Regulamentului privind protecția datelor (GDPR)

1.      Conștientizarea

Trebuie asigurat ca factorii de decizie cheie, persoanele din organizație sunt conștiente de faptul că legea privind protecţia datelor personale se schimbă prin intrarea în vigoare a Regulamentului privind protecția datelor (GDPR). Factorii de decizie cheie trebuie să aprecieze impactul pe care acest lucru este posibil să îl aibă.

2.      Informațiile deținute

Trebuie documentat ce date personale sunt deţinute, de unde sunt colectate și către cine se transmit. Este necesară organizarea un audit de identificare.

3.      Comunicarea informațiilor privind confidențialitatea datelor colectate

Este necesară revizuirea notificărilor de confidențialitate curente și elaborarea unui plan de adaptare a notoficărilor pe parcursul implementării GDPR.

4.      Drepturile persoanelor ale căror date personale sunt colectate

Verificarea procedurilor pentru a se asigura toate drepturile pe care le au indivizii, inclusiv cum sunt corectate datele, arhivate sau șterse datele personale sau cum vor fi furnizate datele personale la cerere în format electronic și într-un format utilizat în mod obișnuit.

 

5.      Solicitări de acces la datele personale

Actualizarea procedurilor de gestionare a cererilor şi stabilirea intervalului de timp în care se furnizează informații suplimentare la cerere.

6.      Baza legală pentru prelucrarea datelor cu caracter personal

Este necesar a se identifica baza legală care permite organizaţiei să colecteze şi să prelucreze date personale, Trebuie realizată documentarea bazei legale și făcută actualizarea notificării privind confidențialitatea datelor colectate prin care să fie explicată.

7.      Declaraţiile de consimţământ ale persoanelor ale căror date sunt colectate sau procesate

Revizuirea modului în care sunt obţinute declaraţiile de consimţământ, înregistrate, gestionate și dacă trebuie să făcute modificări. Reformularea declaraţiilor de consimțămmânt existente dacă acestea nu corespund cu prevederile standardului GDPR.

8.      Datele personale ale copiilor

Verificarea situaților persoanelor ale căror date sunt colectate sau procesate în ce priveşte vârsta și dacă este cazul să se obțină consimțământul părinților sau tutorelui în orice activitate de prelucrare a datelor.

9.      Încălcări de date

Elaborarea de proceduri corespunzătoare pentru detectarea, raportarea și investigarea divulgării sau pierderii de date personale.

10.  Protecția datelor prin design și evaluarea impactului asupra protecţiei datelor personale

Familiarizarea cu practica privind evaluările impactului asupra vieții private precum și cu cele mai recente orientări elaborate de Grupul de lucru "Articolul 29", analizarea a cum și când sunt implementate.

11.  Responsabilul pentru protecțiea datelor

Desemnarea unei persoane care să-și asume responsabilitatea pentru respectarea protecției datelor și evaluarea, unde este cazul, a rolului pe care îl va avea în structura organizației. Trebuie să se determine dacă este necesar a fi desemnat un responsabil cu protecția datelor în mod oficial.

12.  Operarea în afara ţării

Dacă organizația activează în mai multe state UE (adică sunt efectuate operaţii de procesare transfrontaliere), trebuie să fie identificată autoritatea de supraveghere a protecției datelor. (Ghidurile elaborate conform Grupului de lucru "Articolul 29"  vor ajuta pentru acest lucru.)

Pregătirea pentru aplicarea prevederilor

Regulamentului general privind protecția datelor (GDPR)

Introducere

Această listă evidențiază 12 pași care pot fi parcurşi în vederea pregătirii pentru respectarea prevederilor Regulamentului general privind protecția datelor (GDPR) care se aplică începând cu 25 mai 2018.

Multe dintre principalele concepte și principii ale GDPR sunt la fel ca cele din legile privind protecția datelor (DPA), deci dacă respectați în mod corespunzător legea actuală, atunci majoritatea prevederilor în privinţa conformării vor rămâne valabile în cadrul GDPR și pot fi punctul de plecare pentru adaptare. Cu toate acestea, există elemente noi și îmbunătățiri semnificative, deci va trebui să fie facute câteva lucruri pentru prima dată și câteva lucruri în mod diferit.

