TOP LEGAL
Înregistrările video sunt accesibile pentru membri şi parteneri. Cheltuială deductibilă fiscal. Reducere 39,6 euro pentru avocaţii din barourile Bucureşti, Ilfov, Dolj, Timiş, Prahova şi Sibiu. Se acordă 20 de puncte de pregătire profesională. UNBR încurajează extinderea naţională, detalii aici. Reducere 19,8 euro pentru executorii Camerei Executorilor Bucureşti, membrii UNELM şi notarii Camerei Notarilor Publici Bucureşti.
Abonare newsletter oficial JURIDICE.ro

Print Friendly, PDF & Email

Cei 10 pași pentru conformarea GDPR

23.11.2018 | Andrei SĂVESCU
Andrei Săvescu

Andrei Săvescu

1. Conștientizarea

Importanța protecției datelor cu caracter personal și riscurile la care sunt expuse organizațiile din pricina GDPR, care, în realitate, este un adevărat Cod civil, nu sunt pe deplin conștientizate. Conducătorii organizațiilor nu realizează încă, pe deplin, pericolele la care sunt expuși. De aceea, primul pas al conformării este înțelegerea necesității.

2. Căutarea unui consultant

Să apelezi la un consultant pare o chestiune simplă, care nu merită să fie considerată o chestiune de sine stătătoare, însă consultanții cu experiență relevantă sunt, în realitate, foarte puțini. În primăvara anului 2017, în România, consultanții cu experiență în domeniul protecției datelor cu caracter personal se puteau număra pe degetele de la mâini, în toamna anului 2018, pot fi găsiți cu ușurință sute de consultanți care clamează experiența în domeniu. Consultanții trebuie verificați, întrebați, este nevoie să fie testată colaborarea cu un consultant, pentru verificarea costurilor pe care le implică această colaborare și pentru stabilirea unei relații de încredere, care este mai importantă de cât costul.

3. Auditul

Auditul presupune deplasarea consultanților la sediul organizației, discuții cu managerii de departamente, precum și cu personalul care manipulează date personale, identificarea circuitului fiecărui document fizic și informatic care conține date personale, precum și modul de funcționare a aplicațiilor informatice utilizate. Toate detaliile sunt notate cu atenție, pentru a obține o imagine clară cu privire la datele cu caracter personal. Apoi urmează realizarea (redactarea) unui sinoptic al datelor personale: care anume date personale, ce documente și ce personal este implicat. Sinopticul cuprinde tipologia datelor personale, sursele, tipurile de acces, atribuții și drepturi de acces, circuitul de utilizare și procesele de utilizare, modificare, transfer și ștergere a datelor cu caracter personal, atât în privința salariaților, cât și în privința clienților și altor contractori. Pe baza sinopticului se redactează raportul de audit, care cuprinde lista activităților care trebui realizate de organizație pentru asigurarea conformității cu dispozițiile Regulamentului și sugestii pentru top-management. Raportul cuprinde toate informațiile colectate, aranjate într-o structură comprehensibilă, cu identificarea vulnerabilităților și riscurilor natură operațională, tehnică și juridică.

4. Responsabilul cu protecția datelor cu caracter personal (DPO)

În urma auditului, organizația va afla dacă are nevoie sau nu de un responsabil cu protecția datelor cu caracter personal (DPO). Cel mai probabil, are nevoie. DPO nu este persoana care preia responsabilitatea protecției datelor, aceasta rămâne în sarcina operatorului, ci “responsabilul” este denumit așa în virtutea atribuțiilor sale. Recrutarea unui DPO este o chestiune foarte dificilă, întrucât acesta va ocupa o poziție-cheie în organizație, rezervată, de regulă, salariaților cu funcții de conducere, însă DPO nu poate să fie dintre aceștia. Din pricina puterilor pe care le are un DPO, reglementarea raportului juridic dintre el și organizație este o adevărată provocare.

5. Modificarea procedurilor de lucru

Este necesară redactarea/modificarea procedurilor interne ale organizației, în conformitate cu GDPR. Procedurile trebuie redactate particularizat, în funcție de procesele efective din organizație. Din păcate, nu se pot utiliza “modele”. Este necesară, totodată, și revizuirea contractelor de muncă, a fișelor de post și a regulamentului intern. Numeroase organizații funcționează foarte bine și câștigă mulți bani fără proceduri de lucru, bazându-se pe competența oamenilor. GDPR aduce o schimbare majoră din această perspectivă, obligă toate organizațiile să aibă proceduri de lucru clare și funcționale, ca și cum toate organizațiile ar fi corporații.

