GDPR Arad

Implementare GDPR - 6 pași care trebuiesc urmați

Atunci când discutăm despre implementarea regulamentului GDPR trebuie să urmărim situațiile în care acesta trebuie urmat.

Articolul 37 din Regulamentul GDPR stabilește că operatorul şi persoana împuternicită de operator desemnează un responsabil cu protecţia datelor ori de câte ori:

a)prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;

b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor,

necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau

c)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale şi infracţiuni.

Dacă suntem într-un unul din aceste cazuri, înseamnă că primul pas este să fie desemnată o persoană responsabilă cu protecția datelor (DPO), iar datele de contact ale acestei persoane trebuie să fie comunicate Autorității naționale de supraveghere a prelucrării datelor cu caracter personal.

Desemnarea DPO

Responsabilul cu protecția datelor poate să fie o persoană din interiorul instituției sau firmei, sau o persoana dintr-un firmă cu care există un contract de prestări servicii.

DPO-ul are un statut special. El este considerat ca persoană de legătură între Autoritate și instituție sau firmă și din acest motiv are anumite obligații, dar și avantaje specifice.

În primul rând, DPO-ul trebuie să aibe o certificare pentru a ocupa acest post, dar și abilități de comunicare și experiență în domeniului protecției datelor (informatică, IT, drept).

Responsabilul cu protecția datelor nu trebuie să aibe atribuții de prelucrare de date și nici să se afle în conflict de interese (să ajungă să se controleze pe el însuși).

Responsabilul DPO are obligația de a oferi consultanță și instruire și răspunde doar în fața conducerii instituției sau companiei. Nu pot să fie exercitate presiuni asupra lui de natura influențarii sfaturilor sale și nici nu poate să fie îndepărtat din funcția lui pe motive profesionale ce țin de protecția datelor. DPO-ul poate să aibe și alte atribuții, cu condiția de a nu îl pune într-un conflict de interese.

Ce situații sau probleme pot să apară?

Din regulament reiese clar că DPO-ul nu poate să ocupe o funcție de conducere sau prelucrare de date. Se pune problema într-o instituție sau firmă: cine nu procesează date?

În general, în instituții tendința este de a atribui aceste sarcini informaticianului. Dar el poate să proceseze date prin natura funcției sale (să genereze rapoarte). Sau el va avea ca sarcină să facă un audit intern al accesării datelor (acțiune care este definită ca procesare de date).

În cazul acesta, dacă se dorește desemnarea unui angajat, este foarte posibil să fie nevoie de crearea unui departament nou cu atribuții specifice, ceea ce duce la mărirea cheltuielilor cu personalul și modificarea organigramei interne.

O altă problemă este urmărirea activității unui DPO. Prin regulament, DPO-ului nu i se pot imputa deciziile sau lipsa de activitate și nici nu poate să fie penalizat din aceste motive. Va fi greu de găsit o metodă pentru a-l determina să fie implicat în aceste activități (de obicei acesta se traduce în creșteri salariale).

Un contract externalizat elimină toate aceste neajunsuri. S.C. Green IT System S.R.L. oferă servicii de DPO bazate pe un contract de prestări servicii dimensionat în funcție de necesitățile clienților.

Responsabilul cu protecția datelor are o experiență extinsă în domeniul IT și securității informatice, precum și în management și administrare publică. Dacă sunteți interesați de o ofertă, puteți să ne contactați fie telefonic sau pe email sau folosind formularul de pe pagina de contact.

Realizarea politicii interne

După desemnarea DPO-ului trebuie să urmeze un proces de analiză internă și determinarea politicii interne privind datele personale care sunt procesate la nivelul instituției și firmei.

Politica internă trebuie să fie publicată pe website sau să fie accesibilă tuturor clienților sau colaboratorilor. În cadrul politicii interne trebuiesc scoase în evidență categoriile de date personale prelucrate, temeiurile legale, drepturile persoanelor vizate, precum și detaliile privind stocarea lor. De asemenea, trebuiesc comunicate procedurile de contact, procedurile prin care persoanele vizate pot să facă cereri de acces sau de eliminare a datelor, sau reclamații.

