GDPR – muma ori ciuma?! GDPR nu este o optiune, este o obligatie legala ce isi incepe efectele din 25 mai 2018. Ce este, ce masuri trebuie sa iei, ce este DPO?

Ghid GDPR Reinvent Consulting
Ghid GDPR Reinvent Consulting

GDPR – muma ori ciuma?! GDPR nu este o optiune, este o obligatie legala ce isi incepe efectele din 25 mai 2018. Regulamentul Uniunii Europene 679/2016 privind protectia datelor personale – GDPR (General Data Protection Regulation) schimba modalitatea in care firmele pot folosi datele personale pentru cercetari de piata specifice, sau in scop comercial,  redefineste datele personale stabilind ca acestea sunt constituite din orice informatie care permite indentificarea unui individ, ofera mai multe drepturi persoanelor.

 Vezi GHIDUL nostru pentru o mai buna intelegere si aplicare a regulamentului GDPR.

Continut:

    1. Introducere
    2. Ce este GDRP?
    3. Principiile GDPR
    4. Regulamentul GDPR este aplicabil in orice firma?
    5. Cum se gestioneaza datele?
    6. Obtinerea consimtamantului
    7. Drepturile de confidentialitate ale persoanelor
    8. Notificarile privind transparenta si confidentialitate
    9. Transferuri de date in afara UE
    10. Securitatea datelor si raportarea incalcarilor
    11. Ofiterul pentru protectia datelor (DPO)
    12. Raspunderea pentru daune
    13. Sanctiuni neimplementare Regulament GDPR
    14. Ce masuri trebuie sa iei in firma ta? Pasi de urmat!
    15. Beneficiile GDPR pentru un business

1. Introducere

Regulamentul GDPR nu este o alegere, din 25 mai 2018 va fi o obligatie legala in toate tarile Uniunii Europene.

Compatibilitatea cu GDPR nu este doar o chestiune de a bifa cateva reguli si atat; regulamentul cere sa demonstrezi respectarea principiilor de protectie a datelor cu caracter personal. Aceasta implica adoptarea unei abordari bazate pe riscuri in ceea ce priveste protectia datelor, asigurarea unor politici si proceduri adecvate pentru a face fata principiilor transparentei si responsabilitatii, precum si a drepturilor persoanelor si construirea unei culturi a datelor la locul de munca si a securitatii lor.

Cu ajutorul cadrului de conformitate corespunzator, nu numai ca vei putea evita amenzi semnificative si daune reputationale, dar totodata le poti arata clientilor ca firma este de incredere si poate gestiona informatiile confidentiale despre clienti.

2. Ce este GDPR?

GDPR (General Data Protection Regulation) este un regulament adoptat de Parlamentul European in aprilie 2016, ce va intra in vigoare in toata tarile Uniunii Europene incepand cu data de 25 mai 2018.

Asadar, GDPR reprezinta cadrul legal european unic al prelucrarilor de date personale pe care orice companie va trebui sa-l respecte.

GDPR  inlocuieste Directiva privind protectia datelor cu caracter personal 95/46/EC, deci toate obligatiile deja existente vor fi mentinute si in viitor.

3. Principiile GDPR

Datele personale trebuie prelucrate in conformitate cu cele sase principii de protectie a datelor:

  • Prelucrare in mod legal, corect si transparent.
  • Colectare numai pentru scopuri legitime specifice.
  • Folosire adecvata, relevanta si limitata la ceea ce este necesar.
  • Trebuie sa fie corecte si actualizate.
  • Stocate numai atata timp cat este necesar.
  • Trebuie asigurata securitatea, integritatea si confidentialitatea in mod corespunzator.

4. Regulamentul GDPR este aplicabil in orice firma?

In principiu GDPR se aplica in orice companie care prelucreaza date cu caracter personal, fie pentru propriul ei interes, fie in interes propriu, fie in interesul altor companii.

Cand vorbim de date personale vorbim de o serie larga de informatii precum nume, adresa fizica, adresa de e-mail, fotografii, adresa IP, locatie, comportament online (cookie), datele de profil si de analiza, rasa, religie, optiuni politice, apartenenta sindicat, orientare sexuala, informatii sanatate, date biometrice, date genetice.

Atentie! GDPR se aplica nu doar companiilor cu sediul in Uniunea Europeana, ci si celor cu sediul in alte state ale lumii,dar care prelucreaza date personale ale unor persoane din Uniunea Europeana. Cu alte cuvinte, daca un retailer mare din spatiul non-UE vinde online si livreaza bunuri catre persoane din UE, atunci compania respectiva este obligata sa respecte conditiile impuse de GDPR.