6. Discuții cu partenerii

Este imperios necesară revizuirea tuturor contractelor cu partenerii organizației pentru a cuprinde clauzele cerute de GDPR, căci toate contractele cuprind dispoziții cu incidență în domeniul protecției datelor cu caracter personal. Revizuirea va conține inclusiv clarificarea tipului de raport contractual din perspectiva GDPR, precizarea mecanismului de prelucrare și transfer a datelor cu caracter personal, precum și distribuirea răspunderii juridice. Necesitățile de revizuire a contractelor pot să evidențieze probleme severe în derularea raporturilor contractuale, care se pot soluționa doar prin implicarea managementului de vârf al organizației.

7. Investiții IT

Conformarea necesită uneori investiții în echipamente informatice, care în realitate nu ar trebui privite ca investiții, întrucât sunt cheltuieli necesare pentru desfășurarea activității în condiții de legalitate. O infrastructură IT solidă este o condiție importantă. Pe de altă parte, este aproape întotdeauna necesară și construirea/modificarea aplicațiilor informatice. Din păcate, este necesară, și adesea este costisitoare și ea, instruirea corespunzătoare a întregului personal al organizației cu privire la utilizarea noilor structuri informatice.

8. Instruirea personalului

Instruirea personalului este, probabil, cel mai important pas al conformării și cel mai dificil. Salariații proprii au potențialul de a fi principala sursă de plângeri în privința protecției datelor cu caracter personal. Totodată, ei sunt cei care interacționează direct cu persoanele vizate, ale căror drepturi trebuie protejate. Organizațiile trebuie să asigure resurse de instruire accesibile zi de zi, în permanență, întrucât materia protecția datelor cu caracter personal este plină de mici probleme, mici chestiuni cu privire la care trebuie luate decizii. Este necesară și redactarea de informări către salariații proprii și a unor informări și comunicări care trebuie adresate persoanelor de la care se culeg date personale. Deopotrivă, trebuie redactare informări destinate persoanelor vizate, de la care se culeg date personale pe bază de consimțământ și instruire în legătură cu modalitate de comunicare cu acestea. Pe scurt, trebuie reformată cultura organizațională, în sensul acordării importanței cuvenite aspectelor ce țin de protecția datelor cu caracter personal.

9. Verificarea funcționării procedurilor

La fel ca în orice altă situație, teoria este diferită de practică. Este necesară verificarea modului în care noile proceduri funcționează, pentru a nu rămâne doar câteva sute de pagini într-un biblioraft. Respectarea cerințelor referitoare la protecția datelor cu caracter personal este o chestiune de zi cu zi, permanentă, nu o simplă declarație de principii și intenții.

10. Pregătirea pentru control

Mai devreme sau mai târziu, ANSPDCP o să vină în control, la fel ca Antifrauda și Inspecția Muncii. În cazul unui control responsabilul cu protecția datelor cu caracter personal (DPO) nu o să fie de mare folos, căci el nu poate să aibă o poziție adversă față de reprezentanții ANSPDCP. Astfel încât o sa fie nevoie de un consultant specializat (avocat), care este familiarizat cu procedura de inspecție și cu demersurile judiciare care pot urma. Controlul trebuie abordat cu maximă atenție, atât din pricina pericolului amenzilor, cât și din pricina posibilității ANSPDCP de a interzice prelucrarea datelor cu caracter personal, ceea ce poate avea semnificația opririi activității organizației. Pregătirea pentru control trebuie să fie permanentă, prin preocuparea conducerii organizației ca măsurile de conformare GDPR să fie implementate și verificate mereu, precum și prin asigurarea contactării rapide a unui consultant (avocat) specializat.

Av. dr. Andrei Săvescu
Managing Partner SĂVESCU & ASOCIAȚII


Aflaţi mai mult despre , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.


Irina Maria STANCU


Oana ISPAS


Radu Slăvoiu


Livia Dianu-Buja


Ștefania Stoica


Luminița Malanciuc


Ioana-Olivia Voicu


Eduard Toma-Apostol


Florina-Lăcrămioara Drăgan