În mod particular trebuie evidențiat consimțământul clar al persoanelor pentru fiecare tip și scop de prelucrare a datelor personale.

Inventarierea datelor prelucrate

La nivelul instituției sau firmei se prelucrează de cele mai multe ori foarte multe date personale.

De exemplu, un contract conține numele, adresa și datele de contact ale clienților. 

Date personale sunt și datele folosite la calcularea salariilor.

În primul rând trebuie făcută o inventariere clară a tipurilor de date folosite, și stabilit care dintre ele sunt cu adevărat necesare și care sunt colectate în plus (și renunțat la acestea din urmă).

Apoi trebuie făcută inventarierea punctelor unde acestea sunt colectate.

De exemplu, în cazul unui magazin, avem un vânzător la pult care emite facturi pentru produsele cumpărate, și o secretară care preia comenzile online de pe website-ul magazinului. În ambele cazuri sunt procesate numele, emailul, telefonul și adresa clientului. Dar mai există o contabilă care procesează datele personale (inclusiv CNP-ul) vânzătorului și secretarei atunci când le calculează salariile.

Analiza riscurilor

Pentru fiecare tip de date și puncte de colectare există anumite riscuri asociate. Acestea trebuiesc inventariate și identificate soluții pentru prevenirea oricăror probleme care pot să apară.

Pentru exemplul anterior putem să identificăm trei riscuri posibile.

Magazinul are un website unde sunt stocate datele personale ale cumpărătorilor. Deoarece secretara are o parola de acces foarte prost aleasă (12345), un intrus poate să fure toată baza de date a firmei sau să o altereze.

Un alt exemplu de risc este faptul că toată arhiva firmei se păstrează în dosare nesupravegheate pe coridorul firmei. Oricine poate să treacă în drum spre biroul secretarei și să fure date din acele dosare.

În fine, un alt exemplu este chiar din magazin. Vânzătorul pleacă de la pult în căutarea unui produs și nu are un sistem de protecție pentru calculatorul care înregistrează vânzările. Orice client poate să acceseze acel terminal și să facă modificări.

DPO-ul identifică aceste riscuri și propune conducerii un plan de măsuri (de ex. obligativitatea parolării calculatoarelor cu un sistem de parole alfa numerice de minim 8 caractere).

Instruirea personalului

Una din atribuțiile DPO-ului este instruirea și responsabilizarea persoanelor implicate în procesarea datelor. 

Acestea trebuiesc informate despre modificările legislative și procedurile care trebuiesc urmate în diferite situații.

Prin discuțiile cu aceștia se pot identifica noi riscuri și noi modalități de prevenire a lor.

Managementul incidentelor

Incidentul este o situație gravă prin care are loc o procesare neautorizată a datelor. Incidentul nu este limitat la cantitatea de date asupra căreia s-a intervenit.

Un incident are consecințe legale și trebuie anunțat in termen de 72 de ore după semnalare către Autoritatea de Supraveghere a prelucrării datelor cu caracter personal.

O altă consecință imediată este și afectarea imaginii publice a operatorului.

DPO-ul este persoana de legătură între companie sau instituție și Autoritate. Compania sau instituția trebuie să demonstreze că a fost de bună credință și că a luat toate măsurile posibile (în limita riscului identificat) pentru a evita riscurile. De asemenea trebuie să informeze persoanele afectate asupra accesării neautorizate a datelor lor personale și să evalueze prejudiciul propus.

De asemenea, trebuie luate măsuri urgente de limitare a pagubelor și închidere a breșelor de securitate.

Paul Stoica, Responsabil cu protecția datelor
Str. Calimanesti, nr. 14
Arad, Romania
0748-309-925
0742-022-586
office@gdprarad.ro
24 X 7 online suport
TOP