Primii pasi spre conformarea cu GDPR
Primii pasi spre conformarea cu GDPR


Primii pasi spre conformarea cu GDPR

1. Conştientizarea

Primii pasi spre conformarea cu GDPR. La nivel de organizație conștientizarea vizează toți factorii de conducere și departamentele direct implicate în procesarea datelor cu caracter personal.

De ce este importantă conștientizarea importanței GDPR? Pentru că, deși cele mai multe componente ale GDPR se regăsesc și în legislația actuală, noua reglementare europeană vine cu o serie de noi prevederi care pot schimba dramatic cursul firesc al unui business, în cazul în care nu sunt tratate cu toată considerația.

Procedura de conștientizare trebuie să înceapă cu conștientizarea echipei de implementare GDPR, sens în care trebuiesc abordate o serie de proceduri, ca de exemplu:

  • plan coerent de discuții, înțelegere și interpretare a prevederilor GDPR în funcție de profilul și mărimea companiei;
  • prezentări de conștientizare cu șefii de departamente și la nivelul fiecărui departament direct implicat în procesarea datelor personale;
  • fiecare membru al echipei de implementare trebuie să înțeleagă rolul său individual și colectiv pentru bunul mers al lucrurilor;
  • indiferent de departament, vechime și pregătire, toți membrii echipei de implementare GDPR trebuie să vorbească aceeași limbă și să participe la elaborarea și urmărirea planului comun de acțiune.

Este necesar ca operatorul să se asigure că factorii de decizie şi persoanele cheie din organizaţie sunt conştienţi ca legile în vigoare cu privire la protecţia datelor s-au modificat odată cu intrarea în vigoare a noului regulament GDPR. Ei trebuie să fie conştienţi de impactul pe care îl va avea această modificare şi să identifice ariile de activitate care pot crea probleme în ceea ce priveşte conformitatea cu noul Regulament. De asemenea este nevoie de conștientizarea riscurilor asociate cu penalitățile extrem de severe prevăzute pentru neconformare.

Este deosebit de util să se aibă în vedere registrul de riscuri al companiei, dacă acesta există, de asemenea implementarea GDPR, poate avea implicaţii deosebite cu privire la resursele umane, în special în companiile mari şi organizaţiile complexe.

Una dintre cerinţele GDPR este de înregistrare a activităţilor de prelucrare de date. De asemenea, dacă se constată că unele date personale sunt inexacte şi acestea au fost distribuite unei alte organizaţii, este obligatoriu să se comunice această situaţie organizaţiei respective, pentru ca să îşi corecteze informaţia.

Nu se poate face acest lucru în lipsa unei evidențe a activităților de prelucrare (cartografiere). Toate aceste informaţii trebuie documentate astfel încât să se poată dovedi conformitatea cu cerinţele din noul regulament ţinând cont de principiul responsabilităţii, de exemplu prin crearea de politici şi proceduri.

2. Cartografierea datelor cu caracter personal și evidența datelor prelucrate

Primul pas, considerat critic pentru o organizație sau companie, este și cel mai important pentru conformarea cu GDPR. Practic, acest proces constă în capabilitatea de a obține o concepție holistică despre locul în care se află toate datele personale deținute și de a le putea identifica imediat. Acest lucru poate fi făcut prin realizarea unei cartografieri a datelor, prin care să înţelegem cine are acces la acestea, cât timp sunt păstrate sau ce spaţiu ocupă pe diferite sisteme de stocare și, în sfârșit, modalitatea în care sunt mutate sau copiate pe diferite platforme cu scopul de a îmbunătăți managementul acestora. Această hartă este “cheia” pentru a înțelege modul în care organizația gestionează și procesează datele personale. Este prevăzută de art. 30 din Regulament și presupune păstrarea unei evidențe a activităților de prelucrare desfășurate sub responsabilitatea operatorului, care să cuprindă anumite informații, ce se regăsesc la alin. 1 lit. a-g ale aceluiași articol.

Pentru fiecare scop al prelucrării de date cu caracter personal, cartografierea va trebui să cuprindă, cel puţin, următoarele informaţii:

Cine?

Se înscriu în evidență numele și coordonatele operatorului și ale reprezentantului său legal și, după caz, ale responsabilului cu protecția datelor. Se întocmește lista persoanelor împuternicite; de asemenea se descriu categoriile de persoane vizate;

Ce?

Se identifică categoriile de date cu caracter personal prelucrate. Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite cum ar fi sănătatea sau infracțiunile;

De ce?

Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (de exemplu: gestionarea relației comerciale, managementul resurselor umane, geo-localizare, video-supraveghere etc.);

Cui?

Se menționează categoriile de destinatari cărora le-au fost sau le vor fi divulgate date cu caracter personal: autorităţi, bănci etc. Dacă este cazul, transferurile de date către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective;

Unde?

Se stabilește locația sistemului de evidență și, dacă este cazul, destinatarii datelor, statele către care sunt eventual transferate datele;

Până când?

Se precizează pentru fiecare categorie de date termene-limită preconizate pentru ştergere perioada de stocare);

Cum?

Se precizează măsurile tehnice şi organizatorice de securitate implementate pentru a reduce la minimum riscurile de acces neautorizat la date și, în consecință, impactul asupra vieții private a persoanelor vizate. Alin. 2 al art. 30 prevede că trebuie păstrată și o evidență a tuturor categoriilor de activități de prelucrare, inclusiv cele făcute prin persoană împuternicită. Din aceste texte rezultă că operatorul de date cu caracter personal, nu păstrează doar evidența datelor pe care le operează în mod direct, ci și evidența datelor pe care le operează împuternicitul său, un colaborator sau furnizor de servicii care are acces la datele ce intră în posesia operatorului.

