Ce este GDPR?

Cu toate că nu a trecut mult timp de când este în vigoare (din mai 2018), putem afirma cu certitudine că aproape toată lumea a auzit, cel puțin din întâmplare, despre acest acronim – GDPR, datorită importanței deosebite a acestui regulament și a mediatizării cazurilor numeroase în care au fost aplicate sancțiuni semnificative.

Așadar, GDPR înseamnă Regulamentul general privind protecția datelor (nr. 679/2016), care a devenit direct aplicabil în toate statele membre UE și, implicit, în România începând cu data de 25 mai 2018. GDPR este un regulament european care prezintă interes pentru orice entitate care efectuează și operațiuni de prelucrare a datelor cu caracter personal care privesc persoane fizice, precum nume, prenume, CNP, adresă, date privind sănătatea etc.

GDPR are în centrul său un element primordial și anume, persoana fizică. Numai datele cu caracter personal care aparțin unei persoane fizice sunt ocrotite prin intermediul acestui regulament. Datele persoanelor fizice trebuie să beneficieze de o securitate corespunzătoare și, ca atare, trebuie ocrotite prin măsuri de ordin tehnic și organizatoric.

Cine are responsabilitatea implementării GDPR?

Responsabilitatea reprezintă un principiu important introdus de GDPR, care presupune că singurul responsabil de implementarea cerințelor GDPR este operatorul de date. Acesta din urmă poate dovedi că a implementat toate măsurile adecvate pentru protecția datelor cu caracter personal.

Prin urmare, simpla afirmare că datele cu caracter personal sunt protejate nu este suficientă, ci este necesară documentarea proceselor de protecție prin politici, proceduri, registre, acorduri, informări către persoanele în cauză, precum și alte asemenea documente.

Care sunt pașii esențiali pentru implementarea GDPR?

O primă etapă în implementarea GDPR este identificarea categoriilor de date cu caracter personal pe care le colectați și prelucrați și a categoriilor de persoane fizice vizate (de exemplu: salariații, clienții, candidații pentru ocuparea unor locuri de muncă, etc.). Realizarea acestui pas implică efectuarea unui audit intern referitor la datele cu caracter personal prelucrate, în special pentru a identifica dacă prelucrați sau nu date sensibile, precum cele care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea sau datele privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Următorul pas în implementarea GDPR este determinarea temeiului legal al prelucrării, precum și a scopului în baza căruia se efectuează operațiunea de prelucrare a datelor cu caracter personal. GDPR, prin dispozițiile art. 6, reglementează șase temeiuri pentru prelucrarea datelor cu caracter personal: consimțământul persoanei vizate, contractul, obligația legală a operatorului, interesul vital al persoanei fizice, interesul public și interesul legitim.

O altă etapă obligatorie este informarea persoanei vizate cu privire la prelucrarea datelor cu caracter personal. Astfel,operatorul va furniza persoanei vizate informațiile prevăzute de GDPR, în momentul obținerii acestor date.

În continuare, operatorul trebuie să adopte și să implementeze măsuri de ordin tehnic și organizatoric adecvate pentru a asigura securitatea datelor cu caracter personal pe care le prelucrează. Cu titlu exemplificativ, măsurile organizatorice se referă la politici de securitate a prelucrării, proceduri de protecție a datelor, revizuirea contractelor, asigurarea confidențialității, păstrarea evidenței activităților de prelucrare etc.

În vederea asigurării securității datelor cu caracter personal, puteți implementa următoarele măsuri tehnice: pseudonimizarea și criptarea datelor, securizare prin parole, instalarea sistemelor antivirus pe dispozitive electronice. Enumerarea măsurilor nu are caracter exhaustiv, acestea urmând a se implementa în funcție de activitatea fiecărui operator în parte, de modalitatea de prelucrare a datelor cu caracter personal, de efectuarea unei prelucări pe scară largă sau nu, precum și în funcție de riscurile preconizate.

Nu în ultimul rând, un pas important este și efectuarea unei evaluări a impactului asupra protecției datelor. Acest lucru se impune în cazurile în care operațiunea de prelucrare a datelor cu caracter personal, în special cea bazată pe utilizarea noilor tehnologii, este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.

Este obligatorie desemnarea unui DPO (Responsabil cu protecția datelor)?

    Obligația de a desemna un responsabil cu protecția datelor există sau nu în funcție de specificul organizației dumneavoastră. Astfel, sunteți obligat să desemnați un DPO în următoarele situații:

  • Sunteți o autoritate sau un organism public;
  • Monitorizați în mod periodic și sistematic persoanele vizate pe scară largă ( de exemplu: supraveghere video);
  • Prelucrați pe scară largă categorii speciale de date sau date privind condamnări penale și infracțiuni.

În ipoteza în care aveți interesul de a afla mai multe informații despre impactul pe care GDPR îl poate avea în cazul dvs. concret, vă invităm să ne contactați telefonic, la numărul +4 0724 99 30 50 sau prin e-mail, la adresa office@dasstech.ro.