17 masuri concrete pentru evitarea unei amenzi GDPR
GDPR stabileste in sarcina societatilor o serie de obligatii legate de protectia datelor cu caracter personal. Formularea folosita de GDPR, preluata si in legislatia nationala, se refera la obligatia generala a societatilor de pune in aplicare masuri tehnice si organizatorice adecvate . Pentru a descrie ce insemana aceste masuri terhnice si organizatorice, am facut o lista cu 17 masuri concrete.
Toate aceste masuri prezentate trebuie sa tina cont de specificul activitatii fiecarei societati, respectiv de natura, domeniul de aplicare, contextul si scopurile, precum si de riscurile asociate prelucrarii datelor cu caracter personal.
I. Obligatii generale masuri valabile pentru orice operator care prelucreaza date cu caracter personal
Masuri in relatia cu salariati:
1. modificati sau adaptati procedurile de lucru astfel incat sa fie asigurat un acces cat mai restrans la datele cu caracter personal;
2. implementati politici specifice in materia prelucrarii de date cu caracter personal la locul de munca, respectiv: Politica control acces la locul de munca, Politica bring your own device, Politica sisteme urmarire video CCTV, Politica utilizare autoturisme etc.;
3. actualizati Regulamentului Intern cu dispozitii specifice privind prelucrarea datelor cu caracter personal, inclusiv stabilirea de sanctiuni;
4. revizuiti fisele de post ale salariatilor care au atributii in materia prelucrarii datelor cu caracter personal;
5. incheiati acorduri de confidentialiate cu salariatii care au atributii in materia prelucrarii datelor cu caracter personal;
6. justificati din punct de vedere legal prelucrarea unor categoriile speciale de date cu caracter personal (origine rasiala sau etnica, opinii politice, credinte religioase sau filosofice sau apartenenta la un sindicat si prelucrarea datelor genetice, date biometrice in scopul identificarii unice a unei persoane fizice, sanatate sau date privind viata sexuala sau orientarea sexuala a unei persoane fizice).
Masuri in relatia cu alti parteneri (persoane imputernicite)
Persoana imputernicita de operator reprezinta persoana fizica sau juridica ce prelucreaza datele cu caracter personal in numele operatorului. Printre aceste societati se pot numara: societatea de contabilitatea si HR, societatea care asigura suportul IT, societatea care face curatenie in birouri, etc.:
7. revizuiti contractele existente cu furnizorii externi si includeti clauze specifice legate de protectia datelor cu caracter personal;
8. incheiati acorduri privind protectia datelor cu caracter personal cu furnizorii noi.
Masuri privind securizarea datelor:
9. securizati din punct de vedere informatic datele personale;
10. implementati politici si proceduri in materia securitatii datelor care sa asigure un standard ridicat de protectie;
11. notificati ANSPDCP in cazul unei incalcari de securitate in termen de cel mult 72 de ore de la momentul la care ati luat cunostinta de incalcare;
12. notificati persoanelor vizate, daca incalcarea securitatii datelor prezinta un risc ridicat pentru persoanele fizice afectate (cu exceptia cazului in care s-au aplicat masuri de protectie tehnice si organizatorice eficace sau alte masuri care asigura faptul ca riscul nu mai este susceptibil sa se materializeze).
II. Obligatii specifice aplicabile numai in functie de specificul societatii:
13. desemnati responsabilul pentru protectia datelor (DPO);
Pentru a fi obligatoriu desemnarea DPO-ului trebuie ca operatiunile de prelucrare sa necesite monitorizare periodica, pe scara larga, monitorizare sistematica si operatiunile de prelucrare sa reprezinta o activitate principala a operatorului (prin natura, domeniul de aplicare si/sau scopurile operatiunilor). Desemnarea DPO-ului este obligatoriu si atunci cand operatiunile de prelucrare se refera la date speciale si reprezinta o activitate principala a operatorului (prin natura, domeniul de aplicare si/sau scopurile operatiunilor).
14. tineti evidenta activitatilor de prelucrare a datelor cu caracter personal;
Tinerea activitatii este obligatorie atunci cand activitatea de prelucrare este periodica, activitatea de prelucrare vizeaza date speciale, societatea are cel putin 250 de angajati sau atunci cand activitatea de prelucrare este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate.
15. verificati daca trebuie sa intocmiti DPIA;
ANSPDCP a publicat Decizia nr. 174/2018 privind lista operatiunilor pentru care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal. Verificati daca activitatea dumneavoastra include prelucrarile descrise in lista din Decizie.
16. verificati daca transferati date in afara UE;
17. documentati transferurile de date cu caracter personal daca transferati date in afara UE.
Toate aceste masuri prezentate trebuie sa tina cont de specificul activitatii fiecarei societati, respectiv de natura, domeniul de aplicare, contextul si scopurile, precum si de riscurile asociate prelucrarii datelor cu caracter personal.
