Consultanta – Eu privacy

Servicii de consultantă și implementare a Regulamentul (UE) 679/2016 privind protecția datelor cu caracter personal – GDPR

 

  • Audit preliminar privind protecția datelor cu caracter personal
  • Consiliere și implementare în cadrul organizației dumneavoastră privind conformarea cu GDPR
    • Analiza si consiliere a politicii de confidențialitate a organizației
    • Întocmirea procedurilor de securitate a datelor cu  caracter personal si instructiuni de lucru
    • Întocmirea registrului de prelucrare a datelor cu caracter personal
    • Întocmirea notelor de informare
    • Consultarea cu privire la necesitatea unei evaluări a impactului privind protecția datelor (DPIA), a modului de implementare și a rezultatelor sale
    • Îndrumari privind monitorizarea, gestionarea și raportarea încalcarii datelor
    • Gestionarea legăturii cu persoanele fizice în chestiuni legate de confidențialitate
    • Consiliere privind transferul datelor cu caracter personal în străinatate (țări din cadrul UE sau țări terțe)

 

  • Participarea unui consultant in cadrul organizatiei dumneavoastra (daca este cazul)
  • Servicii de consiliere si indrumare privind protectia datelor si GDPR, cu raspuns in cel mult 24 de ore la solicitarile dumneavoastra prin platforma de eticketing pentru o comunicare cat mai eficienta si rapida (Optional)
  • Instruirea unui reprezentant din organizatia dumneavoastra, ce ulterior sa fie desemnat DPO si notificat la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cadrul unuia dintre cursurile organizate de EU Privacy în parteneriat cu Camera de Comert și Industrie a Romaniei.

 

 

 

Introducere in GDPR:

 

La 4 mai 2016 a fost publicat în Jurnalul Oficial al Uniunii Europene, L119, Regulamentul (UE) 679/2016 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), instrument legislativ european care a intrat în vigoare 20 de zile mai târziu, la 25 mai 2016, statele membre, instituțiile și autoritățile naționale, precum și întreprinderile care au sediul în Uniunea Europeană (UE), dar și orice altă întreprindere (companie) care oferă servicii sau produse și prelucrează datele cu caracter personal ale persoanelor din UE, având la dispoziție 2 ani pentru a-și adapta politicile și procesele operaționale interne în scopul asigurării conformității cu Regulamentul general privind protecția datelor (GDPR).

 

Data de la care Regulamentul (UE) 679/2016 produce efecte este 25 mai 2018.

 

În ceea ce privește asigurarea conformității cu principiile GDPR are în vedere un singur punct de plecare: creșterea nivelului de conștientizare, în special prin înțelegea conceptelor și a mecanismelor presupuse de o aplicare coerentă. În același timp, trebuie avut în vedere că protecția datelor cu caracter personal nu se rezumă doar la asigurarea unui nivel de securitate adecvat al acestor date. Chiar titlul GDPR precizează ipotezele subsumate conceptului de protecție a datelor cu caracter personal: pe de o parte, protecția persoanei față de prelucrări, în sensul reducerii la minim a datelor prelucrate și, pe de altă parte, libera circulație a acestor date în condițiile stabilite de GDPR.

Astfel, o simplă trecere în revistă a principalelor elemente ale unui mecanism de conformitate cu principiile GDPR, ar trebui să cuprindă cel puțin:

  1. Conștientizare – înțelegea conceptelor și identificarea situației existente în cadrul organizației – esențială este nu numai identificarea diferitelor categorii de date cu caracter personal ci, în special, a operațiunilor de prelucrare a acestor date, în scopul identificării modului în care circulă acestea;
  2. Identificarea/determinarea și reconsiderarea temeiului legal al fiecărei prelucrări de date cu caracter personal realizate în cadrul organizației;
  3. Reevaluarea categoriilor de date cu caracter personal prelucrate în scopul asigurării respectării principiului responsabilității;
  4. Crearea unui mecanism de informare a persoanei vizate și de asigurare a respectării drepturilor acesteia.
  5. Determinarea și stabilirea responsabilităților la nivelul operatorului de date cu caracter personal și în cadrul fluxurilor prin care se asigură libera circulație a datelor;
  6. Identificarea și reglementarea transferurilor de date cu caracter personal către țări terțe;
  7. Relația cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;

Trebuie spus că, la nivel teoretic, mai mult sau mai puțin conștient, au fost dezvoltate două abordări în gestionarea procesului de respectare a principiilor GDPR:

  1. Abordarea bazată pe verificarea conformității (compliance) – realizarea unui audit și verificarea modului în care sunt respectate o serie de măsuri extrase din GDPR și cuprinse, de regulă, în chestionare.
  2. Abordarea bazată pe responsabilitate – operatorul, având ca reper principiile prelucrării reglementate expres și exhaustiv de GDPR, își setează prelucrările și procesele operaționale astfel încât acestea să fie limitate strict la atingerea scopului urmărit.

Totuși, indiferent de complexitatea masurilor adoptate la nivelul organizației în scopul asigurării conformității cu GDPR, acestea se vor dovedi inutile în măsura în care nu sunt realizate concomitent cu măsuri de creștere a nivelului de conștientizare în cadrul organizației începând de la nivelul utilizatorilor și terminând cu nivelul decidenților (sau invers). Creșterea nivelului de conștientizare poate fi realizată prin intermediul cursurilor de introducere sau de instruire în domeniul protecției datelor cu caracter personal.

Trainingul angajaților trebuie realizat indiferent de nivelul acestora, un nivel de conformitate adecvat prin raportare la principiile GDPR fiind de neconceput în lipsa unei culturi organizaționale care include, pe lângă măsurile organizatorice și tehnice adoptate la nivelul entității, și măsuri privind creșterea nivelului de conștientizare.

 

Responsabilul cu protecția datelor cu caracter personal (Data protection officer – DPO).

Un subiect extrem de dezbătut în ultima perioadă este cel reprezentat de Responsabilul cu protecția datelor cu caracter personal (Data protection officer – DPO). Desemnarea/numirea un DPO este considerat, pe bună dreptate, ca fiind un model de bună practică, asigurând, pe de o parte, conformitatea cu GDPR și, pe de altă parte, contribuind la asigurarea respectării principiului responsabilității la nivelul operatorului de date cu caracter personal. Una dintre inovațiile GDPR este reprezentată de faptul că operatorul este obligat să demonstreze conformitatea, iar desemnarea/numirea unui DPO este considerată ca fiind o formă prin care operatorul demonstrează că este responsabil. Nu uitați de obligația de a notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu privire la numirea/desemnarea unui DPO. În ceea ce privește certificările pe care trebuie să le dețină DPO, GDPR nu impune niciun fel de condiție în acest sens, stabilind doar că desemnarea/numirea DPO trebuie realizată de către operator sau de către persoana împuternicită pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute de GDPR

 

Concluzii:

Asigurarea conformității cu GDPR trebuie să fie un proiect pe termen lung, derulat în considerarea principiului responsabilității, de natură să conducă la întărirea rolului operatorului în gestionarea prelucrărilor de date cu caracter personal pe care le determină și să crească încrederea persoanelor vizate în ceea ce privește coerența și securitatea operațiunilor de prelucrare care implică date de natură a le identifica. În acest context, 25 mai 2018 trebuie să reprezinte un reper doar în ceea ce privește aplicarea directă a Regulamentului General privind Protecția Datelor, finalitatea proiectului fiind circumscrisă implementării reale a principiilor prelucrării datelor cu caracter personal în scopul asumării responsabilității prelucrărilor de către operator de o manieră transparentă și coerentă.