Este important să fie utilizată o astfel de listă de verificare precum și alte informații din domeniu pentru a identifica principalele diferențe dintre legislația actuală și GDPR. Periodic sunt elaborate noi ghiduri și alte instrumente de către Grupul de lucru "Articolul 29" pentru a fi utilizate la nivel european.

Este posibil să fie nevoie, de exemplu, să se pună în aplicare noi proceduri pentru a face față noii transparențe impuse prin GDPR și dispozițiile privind drepturile persoanelor fizice.

Într-o instituţie mare sau complexă, acest lucru ar putea consuma resurse bugetare semnificative, IT, personal, guvernanţă și implicațiile în ce priveşte comunicarea.

GDPR pune un accent mare pe documentația pe care deţinătorii de date trebuie să o deţină pentru a-și demonstra responsabilitatea. Conformarea cu toate domeniile enumerate în acest document va necesita ca organizația să  îşi revizuiască abordarea în materie de guvernanţă și modul în care realizează protecţia datelor ca problemă organizaţională. Un aspect al acestui fapt ar putea fi revizuirea contractelor și alte înţelegeri pe care instituţia le are încheiate pentru atunci când schimbă date cu alte organizații.

Unele părți ale GDPR vor avea un impact mai mare asupra unor organizaţii decât asupra altora (de exemplu, dispozițiile referitoare la profilarea persoanelor sau datele personale ale copiilor), așadar ar fi util să fie identificate care părți din GDPR vor avea cel mai mare impact asupra modului de lucru şi să fie acordată prioritate în procesul de planificare.

Conștientizarea

Asigurarea că factorii de decizie și oamenii cheie din organizație sunt conștienţi că legea se schimbă prin intrarea în vigoare a Regulamentului general privind protecția datelor (GDPR). Ei trebuie să evalueze impactul pe care îl are acest lucru și să identifice domeniile care ar putea provoaca probleme de conformitate în cadrul GDPR. Ar fi util să se înceapă cu examinarea registrului de risc al organizației, dacă există unul.

Implementarea GDPR ar putea avea implicații semnificative asupra resurselor, în special pentru organizațiile mai mari și mai complexe.

Informațiile deținute

Va trebui să fie descris ce date personale sunt deținute, de unde provin și cu cine sunt împărțite. Este posibil să fie nevoie să fie organizat un audit de informații în cadrul organizației sau în anumite domenii de activitate.

GDPR cere să se țină evidența activităților de procesare. De exemplu, dacă datele personale deţinute sunt inexacte și au fost transmise în acest mod către o altă organizație, va trebui să fie comunicat acest fapt celeilalte organizații despre inexactitate, astfel încât să poată corecta propriile sale înregistrări. Nu se poate face acest lucru decât dacă se cunoaşte ce date personale sunt deținute, de unde au provenit și cu cine sunt schimbate. Trebuie documentat acest lucru respectându-se principiul responsabilității impus prin GDPR care cere organizațiilor să poată demonstra modul în care respectă principiile de protecție a datelor, prin aplicarea unor politici și proceduri eficiente.

Comunicarea informațiilor privind confidențialitatea datelor personale

Notificările privind confidențialitatea trebuie să fie revizuite și să fie pus în aplicare un plan pentru realizarea modificărilor necesare în timp util pentru implementarea GDPR.

Atunci când sunt colectate date personale trebuie să se ofere oamenilor anumite informaţii cum ar fi identitatea organizaţiei și cum se intenționează folosirea datelor lor. Acest lucru se face, de obicei, printr-o notificare privind confidențialitatea. Sub GDPR există câteva lucruri suplimentare care trebuie spuse persoanelor.

