A fi sau a nu fi... GDPR

In ultima luna am primit o multime de intrebari de la partenerii nostri legate de GDPR. Consideram ca este obligatia noastra sa va sustinem in implementarea acestui regulament, prin urmare venim cu cateva clarificari la cele mai frecvente intrebari. 

 

1. Care este esenta GDPR?

Sunt multe discutii nesfarsite despre cat de rea sau buna este acest regulament. Din punctul nostru de vedere este foarte bun si foarte bine gandit. Nu este foarte specific pentru ca scopul lui este de a avea o baza legala prin care persoanele fizice sa poata cere celor care le prelucreaza datele sa le stearga sau sa fie informati despre cum sunt utilizate. Un alt obiectiv este posibilitatea stoparii spam-ului.

2. Care este rationamentul din spatele GDPR?

Datele personale apartin persoeni vizate, nu altora. Astfel ca proprietarul are dreptul sa stie cum ii sunt utilizate datele si trebuie sa isi poata excercita dreptul de proprietate asupra lor (sa le modifice, sterge etc.)

3. Cine trebuie sa implementeze normele GDPR?

Prevederile Regulamenului (UE) 2016 / 679 trebuie implementate de oricine proceseaza date personale, adica date ale persoanelor fizice. Exista, totusi, o exceptie majora, ignorata in general: nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice. Acest lucru inseamna ca GDPR se aplica doar in relatiile B2C, altfel s-ar bloca, practic intreaga economie europeana deoarece in spatele firmelor sunt oameni cu care trebuie sa comunici.

4. Cine NU trebuie sa implementeze normele GDPR?

Exista un numar mic de entitati care nu trebuie sa implementeze normele GDPR. Este vorba despre cele care nu au angajati si lucreaza doar cu persoane juridice. 

5. Cine are competente in consilierea referitoare la prevederile Regulamentului (UE) 2016/679?

Foarte multe companii au apelat la juristi in implementarea Regulamentului, ceea ce este o premiza complet gresita. Competentele le au cei cu background in IT pentru ca ei inteleg ce se intampla cu datele in timpul prelucrarii. Juristii pot veni doar cu modele de acorduri, politici sau contracte.

6. Ce trebuie facut pentru implementarea GDPR?

Sunt doua aspecte pe care trebuie sa le faca (aproape) orice companie:

- sa ia masurile organizatorice: definirea de proceduri si alte masuri referitoare la prelucrarea datelor personale;

- sa implementeze tehnic masuri de protectie a datelor si de informare a persoanelor

7. Ce presupune  documentatia legata de GDPR?

Sunt 4 componente mari ale documentatiei referitoare la GDPR:

- desemnarea unui responsabil in cazul:

  • autoritatilor publice 
  • monitorizeaza constant si pe scara larga persoane
  • prelucreaza date sensibile (stare de sanatate, date biometrice, apartenenta religioasa, politica sau sexuala) la scara larga

- elaborarea unei cartografii referitoare la procesele in care se prelucreaza date personale pentru:

  • operatorii din domeniul public
  • companiile cu peste 250 de angajati

- analiza de risc pentru:

  • institutiile susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul

- definirea unui set intreg de proceduri prin care se asigura protectia datelor personale pentru:

  • toti procesatorii de date cu caracter personal

8. Care este ratiunea documentatiei referitoare la GDPR?

Este vorba de un sistem de management al protectiei datelor personale, similar cu ISO. Prin urmare, companiile care au implementate sisteme certificate ISO ar trebui sa fie deja obisnuite cu principiile. 

O documentatie completa si corecta presupune:

- un manual GDPR

- o set de proceduri de lucru (10-15 proceduri, in functie de cum sunt structurate, respectiv de complexitatea proceselor din cadrul institutiei)

- un set de formulare prin care:

  • se implementeaza masurile decise
  • ce certificat implementarea masurilor definite in sistemul GDPR

9. Care este data de la care se aplica Regulamentul (UE) 2016/679?

Regulamentul se aplica incepand cu data de 25 mai 2018.

10. Care este autoritatea competenta in controlul implementarii normelor GDPR?

In Romania, institutia cu competente in controlul implementarii normelor GDPR este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.