Conformitatea executiva - pentru primarii

Protectia datelor cu caracter personal si pastrarea confidentialitatii datelor cu caracter personal ale persoanelor vizate reprezinta responsabilitatea intregii echipe a autoritatii publice locale, astfel ca intreg personalul are nevoie de instruire.

Lucrati pe baza unui plan intocmit, completat cu informatiile necesare cand ati terminat fiecare parte a planului. Planul dumneavoastra va trebui sa cuprinda programe de formare cu privire la GDPR pentru membrii echipei, adecvate rolurilor si responsabilitatilor lor. Acest lucru va implica actualizarea unora dintre procedurile existente.

Inainte de a incepe procesul de confomare cu GDPR trebuie sa intelegeti termenii folositi de Regulament, astfel incat sa stiti la ce sa va uitati atunci cand evaluati activitatile autoritatii publice locale ce implica utilizarea datelor cu caracter personal. Pe scurt: GDPR se aplica prelucrarii (obtinerea, depozitarea sau transmiterea) de informatii (date personale precum nume, adrese, CNP, informatii privind sanatatea, date biometrice etc.) care se refera la persoane fizice identificate sau identificabile (persoane vizate) prin mijloace manuale sau automatizate, care fac parte dintr-un document in format hartie sau sunt inregistrate in format electronic (cautate in functie de anumite criterii, de exemplu, un nume) si in unele cazuri fisiere fizice nestructurate.

Primaria este, in general, operatorul de date cu caracter personal (persoana care are responsabilitatea generala pentru prelucrarea legala a datelor cu caracter personal) si poate avea persoane imputernicite care prelucreaza date cu caracter personal in numele sau (de exemplu, consultarea bazelor de date in scopul asigurarii mentenantei sistemelor si retelelor). Primaria prelucreaza inclusiv date din categoria celor speciale, respectiv date referitoare la sanatate (spre exemplu, cele inserate in cuprinsul D112), astfel incat sunt necesare masuri de protectie suplimentare. GDPR nu se aplica datelor anonime.


Printre atributiile principale care ar trebui sa se regaseasca la nivelul conducerii executive din perspectiva GDPR enumeram cel putin:

• Efectuarea planificarii de baza a activitatilor si punerea in aplicare a programelor si procedurilor de evaluare a riscului in domeniul protectiei datelor cu caracter personal conform regulilor sistemului de compliance aplicabile la nivel de autoritate publica
• Obtinerea tuturor informatiilor si datelor necesare pentru intelegerea primara a proceselor operationale si sistemelor de control necesar a fi implementate conform GDPR si de aplicare a procedurilor de evaluare a riscurilor prelucrarilor datelor cu caracter personal efectuate
• Intocmirea rapoartelor de lucru bine documentate, care sa arate intr-un mod corect analizele efectuate si justificarea concluziilor formulate in privinta prelucrarilor de date.

Conducerea executiva trebuie sa se ocupe de activitatile specifice aflate in responsabilitatea structurii de compliance potrivit politicii de raportare a neregulilor, efectuand sau participand la lucrarile de investigatie aferente.

• Intocmirea/elaborarea rapoartelor de compliance in scopul evidentierii devierilor de la politicile si procedurile de compliance si a celorlalte proceduri aplicabile in domeniul protectiei datelor cu caracter personal.
• Propunerea masurilor si standardelor potrivite pentru imbunatatirea activitatilor in domeniile evidentiate cu deficiente si monitorizarea implementarii acestora.
• Actualizarea fisierelor complexe folosind software adecvat, colectand, rezumand si analizand datele cu caracter personal provenite din diferite surse.
• Informarea constanta a conducerii executive in ceea ce priveste stadiul sarcinilor alocate si a dificultatilor intampinate sau deficientelor constatate in privinta prelucrarilor de date cu caracter personal.
• Redactarea si revizuirea procedurilor de lucru in domeniul protectiei datelor cu caracter personal, precum si din alte domenii din responsabilitatea echipei de lucru.

Distinct de numirea/desemnarea Responsabilului cu protectia datelor cu caracter personal, este de bun-simt sa desemnati o persoana care sa conduca/coordoneze eforturile necesar a fi depuse pentru conformitatea cu GDPR pentru fiecare directie/serviciu/compartiment/birou din cadrul primariei. Indicati in scris numele persoanelor competente implicate in asigurarea protectiei datelor cu caracter personal, inclusiv cine va conduce eforturile dumneavoastra pentru atingerea conformitatii cu GDPR.

Un rol important in asigurarea conformitatii cu GDPR il are Responsabilul pentru protectia datelor cu caracter personal pe care primariile sunt obligate sa il numeasca/desemneze.

Actiuni-cheie:

• Formarea echipelor de gestionare interna a datelor cu caracter personal si care sa se ocupe de protectia acestora.
• Revizuirea si auditarea datelor cu caracter personal in fiecare directie/departament/compartiment/serviciu/birou.
• Identificarea si documentarea politicilor si procedurilor pentru fiecare set de date prelucrate.
• Guvernanta.
• Revizuirea contractelor incheiate cu tertele parti si intocmirea unei politici/proceduri cu privire la schimbul de date;
• Efectuarea unui menaj cu privire la toate chestiunile interne ale primariei sub auspiciul confidentialitatii din perspectiva protectiei datelor
• Gestionarea protectiei datelor cu caracter personal.