Trebuie să fie explicată baza legală pentru procesarea datelor, perioadele de păstrare a datelor și faptul că au dreptul să se adreseze autorităţii de supraveghere a protecției datelor în ce priveşte activitatea de colectare şi prelucrare a datelor personale, dacă se consideră că există o problemă cu felul în care sunt folosite datele lor. GDPR cere ca informațiile să fie furnizate concis, ușor de înțeles și limpede.

Drepturile persoanelor

Realizarea revizuirii procedurilor pentru asigurarea faptului că se asigură toate drepturile persoanelor fizice, inclusiv modul în care sunt șterge datele personale sau să le fie furnizate datele în format electronic într-un format utilizat în mod obișnuit.

GDPR include următoarele drepturi pentru persoane fizice:

·         dreptul de a fi informat;

·         dreptul de acces;

·         dreptul la rectificare;

·         dreptul de ștergere;

·         dreptul de a restricționa prelucrarea;

·         dreptul la portabilitatea datelor;

·         dreptul de a se opune colectării sau prelucrării;

·         dreptul de a nu fi supus procesului decizional automat, inclusiv profilare.

Pe ansamblu, drepturile de care indivizii vor beneficia în cadrul GDPR sunt  la fel ca cele din legislaţia precedentă, dar cu unele îmbunătățiri semnificative.

Sistemele utilizate vă pot ajuta localizați și ștergeți datele?

Cine va lua deciziile privind ștergerea?

Dreptul la portabilitatea datelor este nou. Se aplică numai pentru:

·         datele personale pe care o persoană le-a furnizat;

·         cazul în care prelucrarea are la bază consimțământul persoanei fizice sau pentru încheierea unui  contract;

·         atunci când prelucrarea este efectuată prin mijloace automate.

Solicitări de acces la datele personale

Trebuie făcută actualizarea procedurilor și planificarea modului în care se vor rezolva cererile pentru a ține seama de noile norme:

·         În majoritatea cazurilor, nu se poate impune o taxă pentru conformarea cu o cerere.

·         Există un termen de o lună pentru a da un răspuns la o cerere;

·         Se poate respinge o cerere sau se pot percepe taxe pentru cererile care sunt vădit nefondate sau excesive;

·         Dacă se respinge o cerere, trebuie explicat persoanei de ce și că are dreptul să formuleze o plângere către autoritatea de supraveghere a protecției datelor precum și pe cale de atac judecătorească. Trebuie să faceți acest lucru fără întârzieri nejustificate și nu mai târziu de o lună.

Dacă organizația gestionează un număr mare de solicitări de acces, trebuie luate în considerare implicațiile logistice pentru furniza mai rapid un răspuns la solicitări. Se poate lua în considerare dezvoltarea de sisteme care să permită persoanelor fizice să acceseze cu ușurință informațiile lor online.

Baza legală pentru prelucrarea datelor cu caracter personal

Va trebui să identificată baza legală pentru activitatea de colectare şi de procesare, documentat, actualizat şi prezentată în notificarea de confidențialitate pentru a fi explicată.

Multe organizații nu au luat în calcul baza lor legală pentru prelucrarea datelor cu caracter personal. În conformitate cu legea actuală acest lucru nu are multe implicatii practice. Cu toate acestea, acest lucru va fi diferit în cadrul GDPR deoarece drepturile unor persoane vor fi modificate în funcție de baza legală aplicabilă pentru prelucrarea datelor cu caracter personal. Cel mai evident exemplu este că oamenii vor avea un drept mai puternic de a-și șterge datele acolo unde este utilizată declaraţia de consimțământ ca bază legală pentru procesare.

De asemenea, va trebui să se explice baza legală pentru prelucrarea datelor personale în notificarea privind confidențialitatea precum și atunci când se răspunde la o cerere de acces la date.

Trebuie să fie revizuite tipurile de activități de prelucrare care sunt efectuate și să fie identificată şi documentată baza legală pentru aceasta.

Declaraţia de consimțământ

Trebuie să fie revizuit modul în care se obţine, înregistrează și gestionează consimțământul și dacă trebuie făcute modificări. Trebuie actualizate declaraţiile de consimțământ existente dacă ele nu îndeplinesc standardul GDPR.

