Sursa foto: https://www.pexels.com/photo/man-holding-a-megaphone-3851254/
Vrem să fim foarte sinceri cu tine de la bun început: dacă te aștepți ca acest articol să-ți răspundă la toate întrebările legate de GDPR, cel mai probabil vei fi profund dezamăgit. Subiectul este pur și simplu prea complex și cu prea multe fațete. Pe de altă parte, dacă îl privești ca pe un scurt ghid care să-ți aducă la cunoștință cele mai importante elemente, dar și care să te îndrume în alegerea unui DPO, de exemplu, atunci vei fi foarte mulțumit. Acestea fiind zise, iată ce ar fi cazul să cunoști despre GDPR.
Pe cine poate afecta regulamentul GDPR
Prevederile GDPR au un impact major asupra tuturor organizațiilor din Uniunea Europeană, dar și firmelor aflate în afara UE. Așadar, dacă organizația ta oferă produse/servicii către subiecți de date din UE sau/și monitorizează comportamentul lor, atunci vei fi influențat de aceste prevederi. Nu în ultimul rând, prevederile sunt valabile atât pentru cei care operează, cât și pentru cei care colectează datele. Vrei ca angajații tăi să ie cele mai bune decizii în acest context? Ai nevoie de un training GDPR.
Ce înțelegem prin date cu caracter personal și categorii speciale de date?
Vorbeam mai sus despre subiectul datelor. Prin subiectul datelor ne referim la orice persoană identificată sau identificabilă cu ajutorul datelor cu caracter personal. Pe lista datelor cu caracter personal se regăsesc: numele, CNP-ul, adresa, venitul, adresa IP, profilul cultural, date deținute de medici sau spitale.
Pe lângă datele cu caracter personal, pe care cu siguranță le vei procesa, există și o categorie specială de date, pe care organizațiile nu trebuie să le prelucreze sau să le colecteze. Ne referim la orientarea sexuală, originea etnică sau rasială, opinii politice, convingeri filosofice sau religioase, date medicale biometrice sau genetice, cu anumite excepții, sau date referitoare la condamnări și infracțiuni, de asemenea cu anumite excepții.
Cum arată o informare GDPR completă?
În cazul în care firma ta se ocupă cu procesarea datelor personale, una dintre cele mai importante obligații pe care trebuie să le îndeplinești pentru a evita o amendă va fi să-ți informezi utilizatorii. În conformitate cu prevederile GDPR, pentru ca o astfel de informare să fie considerată corectă și completă, ea trebuie să cuprindă următoarele aspecte:
- Detalii despre compania/departamentul care este interesat de datele persoanei, precum și informații despre persoana responsabilă cu protecția datelor. Evident, informarea va conține inclusiv datele de contact ale persoanei responsabile;
- Detalii despre scopul în care datele vor fi procesate;
- Detalii despre persoanele care vor avea acces la date;
- Detalii despre perioada în care datele vor fi păstrate;
- O mențiune în cazul în care datele vor părăsi teritoriul țării;
- O informare adresată subiectului datelor, informare în care îi vor fi prezentate opțiunile pe care le are la dispoziție pentru a cere modificarea sau ștergerea datelor.
Ține minte, organizația ta este responsabilă atât pentru operațiunile sale de procesare/colectare a datelor, cât și pentru ce se întâmplă cu datele dacă acestea sunt colectate/prelucrate de organizații care se află în subordinea companiei mamă. Dacă nu cunoști toate detaliile, mai mult ca sigur vei avea nevoie de un audit.
Cât de repede trebuie să raportezi incidentele?
Adevărul este că perioada de raportare în cazul unui incident nu este deosebit de extinsă. Așadar, în cazul în care ai observat nereguli, de pildă o scurgere de informații, ai la dispoziție 72 de ore pentru a raporta incidentul către Autoritatea Națională de Supraveghere. Desigur, asta presupune și faptul că ai detectat neregulile. De asta vei avea nevoie de un sistem de monitorizare permanentă, de proceduri și sisteme capabile să protejeze datele și să identifice atacurile cibernetice, dar și de angajați special pregătiți în acest sens.
Dacă te simți puțin copleșit de ce ai citit mai sus nu ezita să apelezi la ajutorul specialiștilor!