GDPR se aplica tuturor organizatiilor UE – fie comerciale, caritate sau autoritati publice – care colecteaza, stocheaza sau proceseaza datele cu caracter personal ale rezidentilor UE, chiar daca nu sunt cetateni ai UE.

Companiile din afara UE care ofera bunuri sau servicii rezidentilor din UE sun tobligate sa monitorizeaza comportamentul referitor la procesarea datele personale, in acord cu reglementarile GDPR.

Furnizorii de servicii (procesatori de date) care proceseaza date in numele unei organizatii intra in sfera de competenta a GDPR si vor avea obligatii specifice de conformitate.

5. Cum se gestioneaza datele?

In vederea indeplinirii cerintelor GDPR, gestionarea datelor trebuie sa tina cont de: 

  • Infiintarea unei structuri de guvernare cu roluri si responsabilitati;
  • Pastrarea unei inregistrari detaliate a tuturor operatiunilor de prelucrare a datelor;
  • Documentarea politicilor si procedurilor de protectie a datelor;
  • Evaluari de impact privind protectia datelor (DPIA) pentru operatiunile de procesare cu risc ridicat;
  • Implementarea masurilor adecvate pentru asigurarea datelor cu caracter personal;
  • Instruirea si constientizarea personalului;
  • Daca este necesar, numiti un ofiter de protectie a datelor.

6.  Obtinerea consimtamantului

Exista reguli mai stricte pentru obtinerea consimtamantului:

  • Consimtamantul trebuie sa fie dat in mod liber, specific, informat si lipsit de ambiguitate.
  • Cererea de aprobare trebuie sa fie inteligibila si in limbaj clar si simplu.
  • Bifarea unei casute de acord nu va mai fi suficiente ca consimtamant.
  • Consimtamantul poate fi retras in orice moment.
  • Consimtamantul pentru servicii online de la un copil cu varsta sub 13 ani este valabil numai cu autorizatia parentala.
  • Organizatiile trebuie sa poata demonstra consimtamantul.

7. Drepturile de confidentialitate ale persoanelor

Drepturile persoanelor sunt sporite si extinse in mai multe domenii importante:

  • Dreptul de acces la datele personale prin solicitari de acces la subiect.
  • Dreptul de a corecta datele personale inexacte.
  • Dreptul de a sterge datele cu caracter personal in anumite cazuri.
  • Dreptul la obiect.
  • Dreptul de a muta datele personale de la un furnizor la altul (portabilitatea datelor).

8. Notificarile privind transparenta si confidentialitatea

Companiile trebuie sa fie clare si transparente cu privire la modul in care vor fi procesate datele cu caracter personal, indifferent de cine o fac si de ce.

Notificarile de confidentialitate trebuie sa fie furnizate intr-o forma concisa, transparenta si usor accesibila, folosind un limbaj clar si simplu.

9. Transferuri de date in afara UE

Transferul de date cu caracter personal in afara UE este permis numai:

  • in cazul in care UE a desemnat o tara ca sigura din punct de vedere al protectiei datelor;
  • prin contracte model sau reguli corporative obligatorii;
  • Prin respectarea unui mecanism de certificare aprobat, de ex. Acordul de confidentialitate UE-SUA.

10. Securitatea datelor si raportarea incalcarilor

Datele personale trebuie sa fie protejate impotriva prelucrarii neautorizate si impotriva pierderii, distrugerii sau deteriorarii accidentale.

Incalcarea datelor trebuie raportata autoritatii de protectie a datelor in decurs de 72 de ore de la descoperire.

Persoanelor afectate ar trebui sa li se spuna unde exista un risc ridicat pentru drepturile si libertatile lor, de ex. furtul de identitate, siguranta personala.

11. Ofiterul pentru protectia datelor (DPO)

Numirea unui reprezentant pentru protectia datelor este obligatorie pentru:

  • Autoritati publice;
  • Organizatii implicate in procesarea cu grad ridicat de risc;
  • Organizatiile care proceseaza categorii speciale de date. 

Sarcini DPO:

  • Informarea si consilierea organizarii obligatiilor sale;
  • Monitorizarea conformitatii, inclusiv constientizarea, pregatirea si auditul personalului;
  • Coopereaza cu autoritatile de protectie a datelor si actioneaza ca un persoana de contact.