Consimțământul trebuie să fie dat în mod liber, specific, informat și lipsit de ambiguitate. Persoana trebuie să  dispună de posibilitatea de a opta în mod pozitiv - consimțământul nu poate fi dedus din tăcere, pretipărit sau prin inacţiune.

De asemenea, trebuie să fie separat de alți termeni și condiții și va trebui să existe modalități simple de retragere a consimţământului. Autoritățile publice și angajatorii vor trebui să ia măsuri speciale în această privinţă. Consimțământul trebuie să fie verificabil și, în general, indivizii au mai multe drepturi atunci când prelucrarea este bazată doar pe consimțământul de a procesa datele lor.

Nu este necesar ca automat să se obţină o nouă declaraţie de consinţămănt sau să fie actualizate toate cele existente în pregătirea pentru GDPR. Dacă prelucrarea datelor personale se bazează doar pe declaraţia de consimţământ trebuie asigurat că aceasta respectă standardul GDPR de a fi specific, granular, clar, proeminent, cu opţiuni disponibile, documentat corespunzător și ușor de retras. Altfel va trebui să fie modificat modul de obţinere a consimțământului şi utilizarea unei declaraţii de consimțământ conform GDPR.

Colectarea şi prelucrarea datelor copiilor

Trebui să fie introduse sisteme pentru a verifica vârsta persoanelor și pentru a obține de la părinte sau tutore consimțământul pentru orice activitate de prelucrare a datelor.

Pentru prima dată, GDPR aduce o protecție specială a datelor cu caracter personal ale copiilor, în special în contextul serviciilor comerciale de internet cum ar fi rețelele sociale. Dacă organizația oferă servicii online ("Servicii ale societății informaționale") pentru copii și se bazează pe consimțământul de a colecta informații despre persoane, atunci este posibil să fie nevoie de consimțământul unui părinte sau tutore în vederea procesării legale a datelor lor personale. GDPR prevede că vârsta la care un copil poate să-și dea consimțământul pentru procesare este de 16 ani (deși acest lucru poate fi redus la cel puțin 13 în Marea Britanie). Dacă un copil este mai mic decât vârsta la care poate să îşi dea consinţământul, atunci va trebui să fie obţinut consimțământul de la o persoană care deține "responsabilitatea ca părinte".

Acest lucru ar putea avea implicații semnificative dacă organizația oferă servicii online pentru copii și colectează datele lor personale. Nu trebuie uitat - consimțământul trebuie să fie verificabil și atunci când sunt colectate datele copiilor confidențialitatea trebuie să fie scrisă în limba pe care copiii o vor înțelege.

Încălcări a confidenţialităţii datelor personale

Trebuie să se asigure că există procedurile potrivite pentru a detecta, raporta și investiga o încălcare a confidenţialităţii datelor cu caracter personal.

Unele organizații sunt deja obligate să notifice autoritatea de supraveghere a protecției datelor atunci când suferă o încălcare a confidenţialităţii datelor cu caracter personal. GDPR introduce o obligație pentru toate organizațiile de a raporta anumite tipuri încălcări a confidenţialităţii datelor.

Este obligatoriu să fie notificat autoritatea de supraveghere a protecției datelor atunci când se produce o încălcare a confidenţialităţii în urma căreia este posibil să conducă la un risc pentru drepturile și libertățile persoanelor - dacă, de exemplu, ar putea avea loc discriminarea, prejudiciul reputației, pierdere financiară, pierderea confidențialității sau orice alt dezavantaj economic sau social semnificativ.

În cazul în care o încălcare a confidenţialităţii ar putea duce la un risc ridicat pentru drepturi și libertăți pentru persoane fizice, va trebui, de asemenea, să fie informați direct în cele mai multe cazuri cei interesați.

