de date poate duce la distrugerea, pierderea, alterarea sau folosirea neautorizată a datelor cu caracter personal.

Aceste erori vor trebui raportate (împreună cu măsurile luate pentru a minimiza eroarea) către instituția responsabilă cu protecția datelor în termen de 72 de ore de la luarea la cunoștință a erorii.

Pentru a preîntâmpina problemele de securitate, puteți implementa un sistem de gestionare a documentelor și înregistrărilor, puteți cripta și / sau pseudonimiza datele sau crea un depozit de conținut securizat.

Alte soluții tehnice includ capabilități de export de date, instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale; capabilități de prevenire a pierderilor de date (DLP) pentru a examina fluxurile de date și a identifica datele cu caracter personal care nu fac obiectul garanțiilor sau autorizațiilor adecvate. Instrumentele DLP pot bloca sau pune în carantină astfel de fluxuri de date, în așteptarea rectificării adecvate.

5. MODIFICAÈšI POLITICILE DE CONFIDENÈšIALITATE

Regulamentul pune un accent mare pe consimțământul persoanei. în cazul în care obținerea acestuia este dificilă sau imposibilă, este necesar să se identifice o bază legală pentru a continua procesarea datelor. Consimțământul exprimat trebuie să fie clar, concis și explicit.

Persoanele vizate trebuie să știe clar cum și la ce intenționați să le folosiți datele. Cea mai bună și ușoară metodă de a face acest lucru sunt “notele de confidențialitate”. Chiar dacă aveți deja aceste notificări, ele vor trebui modificate și îmbunătățite, pentru a informa utilizatorii cu privire la timpul de stocare a datelor și baza legală pentru aceste operațiuni.

Este foarte important să obțineți acordul pentru fiecare colectare sau procesare în parte, astfel veți putea dovedi clar că sunteți îndreptățit să folosiți informațiile personale în scopul precizat.

Articol scris de avocat Costi Neacșu pentru ediția 88 a revistei Horeca România.