SERVICII DE CONSULTANȚĂ ȘI IMPLEMENTARE A GDPR
Servicii de consultanță și implementare a Regulamentul (UE) 679/2016 privind protecția datelor cu caracter personal – GDPR
- Audit preliminar privind protecția datelor cu caracter personal
- Consiliere și implementare în cadrul organizației dumneavoastră privind conformarea cu GDPR
- Analiză și consiliere a politicii de confidențialitate a organizației
- Întocmirea procedurilor de securitate a datelor cu caracter personal și instrucțiuni de lucru
- Întocmirea registrului de prelucrare a datelor cu caracter personal
- Întocmirea notelor de informare
- Consultarea cu privire la necesitatea unei evaluări a impactului privind protecția datelor (DPIA), a modului de implementare și a rezultatelor sale
- Îndrumări privind monitorizarea, gestionarea și raportarea încălcării datelor
- Gestionarea legăturii cu persoanele fizice în chestiuni legate de confidențialitate
- Consiliere privind transferul datelor cu caracter personal în străinătate (țări din cadrul UE sau țări terțe)
- Participarea unui consultant în cadrul organizației dumneavoastră (dacă este cazul)
- Servicii de consiliere și îndrumare privind protecția datelor și GDPR, cu răspuns în cel mult 24 de ore la solicitările dumneavoastră prin platforma de eticketing pentru o comunicare cât mai eficientă și rapidă (Opțional)
- Instruirea unui reprezentant din organizația dumneavoastră, ce ulterior să fie desemnat DPO și notificat la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cadrul unuia dintre cursurile organizate de EU Privacy în parteneriat cu Camera de Comerț și Industrie a României.
Introducere în GDPR:
La 4 mai 2016 a fost publicat în Jurnalul Oficial al Uniunii Europene, L119, Regulamentul (UE) 679/2016 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), instrument legislativ european care a intrat în vigoare 20 de zile mai târziu, la 25 mai 2016, statele membre, instituțiile și autoritățile naționale, precum și întreprinderile care au sediul în Uniunea Europeană (UE), dar și orice altă întreprindere (companie) care oferă servicii sau produse și prelucrează datele cu caracter personal ale persoanelor din UE, având la dispoziție 2 ani pentru a-și adapta politicile și procesele operaționale interne în scopul asigurării conformității cu Regulamentul general privind protecția datelor (GDPR).
Data de la care Regulamentul (UE) 679/2016 produce efecte este 25 mai 2018.
În ceea ce privește asigurarea conformității cu principiile GDPR are în vedere un singur punct de plecare: creșterea nivelului de conștientizare, în special prin înțelegea conceptelor și a mecanismelor presupuse de o aplicare coerentă. În același timp, trebuie avut în vedere că protecția datelor cu caracter personal nu se rezumă doar la asigurarea unui nivel de securitate adecvat al acestor date. Chiar titlul GDPR precizează ipotezele subsumate conceptului de protecție a datelor cu caracter personal: pe de o parte, protecția persoanei față de prelucrări, în sensul reducerii la minim a datelor prelucrate și, pe de altă parte, libera circulație a acestor date în condițiile stabilite de GDPR.
Astfel, o simplă trecere în revistă a principalelor elemente ale unui mecanism de conformitate cu principiile GDPR, ar trebui să cuprindă cel puțin:
- Conștientizare – înțelegea conceptelor și identificarea situației existente în cadrul organizației – esențială este nu numai identificarea diferitelor categorii de date cu caracter personal ci, în special, a operațiunilor de prelucrare a acestor date, în scopul identificării modului în care circulă acestea;
- Identificarea/determinarea și reconsiderarea temeiului legal al fiecărei prelucrări de date cu caracter personal realizate în cadrul organizației;
- Reevaluarea categoriilor de date cu caracter personal prelucrate în scopul asigurării respectării principiului responsabilității;
- Crearea unui mecanism de informare a persoanei vizate și de asigurare a respectării drepturilor acesteia.
- Determinarea și stabilirea responsabilităților la nivelul operatorului de date cu caracter personal și în cadrul fluxurilor prin care se asigură libera circulație a datelor;
- Identificarea și reglementarea transferurilor de date cu caracter personal către țări terțe;
- Relația cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;
Trebuie spus că, la nivel teoretic, mai mult sau mai puțin conștient, au fost dezvoltate două abordări în gestionarea procesului de respectare a principiilor GDPR:
- Abordarea bazată pe verificarea conformității (compliance) – realizarea unui audit și verificarea modului în care sunt respectate o serie de măsuri extrase din GDPR și cuprinse, de regulă, în chestionare.
- Abordarea bazată pe responsabilitate – operatorul, având ca reper principiile prelucrării reglementate expres și exhaustiv de GDPR, își setează prelucrările și procesele operaționale astfel încât acestea să fie limitate strict la atingerea scopului urmărit.
Totuși, indiferent de complexitatea masurilor adoptate la nivelul organizației în scopul asigurării conformității cu GDPR, acestea se vor dovedi inutile în măsura în care nu sunt realizate concomitent cu măsuri de creștere a nivelului de conștientizare în cadrul organizației începând de la nivelul utilizatorilor și terminând cu nivelul decidenților (sau invers). Creșterea nivelului de conștientizare poate fi realizată prin intermediul cursurilor de introducere sau de instruire în domeniul protecției datelor cu caracter personal.
Trainingul angajaților trebuie realizat indiferent de nivelul acestora, un nivel de conformitate adecvat prin raportare la principiile GDPR fiind de neconceput în lipsa unei culturi organizaționale care include, pe lângă măsurile organizatorice și tehnice adoptate la nivelul entității, și măsuri privind creșterea nivelului de conștientizare.