Trebuie să fie introduse proceduri pentru a detecta, raporta și investiga o încălcare a confidenţialităţii datelor cu caracter personal. Va trebui să fie evaluate tipurile de datele personale care sunt deținute și documentat în cazul în care se va cere să se notifice autoritatea de supraveghere a protecției datelor sau persoanele afectate dacă a avut loc o încălcare a confidenţialităţii. Organizaţiile mai mari vor trebui să dezvolte politici și proceduri de gestionare a încălcări confidenţialităţii datelor. Nerespectarea unei încălcări a confidenţialităţii atunci când este necesar să se facă acest lucru ar putea duce la o amendă, precum și o amendă pentru încălcarea în sine.

Protecția datelor prin design și evaluarea impactului protecției datelor

Practica a fost întotdeauna să fie adoptate abordări privind confidențialitatea prin design și să se realizeze o evaluare a impactului asupra vieții private, ca parte a acestui fapt.

Cu toate acestea, GDPR prevede confidențialitatea prin design ca fiind cerință legală expresă, în sensul termenului "protecția datelor prin concepție și implicit". Aceasta face ca "evaluarea impactului protecției datelor" să fie obligatorie în anumite circumstanțe.

Evaluarea impactului este necesară în situațiile în care este probabil ca prelucrarea datelor să aibă ca rezultat risc ridicat pentru persoane fizice, de exemplu:

·         unde se implementează o nouă tehnologie;

·         în cazul în care este probabil ca o operațiune de profilare să afecteze în mod semnificativ

persoane fizice;

·         acolo unde există o prelucrare pe scară largă a categoriilor speciale de date.

Dacă în urma evaluării se determină faptul că prelucrarea datelor prezintă risc mare și nu se poate răspunde suficient acestor riscuri, se impune consultarea şi opinia autorităţii de supraveghere a protecției datelor cu privire la compatibilitatea operațiunii de prelucrare cu GDPR.

De aceea, ar trebui începută identificarea situațiilor în care va fi necesară evaluarea impactului de prelucrare a datelor.

·         Cine o va face?

·         Cine altcineva trebuie să fie implicat?

·         Procesul va fi administrat la nivel central sau local?

Ofițerii de protecție a datelor

Trebuie desemnat cineva care să-și asume responsabilitatea pentru protecția datelor și să evalueze unde va fi locul acestui rol în cadrul organizației, în structura și structura de guvernanță.

Trebuie să se determine dacă există obligaţia să fie desemnat în mod oficial.

Trebuie desemnat un Responsabil de protecție a datelor (DPO) dacă organizaţia este:

·         autoritate publică (cu excepția instanțelor în capacitate lor judiciară);

·         organizație care desfășoară activități periodice și sistematice de monitorizare pe scară largă a persoanelor;

·         organizație care realizează procesarea pe scară largă a unor categorii speciale de date, cum ar fi dosarele medicale sau informații despre condamnari penale.

Este foarte important faptul ca cineva din organizație sau un consultant extern pentru protecția datelor, să își asume răspunderea corespunzătoare pentru datele deţinute şi are cunoștințele necesare, sprijinul și autoritatea să își îndeplinescă în mod eficient rolul.

Activitate în plan internațional

Dacă organizația operează în mai multe state membre ale UE, trebuie să se determine autoritatea de supraveghere a protecției datelor și trebuie documentat acest lucru.

Autoritatea principală este autoritatea de supraveghere a protecției datelor din statul în care se află sediul principal. Sediul principal este locul în care se află administrația centrală din UE şi este locul în care se iau decizii cu privire la scopurile și mijloacele de procesare implementate.

Acest lucru este relevant doar în cazul în care se efectuează procesare transfrontalieră - adică există unități în mai multe state membre ale UE sau există o singură unitate în UE care efectuează procesarea care afectează substanțial persoanele din alte state ale UE.

Dacă acest lucru se aplică organizației, trebuie indicat unde se află organizația, unde sunt luate cele mai importante decizii cu privire la activitatea de procesare a datelor. Acest lucru va fi de ajutor în stabilirea "sediului principal" și prin urmare, autoritatea de supraveghere a protecției datelor principală.

Grupul de lucru "Articolul 29" a elaborat ghidul privind identificarea unui procesator de date sau autoritatea de supraveghere a protecției datelor.