12. Raspunderea pentru daune

De asemenea, GDPR acorda persoanelor dreptul la despagubiri pentru orice daune materiale si / sau morale care rezulta din incalcarea GDPR. In anumite cazuri, organismele non-profit pot lua masuri reprezentative in numele persoanelor.

13. Sanctiuni neimplementare Regulament GDPR

Atentie! Firmele care nu vor respecta noile reguli privind protectia datelor risca amenzi de pana la 4% din cifra de afaceri globala totala anuala aferenta exercitiului financiar anterior.

Asadar, nerespectarea GDPR poate atrage mai multe tipuri de sanctiuni, inclusiv amenzi de pana la 20 de milioane de euro sau 4% din cifra de afaceri globala, oricare dintre acestea este mai mare. In plus, daca au suferit un prejudiciu, persoanele vizate pot obtine despagubiri care sa acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.

14. Ce masuri trebuie sa iei in firma ta? Pasi de urmat!

  • Verifica daca exista nereguli in prelucrarea datelor clientilor tai;
  • Verifica modul in care se prelucreaza aceste date, unde, cum, unde ajung informatiile, cum sunt securizate;
  • Verifica daca trebuie sa numeste un responsabil cu protectia datelor. Asigura-te ca merg la cursuri dedicate si au inteles ce au de facut si ce trebuie urmarit si implementat;
  • Verifica daca acolo unde este nevoie de consimtamant, acesta respecta cerintele GDPR.
  • Verifica contractele care implica date personale, in special alocarea responsabilitatilor si raspunderea fiecarei parti, precum si solutionarea disputelor si limitarea raspunderii. Sanctiunile ridicate si raspunderea solidara intre operator si imputernicit sau intre operatorii asociati, face ca limitarea de raspundere pentru chestiuni de prelucrare a datelor sa aiba nevoie de analiza detaliata.
  • identifica toate datele din cadrul organizatiei si a locurilor in care ele sunt tinute. Se iau in considerare toate datele personale (inclusiv IP), si toate locatiile, inclusiv media portabile, back-up-uri, mail-uri, liste de prezenta, etc. Se face un inventar de date complet.
  • Stabileste modul de gestiune al datelor: vezi cine are acces la date si cine ar trebui sa aiba acces la date, fluxurile de date – atat cu intrari (pe unde intra datele in firma – mail, aplicatii desktop sau mobile, formulare de la evenimente etc.), locurile unde sunt procesate, procesarile ce se efectueaza si cum ies datele din firma ( pe mail, fie pe back-up-uri, fie sunt distruse etc.). Se stabilesc rolurile fiecarei persoane care are acces.
  • Protectia datelor – se stabilesc politicile de securitate, de criptare, de transport a datelor, de back-up etc.
  • Stabileste mecanismele de auditare cerute de autoritati – cum logam accesul la fiecare tip de date, pentru fiecare operatiune folosind fie mijloace electronice, fie mijloace analoage (pentru datele aflate pe hartii, de exemplu, se pot folosi registre de acces).

15. Beneficiile GDPR pentru un business

  • Creste increderea clientilor;
  • Imbunatateste imaginea si reputatia marcii;
  • Imbunataeste administrarea datelor;
  • Imbunatateste securitatea informatiilor;
  • Ofera avantaj competitiv.

Misiunea noastra: formarea unei comunitati de antreprenori informati, bine pregatiti, la curent cu actualizarile juridice si fiscale!

Reinvent Consulting este marca Grupului de firme REINVENT. Reinvent Consulting are 10 ani de experienta in domeniul serviciilor integrate privind infiintarea de societati comerciale, evidenta contabila, inregistrarea de mentiuni la Registrul Comertului (schimbare sediu social, modificare obiect de activitate, deschidere/ inchidere punct de lucru, cesiuni parti sociale, numire/ revocare administrator), inregistrari marci la OSIM si alte servicii conexe dedicate societatilor comerciale.

Daca nu detineti o proprietate unde sa va puteti inregistra sediul social al societatii comerciale, va punem la dispozitie serviciul de gazduire de sedii sociale.

Pentru detalii, ne puteti contacta la numarul de telefon (+4)021.318.69.60 sau pe adresa de e-mail financiar.contabil@reinventconsulting.ro. Unul dintre consultantii nostri va sta la dispozitie de Luni pana Vineri, intre orele 09:00-17:30.

www.reinventconsulting.ro

https://www.facebook.com/reinventconsulting/

Da share la acest articol!

Pe aceeasi tema

Related Posts

Add a Comment

Your email address will not be published. Required fields are marked *