GDPR

GDPR - Consultanta pentru conformare

GDPR a apărut ca o necesitate odată cu adoptarea Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. Regulamentul este un pas esențial pentru consolidarea drepturilor fundamentale ale persoanelor în era digitală și facilitarea afacerilor prin clarificarea regulilor pentru companii și organismele publice de pe piața unică digitală. O singură lege va elimina, de asemenea, fragmentarea actuală în diferite sisteme naționale și sarcinile administrative inutile.

Țările UE au înființat organisme naționale responsabile cu protejarea datelor cu caracter personal în conformitate cu articolul 8 alineatul (3) din Carta drepturilor fundamentale a UE.

Cum se implementează GDPR intr-o organizație

1. Analiza decalajelor existente

Pentru a evalua protecția datelor organizației trebuie efectuată o „analiză a decalajului” între starea actuală a conformității cu protecția datelor și obligațiile care decurg din GDPR.
Astfel, într-un prim pas, organizația ar trebui să colecteze informații despre activitățile sale curente de protecție a datelor (de exemplu (i) care entități / departamente procesează ce tip de date în ce scopuri, (ii) responsabilități interne, (iii) cum sunt persoanele vizate) drepturile protejate, (iv) au fost numiți ofițerii de protecție a datelor, (v) ce măsuri de securitate IT sunt în vigoare etc.).
Într-un al doilea pas, organizația trebuie să evalueze cerințele care derivă din GDPR și se aplică în mod specific.

2. Analiza riscurilor

Eforturile pentru implementarea cerințelor GDPR sunt în general mari; nu toate cerințele pot fi îndeplinite în mod rezonabil simultan. Organizația va trebui să evalueze ce tip de activități de prelucrare a datelor prezintă cel mai mare risc pentru (i) activitatea sa și / sau (ii) drepturile persoanelor vizate, precum și (iii) care riscuri conduc cel mai probabil la amenzi mari (de exemplu, prin evaluarea scenariilor pe care autoritățile le-au sancționat cu amenzi în trecut) și, respectiv, aranjarea resurselor sale.
Eforturile pentru respectarea protecției datelor ar trebui să fie mai mari pentru activitățile de prelucrare riscante și mai mici pentru activitățile de prelucrare mai puțin riscante.

3. Definirea proiectului și planificarea resurselor / bugetului

Procesul de implementare GDPR necesită colaborarea între entitățile organizației, precum și conștientizarea activităților de realizat la nivelul managementului. Organizația trebuie să atribuie responsabilitățile proiectului să desemneze un manager de proiect. Acesta poate fi, de asemenea, un consilier extern.
Organizația trebuie să aloce resursele necesare. Planificarea trebuie să acopere în special (i) resursele interne, cum ar fi personalul necesar implementării, (ii) costurile juridice, precum și (iii) costurile IT (de exemplu, pentru achiziție de software; audit IT etc.).

4. Implementarea unei structuri de protecție a datelor

GDPR include o serie de cerințe stricte de protecție a datelor, cum ar fi:
Drepturi cuprinzătoare ale persoanelor vizate (de exemplu, în ceea ce privește informațiile, accesul și corectarea / ștergerea; dreptul la portabilitatea datelor; dreptul de a se opune activităților de prelucrare a datelor, „dreptul de a fi uitat” – obligația de a transmite cererile de acces / ștergere către terții destinatari de date; cerințele pentru declarațiile de consimțământ etc.)
Cerințe organizaționale (de exemplu, obligația de a avea înregistrări ale activităților de prelucrare care să rezume activitățile interne de prelucrare a datelor; necesitatea efectuării evaluărilor impactului asupra protecției datelor și de a numi responsabili pentru protecția datelor în diferite cazuri; respectarea confidențialității prin proiectare și cerințele implicite pentru a se asigura că sistemele de prelucrare a datelor sunt prietenoase cu confidențialitatea ; obligația de a lega datele cu caracter personal cu scopurile pentru care au fost colectate, precum și cu baza legală pentru prelucrare; documentarea fluxurilor de date; având concepte de ștergere etc.)
Obligațiile de notificare (de exemplu, obligația potențială de informare a autorităților de supraveghere în termen de 72 de ore de la o încălcare a datelor, precum și a persoanelor în cauză)
Cerințe IT / securitate cibernetică
Cerințe contractuale (încheierea de acorduri complete de prelucrare a datelor cu furnizorii externi de servicii, precum și potențial în cadrul grupului de companii).

