Proceduri GDPR obligatorii în orice IMM

0
59
Proceduri GDPR obligatorii în orice IMM

Deși General Data Protection Regulation (Regulamentul General de Protecție a Datelor) a intrat în vigoare încă din 2018, efectele sale încă se fac simțite, aducând schimbări majore în toate companiile, indiferent de mărimea lor. Noul regulament aduce o serie de proceduri GDPR obligatorii în orice IMM, precum și sancțiuni deosebit de severe pentru nerespectarea/implementarea cerințelor regulamentului în vigoare.

Implementarea GDPR în cadrul IMM-urilor

Noul Regulament European privind protecția datelor personale (General Data Protection Regulation – UE 679/2016) a intrat în vigoare în data de 25 mai 2018, aducând o serie de modificări privind modul de prelucrare, procesare și stocare a datelor persoanelor fizice. Pe scurt, conform noilor prevederi, toate societățile au obligativitatea de a implementa o serie de formalități care să faciliteze o mai bună transparență și informare privind procesarea și protecția datelor personale: termeni, acorduri, condiții de confidențialitate, declarații între companie și clientul persoană fizică, precum și între entitate și angajat etc. 

Pentru IMM-uri, implementarea GDPR poate reprezenta o piedică în realizarea cu succes a activității de bază, în special dacă nu se cunosc principalele proceduri de aliniere la cerințele noului regulament de protecție a datelor. Iată care sunt procedurile GDPR obligatorii în orice IMM.

Proceduri GDPR pentru orice IMM

În cazul în care ai un IMM și nu ai implementat încă normele GDPR iată tot ce trebuie să știi pentru a îndeplini cerințele noului Regulament European și pentru a te proteja de amenzi și sancțiuni. 

Procedura 1: Conștientizarea importanței GDPR

Pentru o implementare corectă a normelor și prevederilor în vigoare, se recomandă în primul rând cunoașterea noilor măsuri impuse de prezentul regulament, precum și o analiză a datelor prelucrate și stocate în cadrul companiei. O condiție esențială ar fi întocmirea de către conducerea companiei a procesului-verbal de conștientizare a importanței GDPR, care să cuprindă:

  • datele firmei
  • echipa de conducere
  • echipa de conformare
  • acțiuni de conformare și măsuri de implementat
  • termen de implementare

Procedura 2: Actualizarea politicii de confidențialitate

Intrarea în vigoare a GDPR-ului a adus o mare schimbare referitoare la politicile de confidențialitate practicate de operatorii de date cu caracter personal. Mai exact, persoanele vizate ar trebui informate despre 

  • datele ce vor fi stocate și prelucrate, 
  • scopul preluării datelor, timpul de stocare și 
  • baza legală. 

În actualizarea politicii de confidențialitate, IMM-urile trebuie să țină cont de două mari modificări impuse de noul Regulament și anume 

  • dreptul la retragerea consimțământului (conform articolului 7) și 
  • dreptul la opoziția prelucrării datelor (articolul 21).

Procedura 3: Proceduri GDPR legate de responsabilul de protecția datelor – Numirea și responsabilitățile DPO

Conform Regulamentului UE 2016/679 toate instituțiile publice precum și majoritatea companiilor private au obligativitatea de a numi un Responsabil cu protecția datelor (DPO), care 

  • să răspundă de modul de conformare la normele și procedurile GDPR, și care să 
  • se asigure ca noul regulament este respectat întocmai. 

Acest DPO (Data Protection Officer) poate fi 

  • din interiorul instituției, membru al echipei de conducere, sau 
  • din exterior. 

O procedură GDPR pe care orice IMM trebuie să o implementeze este numirea unui DPO printr-un proces-verbal care să conțină 

  • datele firmei
  • numele membrilor din conducere
  • numele persoanei care va ocupa funcția de Responsabil cu Protecția Datelor
  • data de la care se vor exercita sarcinile cuprinse în fișa de post.

Fisa de post a DPO derivă și este detaliată în cadrul articolului 29 din prezentul regulament, cuprinzând două atribuții principale ale responsabilului. Astfel, conform fișei de post, acesta trebuie să:

  • asigure respectarea drepturilor persoanelor al căror date sunt prelucrate și stocate
  • asigure alinierea și conformare companiei la normele și prevederile GDPR
  • asigure relația cu Autoritatea Națională de Supraveghere și Protecție a Datelor cu Caracter Personal.

Procedura 4: Notificarea ANSPDCP

Pentru o siguranță sporită a datelor stocate în cadrul unei entități nu este suficient să se realizeze implementarea GDPR. Se recomandă refacerea auditului GDPR periodic pentru a se identifica eventualele breșe de securitate, cibernetică sau umană, ce pot surveni ulterior încheierii raportului de audit. 

În plus, orice IMM are obligația de informa autoritatea competenta în domeniul protecției datelor cu caracter personal (ANSPDCP) prin rapoarte periodice cu privire la statusul aspectelor prevăzute de noul regulament.

Procedura 5: Informarea angajaților privind prelucrarea datelor

O procedură extrem de importantă în conformarea corecta a GDPR în cadrul unui IMM se referă la informarea și instruirea angajaților cu privire la modul de colectare și prelucrare a datelor cu caracter personal. Se recomandă periodic, cu ocazia realizării auditului, un instructaj al angajaților, individual sau colectiv, în scopul informării acestora despre:

  • datele colectate și prelucrate
  • mijloacele de colectare 
  • modul de stocare și prelucrare
  • temeiul legal al prelucrării și stocării datelor
  • perioada de retenție a datelor
  • DPO-ul companiei

Este recomandat ca această informare să se facă atât verbal, cât și în scris, și să se realizeze un proces-verbal care să ateste instructajul primit de angajații din cadrul IMM referitor la respectarea normelor GDPR.

Procedura 6: Inserarea clauzei privind protecția datelor personale în contractele companiei

Pentru o aliniere conformă normelor GDPR, IMM-urile trebuie să includă atât în contractele cu partenerii de afaceri, cât și în contractele individuale de muncă, o clauză referitoare la protecția și prelucrarea datelor cu caracter personal. 

Procedura 7: Contractarea unui specialist GDPR

Așa cum pentru o evidență contabilă corectă se recomandă contractarea unui expert contabil, sau pentru câștigarea unui proces în instanță este nevoie de un avocat, și pentru conformarea GDPR cu succes este nevoie ca orice IMM să contracteze un specialist GDPR care să realizeze un audit GDPR și care să ofere consultanța necesară alinierii corecte la prevederile legale actuale.

Articolul precedentConformare GDPR: pași de urmat pentru companii
Articolul următorRevolut lansează conturile IBAN în lei prin Libra Internet Bank – Află cum te poate afecta această modificare

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.