Top 5 greseli in implementarea GDPR
1. Raporturile dintre operator si operatorii asociati, respectiv imputerniciti, nu sunt suficient clarificate. Mai mult decat atat, esenta acordului dintre operator si operatorul asociat trebuie adusa la cunostinta persoanelor vizate, potrivit dispozitiilor art. 26 alin. 2 GDPR. Contractele organizatiei trebuie sa cuprinda clauzele cerute de GDPR, intrucat absolut toate contractele cuprind dispozitii cu incidenta in domeniul protectiei datelor cu caracter personal. Sunt esentiale, de exemplu, clarificarea tipului de raport contractual din perspectiva GDPR, precizarea mecanismului de prelucrare si transfer a datelor cu caracter personal, precum si, mai ales, distribuirea raspunderii juridice.
2. Lipsesc procedurile de lucru referitoare la prelucrarea datelor cu caracter personal, ba chiar lipsesc chiar si procedurile de lucru referitoare la modalitatea in care trebuie raspuns solicitarilor persoanelor vizate. Procedurile trebuie, printre altele, sa satisfaca, bunaoara, exigentele art. 5 alin. 1 lit. c) GDPR, potrivit carora datele cu caracter personal trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate, precum si ale art. 5 alin. 1 lit. f), potrivit carora datele cu caracter personal trebuie sa fie prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare. Avand in vedere ca operatorul are obligatia, potrivit art. 5 alin. 2, sa poata demonstra respectarea exigentelor GDPR, procedurile de lucru au o pozitie cheie in acest sens.
3. Responsabilul cu protectia datelor cu caracter personal este un salariat obisnuit, subordonat directorului general al societatii, in loc sa fie subordonat celui mai inalt nivel al conducerii operatorului, asa cum prevede art. 38 alin. 3 GDPR. Potrivit acestui text, responsabilul cu protectia datelor (DPO) raspunde direct in fata celui mai inalt nivel al conducerii operatorului . Aceasta inseamna ca desemnarea DPO se poate face de catre un alt organ al societatii, insa DPO nu are, in mediul privat, un superior ierarhic.
4. Lipseste linkul spre nota de informare din paginile Facebook ale societatii. Paginile Facebook trebuie sa aiba link spre nota de informare a persoanelor vizate, mai ales ca Facebook a creat un camp special in care se poate insera acest link, dupa Hotararea CJUE pronuntata in cauza C 210/16, care a statuat ca Administratorul unei pagini pentru fani pe Facebook are, impreuna cu Facebook, calitatea de operator care prelucreaza datele vizitatorilor paginii sale .
5. Abonarea la newsletter-ul cu noutati/oferte nu este Double Opt-In. Abonarea Double Opt-In nu este reglementata ca o obligatie legala, insa este o buna practica stabilizata. Simple Opt-In este abonarea prin care persoana vizata furnizeaza adresa ei de e-mail pentru a primi mesaje, iar mesajele incep sa fie transmise de catre operator la adresa indicata. Double Opt-In consta in verificarea daca adresa de e-mail introdusa de un utilizator in lista de distributie a newsletter-ului companiei este controlata de catre utilizator. Indata dupa abonare, sistemul informatic trimite un e-mail la adresa abonata solicitand click pe un link de confirmare din interiorul acestui e-mail de confirmare. Double Opt-In elimina riscul ca abonarea la newsletter sa fie facuta de alta persoana decat persoana care controleaza adresa de e-mail abonata. Trebuie precizat ca nu toate newsletter-ele sunt supuse acestui mecanism. Aptitudinea operatorul de a transmite newsletter se poate naste nu doar din abonarea la newsletter ci si din, bunaoara, executarea unui raport contractual cu clientii operatorului.
2. Lipsesc procedurile de lucru referitoare la prelucrarea datelor cu caracter personal, ba chiar lipsesc chiar si procedurile de lucru referitoare la modalitatea in care trebuie raspuns solicitarilor persoanelor vizate. Procedurile trebuie, printre altele, sa satisfaca, bunaoara, exigentele art. 5 alin. 1 lit. c) GDPR, potrivit carora datele cu caracter personal trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate, precum si ale art. 5 alin. 1 lit. f), potrivit carora datele cu caracter personal trebuie sa fie prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare. Avand in vedere ca operatorul are obligatia, potrivit art. 5 alin. 2, sa poata demonstra respectarea exigentelor GDPR, procedurile de lucru au o pozitie cheie in acest sens.
3. Responsabilul cu protectia datelor cu caracter personal este un salariat obisnuit, subordonat directorului general al societatii, in loc sa fie subordonat celui mai inalt nivel al conducerii operatorului, asa cum prevede art. 38 alin. 3 GDPR. Potrivit acestui text, responsabilul cu protectia datelor (DPO) raspunde direct in fata celui mai inalt nivel al conducerii operatorului . Aceasta inseamna ca desemnarea DPO se poate face de catre un alt organ al societatii, insa DPO nu are, in mediul privat, un superior ierarhic.
4. Lipseste linkul spre nota de informare din paginile Facebook ale societatii. Paginile Facebook trebuie sa aiba link spre nota de informare a persoanelor vizate, mai ales ca Facebook a creat un camp special in care se poate insera acest link, dupa Hotararea CJUE pronuntata in cauza C 210/16, care a statuat ca Administratorul unei pagini pentru fani pe Facebook are, impreuna cu Facebook, calitatea de operator care prelucreaza datele vizitatorilor paginii sale .
5. Abonarea la newsletter-ul cu noutati/oferte nu este Double Opt-In. Abonarea Double Opt-In nu este reglementata ca o obligatie legala, insa este o buna practica stabilizata. Simple Opt-In este abonarea prin care persoana vizata furnizeaza adresa ei de e-mail pentru a primi mesaje, iar mesajele incep sa fie transmise de catre operator la adresa indicata. Double Opt-In consta in verificarea daca adresa de e-mail introdusa de un utilizator in lista de distributie a newsletter-ului companiei este controlata de catre utilizator. Indata dupa abonare, sistemul informatic trimite un e-mail la adresa abonata solicitand click pe un link de confirmare din interiorul acestui e-mail de confirmare. Double Opt-In elimina riscul ca abonarea la newsletter sa fie facuta de alta persoana decat persoana care controleaza adresa de e-mail abonata. Trebuie precizat ca nu toate newsletter-ele sunt supuse acestui mecanism. Aptitudinea operatorul de a transmite newsletter se poate naste nu doar din abonarea la newsletter ci si din, bunaoara, executarea unui raport contractual cu clientii operatorului.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Erori de implementare
19Iun2019
Operatorii furnizeaza si chiar fac publice mai multe informatii decat este necesar cu privire la prelucrarile de date cu caracter personal pe care le realizeaza
de Colectivul de Specialisti Rentrop&Straton
19 Iun 2019
19Iun2019
Responsabilul cu protectia datelor este contabilul firmei
de Colectivul de Specialisti Rentrop&Straton
19 Iun 2019
18Iun2019
Responsabilul cu protectia datelor are sarcini si atributii care nu au legatura cu cele prevazute pentru functia
de Colectivul de Specialisti Rentrop&Straton
18 Iun 2019
17Iun2019
Firma de IT nu sterge sau returneaza operatorului toate datele cu caracter personal dupa incetarea furnizarii serviciilor legate de prelucrare si nu elimina copiile existente atunci cand operatorul dispune in acest sens
de Colectivul de Specialisti Rentrop&Straton
17 Iun 2019
Un produs marca