5. Crearea unui sistem de management al protecției datelor

GDPR stipulează o serie de cerințe care sunt dificil de gestionat, cu excepția cazului în care este implementat un sistem de management al protecției datelor. Un astfel de sistem ar trebui să funcționeze la nivel de grup, deoarece chiar și problemele de protecție a datelor în departamentele mai mici ale organizațiilor pot duce la amenzi mari.
(a) Roluri și responsabilități definite în entitățile implicate ale organizației
Organizația trebuie să înființeze o structură de persoane responsabile cu protecția datelor. Structura respectivă ar trebui să permită (i) acordarea cu ușurință a ordinelor și / sau sfaturilor legate de protecția datelor către departamentele implicate („abordare de sus în jos”), precum și (ii) comunicarea problemelor legate de protecția datelor către responsabilul principal („partea de jos sus ”comunicare).
(b) Proceduri și concepte
Multe dintre obligațiile GDPR pot fi puse în aplicare în mod eficient numai dacă sunt în vigoare concepte, politici și proceduri standard de operare, cum ar fi drepturile persoanelor vizate, obligațiile de notificare a încălcării datelor, evaluările impactului asupra protecției datelor etc. si trebuie să fie pregătite pentru a asigura respectarea GDPR.
(c) Instruire
Angajații trebuie să fie instruiți cu privire la obligațiile și responsabilitățile care decurg din GDPR. Organizatia ar trebui să adapteze instruirea la sarcinile angajatului. În acest sens, este logic să se mapeze cerințele de formare într-un concept de formare. Acest concept ar trebui să reflecte, de asemenea, ciclul de formare (formare regulată, instruire în cazul modificărilor legale (de exemplu, din cauza unor noi reglementări, jurisprudență, orientări actuale ale autorităților de supraveghere))
(d) Documentația de conformitate
Organizația trebuie să implementeze măsuri adecvate pentru a demonstra conformitatea cu cerințele GDPR. Nerespectarea conformității continue la cererea autorităților de supraveghere va duce la amenzi. Procedurile interne de protecție a datelor trebuie revizuite și actualizate frecvent. În acest scop, compania trebuie să efectueze audituri GDPR interne regulate.

6. Acorduri de prelucrare a datelor

Datorită numărului mare de acorduri pe care organizația trebuie să le încheie cu părți interne și externe, trebuie să implementeze o strategie de gestionare a contractelor de prelucrare a datelor:
Utilizarea de entități care prelucrează date cu caracter personal în numele organizației în conformitate cu instrucțiunile sale, va fi permisă numai dacă se încheie acorduri complete de prelucrare a datelor. Dacă există acorduri pre-GDPR, acestea vor trebui verificate pentru a vedea dacă respectă cerințele GDPR sau trebuie actualizate. Acest lucru se poate aplica și pentru partajarea de date intra-organizație (de exemplu, găzduirea datelor unei entități din grup pentru alte entități din grup).
În unele cazuri, diferitele entități ale organizației pot fi considerate controlori de date în comun dacă stabilesc în comun scopurile și mijloacele de prelucrare a datelor. În astfel de cazuri, în general trebuie încheiate acorduri de prelucrare a datelor între entitățile implicate.
Dacă datele cu caracter personal sunt transferate din SEE către o țară din afara SEE, ar putea fi necesare acorduri suplimentare de transfer de date.

7. Cerințe de actualizare/completare locală

În plus față de cerințele GDPR la nivelul UE, trebuie evaluat dacă se aplică cerințe naționale suplimentare deoarece statele membre ale UE au o largă discreție de a adopta reglementări naționale suplimentare care modifică și / sau prelucrează GDPR.
În majoritatea țărilor din SEE, există cerințe suplimentare legate de ocuparea forței de muncă în ceea ce privește prelucrarea datelor de resurse umane (cum ar fi, de exemplu, cerințe privind implicarea comitetelor de întreprindere din Germania și Franța sau un birou de muncă în Italia).

Dorești consultanta pentru o implementare rapida la costuri oneste?