Ținerea acestor evidențe este obligatorie pentru companiile cu mai mult de 250 de angajați, dar și pentru cele la care prelucrarea datelor este susceptibilă să genereze un risc ridicat pentru drepturile persoanelor vizate, precum este obligatorie și pentru cele pentru care prelucrarea nu este ocazională sau care include categorii speciale de date sau date referitoare la condamnări penale și infracțiuni. Evidențele se vor redacta în scris, precum și în format electronic și se vor pune la dispoziția Autorității de Supraveghere la cererea acesteia, conform art. 30 alin. 4 din Regulament.

3. Maparea fluxurilor de date

Pentru o identificare eficientă a riscurilor asociate procesărilor de date personale, trebuie să documentăm ce fel de date personale deținem, de unde le avem și cu cine le partajăm. Printr-un audit desfășurat la nivelul întregii organizații sau doar pentru anumite linii de business se pot lămuri aceste aspecte. Maparea este procesul de identificare a modelului de circulație a datelor folosit la determinarea tipurilor de date personale procesate de operator.

După ce am identificat poziția pe care o deține operatorul în fiecare dintre procesele de business ce implică prelucrări de date personale și am stabilit acțiunile care trebuie întreprinse pentru conformarea la cerințele impuse de GDPR, trebuie să prioritizăm aceste acțiuni în funcție de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertățile persoanelor vizate.

Indiferent de tipul de prelucrări efectuate, trebuie să avem în vedere câteva aspecte precum:

  • colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;
  • identificarea temeiului legal în baza căruia se efectuează prelucrarea, raportat la art. 6 din Regulamentul general privind protecția datelor (ex. consimțământul persoanelor vizate, contract, obligație legală);
  • revizuirea/completarea informațiilor furnizate persoanelor vizate, astfel încât să se respecte cerințele articolelor 12, 13 şi 14 din GDPR;
  • să ne asigurăm că procesatorii își cunosc noile obligații și responsabilități;
  • verificarea clauzelor contractuale și actualizarea obligațiilor procesatorilor privind securitatea, confidențialitatea și protecția datelor cu caracter personal prelucrate;
  • stabilirea modalităților de exercitare a drepturilor persoanelor vizate: ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimțământului etc.;
  • verificarea măsurilor de securitate implementate.

(Baza de reglementare: Ghidul orientativ (al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor).

Înțelegerea fluxurilor de date reprezintă esența conformității cu GDPR: unde sunt stocate, cum sunt administrate, cine are acces la acestea. De la început trebuie să stabilim dacă datele sunt supuse prevederilor GDPR, care este rolul operatorului, în fluxul de procesare a datelor personale și care sunt aceste date. Apoi trebuie clarificat ce anume facem cu datele personale, le procesăm la solicitarea unui operator, le înregistrăm, le structurăm și le stocăm, le adaptăm, le extragem, le ștergem etc.

Putem desena o hartă a fluxurilor de date, maparea datelor angrenate într-un proces de business este una dintre cele mai importante etape pe care trebuie să o abordăm pentru un proiect GDPR. De multe ori informații cu caracter sensibil pot scăpa accidental în afara organizației mascate într-o notă de subsol a prezentărilor interne cu caracter confidențial sau cine nu a pățit asta, în comentarii sau remarci uitate sau atașate în texte prea lungi de email.

Putem evita toate aceste neplăceri prin identificarea datelor sensibile din companie, verificarea condițiilor de stocare, realizarea unei hărți a fluxului de date și evident eliminarea datelor sensibile din locațiile neautorizate.

Ce trebuie să știm despre maparea datelor?

Pentru a efectua o mapare a datelor trebuie să înțelegem fluxul de informații pentru fiecare dintre activitățile pe care le derulăm.

Înțelegerea fluxului de informații – un flux de informații este transferul de informații de la o locație la alta, de exemplu de la un furnizor la un distribuitor apoi la un reseller iar în cele din urmă la un client;

Descrierea fluxului de informații – înseamnă o parcurgere în timpul unui ciclu de informații pentru a identifica sursele inutile sau neautorizate de acces la date care pot genera vulnerabilități. Cea mai bună măsură de precauție este limitarea acestui flux de date doar la informațiile absolut necesare și limitarea perioadei de stocare la strictul necesar;

Identificarea elementelor cheie – orice organizație trebuie să analizeze tipul de date colectate, formatul în care sunt stocate și metodele de colectare a datelor;

Locațiile de păstrare a datelor și cine are acces la aceste zone.

4. Elaborarea unui plan de asigurare

Elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea conformării, care să conțină:

– pregătirea aplicării efective a Regulamentului;

– obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate;

– elaborarea unei Analize de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor;

– înființarea funcției Responsabil cu protecția datelor cu caracter personal / Data Protection Officer (DPO), ca funcție/persoană care răspunde de/coordonează siguranța datelor personale la nivelul Operatorului de date, acolo unde este obligatoriu sau recomandabil.

TEMEIURILE LEGALE PENTRU PRELUCRAREA DATELOR CU CARACTER PERSONAL, sunt:

 Consimțământul – prelucrarea este permisă dacă persoana vizată și-a dat consimțământul pentru prelucrare;

 Încheierea sau executarea unui contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

 Îndeplinirea unei obligații legale – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

 Interesele vitale – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

 Interesul public – prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

 Interesul legitim – prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Acesta a fost articolul despre primii pasi spre conformarea cu GDPR. Pentru alte detalii despre legislatia privind GDPR, va rugam accesati blogul nostru: Blog GDPR
Un ofiter de protectia datelor profesionist o sa va ajute.