I. Obligatii generale masuri valabile pentru orice operator care prelucreaza date cu caracter personal
Masuri in relatia cu salariati:
1. modificati sau adaptati procedurile de lucru astfel incat sa fie asigurat un acces cat mai restrans la datele cu caracter personal;
2. implementati politici specifice in materia prelucrarii de date cu caracter personal la locul de munca, respectiv: Politica control acces la locul de munca, Politica bring your own device, Politica sisteme urmarire video CCTV, Politica utilizare autoturisme etc.;
3. actualizati Regulamentului Intern cu dispozitii specifice privind prelucrarea datelor cu caracter personal, inclusiv stabilirea de sanctiuni;
4. revizuiti fisele de post ale salariatilor care au atributii in materia prelucrarii datelor cu caracter personal;
5. incheiati acorduri de confidentialiate cu salariatii care au atributii in materia prelucrarii datelor cu caracter personal;
6. justificati din punct de vedere legal prelucrarea unor categoriile speciale de date cu caracter personal (origine rasiala sau etnica, opinii politice, credinte religioase sau filosofice sau apartenenta la un sindicat si prelucrarea datelor genetice, date biometrice in scopul identificarii unice a unei persoane fizice, sanatate sau date privind viata sexuala sau orientarea sexuala a unei persoane fizice).
Masuri in relatia cu alti parteneri (persoane imputernicite)
Persoana imputernicita de operator reprezinta persoana fizica sau juridica ce prelucreaza datele cu caracter personal in numele operatorului. Printre aceste societati se pot numara: societatea de contabilitatea si HR, societatea care asigura suportul IT, societatea care face curatenie in birouri, etc.:
7. revizuiti contractele existente cu furnizorii externi si includeti clauze specifice legate de protectia datelor cu caracter personal;
8. incheiati acorduri privind protectia datelor cu caracter personal cu furnizorii noi.
Masuri privind securizarea datelor:
9. securizati din punct de vedere informatic datele personale;
10. implementati politici si proceduri in materia securitatii datelor care sa asigure un standard ridicat de protectie;
11. notificati ANSPDCP in cazul unei incalcari de securitate in termen de cel mult 72 de ore de la momentul la care ati luat cunostinta de incalcare;
12. notificati persoanelor vizate, daca incalcarea securitatii datelor prezinta un risc ridicat pentru persoanele fizice afectate (cu exceptia cazului in care s-au aplicat masuri de protectie tehnice si organizatorice eficace sau alte masuri care asigura faptul ca riscul nu mai este susceptibil sa se materializeze).
II. Obligatii specifice aplicabile numai in functie de specificul societatii:
13. desemnati responsabilul pentru protectia datelor (DPO);
Pentru a fi obligatoriu desemnarea DPO-ului trebuie ca operatiunile de prelucrare sa necesite monitorizare periodica, pe scara larga, monitorizare sistematica si operatiunile de prelucrare sa reprezinta o activitate principala a operatorului (prin natura, domeniul de aplicare si/sau scopurile operatiunilor). Desemnarea DPO-ului este obligatoriu si atunci cand operatiunile de prelucrare se refera la date speciale si reprezinta o activitate principala a operatorului (prin natura, domeniul de aplicare si/sau scopurile operatiunilor).
14. tineti evidenta activitatilor de prelucrare a datelor cu caracter personal;
Tinerea activitatii este obligatorie atunci cand activitatea de prelucrare este periodica, activitatea de prelucrare vizeaza date speciale, societatea are cel putin 250 de angajati sau atunci cand activitatea de prelucrare este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate.
15. verificati daca trebuie sa intocmiti DPIA;
ANSPDCP a publicat Decizia nr. 174/2018 privind lista operatiunilor pentru care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal. Verificati daca activitatea dumneavoastra include prelucrarile descrise in lista din Decizie.
16. verificati daca transferati date in afara UE;
17. documentati transferurile de date cu caracter personal daca transferati date in afara UE.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
03Oct2019
GDPR in cazul avocatilor in-house
de Colectivul de Specialisti Rentrop&Straton
03 Oct 2019
30Sep2019
Prevederi aplicabile prestatorilor de servicii in domeniul resurselor umane
de Colectivul de Specialisti Rentrop&Straton
30 Sep 2019
30Sep2019
Relatia angajator – angajat
de Colectivul de Specialisti Rentrop&Straton
30 Sep 2019
12Aug2019
Dilemele legate de prelucrarea categoriilor speciale de date cu caracter personal in conformitate cu Regulamentul general privind protectia datelor (II)
de Colectivul de Specialisti Rentrop&Straton
12 Aug 2019
09Aug2019
Conformitatea GDPR prin automatizare [Robotic Process Automations (RPA)]
de Colectivul de Specialisti Rentrop&Straton
09 Aug 2019
24Mai2019
Regulamentul general pentru protectia datelor
de Colectivul de Specialisti Rentrop&Straton
24 Mai 2019
Un produs marca