Implementare GDPR specifica companiei tale
Servicii DPO externalizat
Consultanta juridica si specifica
Auditare implementare si postimplementare
Instruire personal
Asistenta control ANSPDCP
Auditare infrastructura IT
GDPR: mituri
Miturile cu privire la GDPR nu te fac mai compliant sau mai putin responsabil. Fii informat !
Am sub 250 de angajati - GDPR nu mi se aplica
Conform Art. 30 Alin 5, operatorii care au sub 250 de angajati nu au obligatia sa pastreze o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea lor, daca prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date.
Existenta unui singur angajat si prelucrarile lunare cu privire la salarii, prelucrari care contin date sensibile obliga operatorul sa detina registre de evidenta.
Mai mult exceptia de la intocmirea acestor registre nu presupune ca celelalte prevederi ale Regulamentului nu se aplica.
Am desemnat si platesc un DPO, nu am alte obligatii
Rolul DPO consta in informarea si consilierea operatorului, monitorizarea respectarii prezentului regulament, furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor, cooperarea cu autoritatea de supraveghere si asumarea rolului de punct de contact pentru autoritatea de supraveghere.
Operatorul respectiv persoana imputernicita este insa direct responsabil de aplicarea tuturor masurilor legale si a recomandarilor DPO, aspect re-enuntat de Regulament la capitolul Sanctiuni. Mai mult acesta are obligatia de a documenta refuzul masurilor propuse de DPO.
Cumpar un kit GDPR si am rezolvat
Colectiile de documente bine redactate si cu instructiuni de folosire clare si detaliate, tintite pentru un domeniu anume de activitate, in care activezi sunt un foarte bun punct de plecare, care iti asigura foarte repede documentarea corespunzatoare a proiectului de implementare.
E foarte important sa existe o congruenta intre parte scrisa si activitatea reala a companiei tale.
Un kit bun si o consultanta calificata la nevoie iti pot asigura un grad bun de complianta cu costuri mici.
Am achizitionat un soft GDPR si am rezolvat
Exista solutii software de tip project management, solutii software care realizeaza automat inventar de date si care te pot asista in luarea unor decizii.
De regula insa decizia iti apartine si costul unei aplicatii “bune” este prohibitiv pentru sectorul intreprinderi mici și mijlocii.
Testul corectitudinii aplicarii deciziilor apare de regula in cazul breselor de date cu caracter personal. Corectarea riscului prin simulari de brese de date reprezinta un test al evaluarii corecte a deciziilor de prelucrare, pe care il avem in vedere atunci cand emitem recomandari.
In plus niciun software nu poate suplini know-how-ul.
Oricine poate indeplini rolul de DPO
Nivelul necesar al cunostintelor de specialitate ar trebui sa fie stabilit in special in functie de operatiunile de prelucrare a datelor efectuate si de nivelul de protectie impus pentru datele cu caracter personal prelucrate de operator sau de persoana imputernicita de operator. Acesti responsabili cu protectia datelor, indiferent daca sunt sau nu angajați ai operatorului, ar trebui sa fie in masura sa isi indeplineasca atributiile si sarcinile in mod independent.
De asemenea exista situatii de incompatibilitate. De exemplu un manager HR , IT, in general CxO nu pot indeplini functia de DPO.
Este de preferat ca persoana desemnata ca si DPO sa detina o certificare si o autorizare naționala, conform standardului ocupational pentru educatia si formare profesionala a Responsabililor cu protectia datelor cu caracter personal – cod COR 242231.
Mai mult, functia de DPO presupune efort de documentare continua si consultarea periodica atat a recomandarilor EPDB si ANSPDCP, precum si a cazuisticii diverse a autoritatilor europene si deciziilor judecatoresti cu privire la prelucrarile de date cu caracter personal.
Am implementat cu un consultant si am terminat
Succesul unei implementari initiale este esential, dar nu suficient intrucat operatorii si persoanele imputernicite au obligatia revizuirii periodice a prelucrarilor, a masurilor de securitate aplicate si a documentarii corespunzatoare.
Procesele de business se modifica in permanenta atat datorita schimbarii rapide a tehnologiilor, cat si datorita modificarilor relatiilor comerciale. In consecinta prelucrarile de date cu caracter personal se modifica si ele, iar monitorizarea si analiza periodica a prelucrarilor este necesara.
Sunt operator independent
Calitatea de operator sau persoana imputernicita este apanajul contextului si specificului prelucrarilor de date cu caracter personal. Ea este determinata de puterea de a determina scopurile si mijloacele de prelucrare.
Deși frecvent determinarea scopurilor si în special a mijloacelor de prelucrare este dificila si necesita criterii specifice de evaluare, determinarea calitatii de operator/persoana imputernicita nu este niciodata o decizie arbitrara a unei parti, care sa urmeze intereselor acesteia.
Unul din testele indirecte a corectitudinii evaluarii acestei calitati este reprezentata de perceptia si asteptarile persoanei vizate, careia ii sunt prelucrate datele.
Sunt prea mic pentru a fi controlat de Autoritate
Spre deosebire de alte legi, Regulamentul enunta obligatiile operatorilor avand focus pe drepturile persoanelor fizice.
Controlul inopinat, de fond al Autoritătii are intr-adevar probabilite mica.
Exista însa trei situatii in care acesta devine cert: plangerile inaintate de catre persoanele vizate, angajati nemulțumiti si bresele de securitate care devin vizibile.
Sanctiunile prevazute de Regulament sunt invers proportionale cu diligenta operatorului sau a persoanei imputernicite in materie de protectie a datelor personale, asa cum este enuntat in capitolul “Sanctiuni”.
Astfel o entitate care trateaza corespunzator principiile de protectie a datelor cu caracter personal, va primi mai degraba masuri de remediere din partea Autoritatii decat penalitati financiare
Autoritatea are doar rol de control si impunere sanctiuni
Autoritatea de Supraveghere are pe langa rolul de control si rol consultativ.
Mai mult conform Art. 36 GDPR autoritatea de supraveghere ofera consiliere in scris operatorului si, dupa caz, persoanei imputernicite de operator, in cel mult opt saptamani de la primirea cererii de consultare si informeaza operatorul si, dupa caz, persoana împuternicita de operator, in termen de o luna de la primirea cererii, cu privire la orice astfel de prelungire, prezentand motivele intarzierii.
Raspunsul la cereri ofera atat orientare corecta in abordarea prelucrarilor de date cu caracter personal in diferite situatii, dar si argumente in documentarea acestora.
Decizia de raportate a breselor imi apartine
Conform Art. 33 GDPR, bresele de securitate a datelor cu caracter personal trebuie raportate in cel mult 72 de ore de la data la care operatorul a luat cunoștinta de aceasta, cu exceptia cazului in care bresa de securitate nu reprezinta un risc pentru drepturile si libertatile persoanelor fizice.
Decizia raportarii bresei de securitate nu este expresia vointei operatorului, ci este legata de particularitatile si contexul bresei.
Bresa de securitate necesita evaluare specifica si in toate cazurile documentare corespunzatoare, iar decizia de a nu notifica Autoritatea trebuie argumentata in scris.
Printre bresele care trebuie raporate se inscriu: incidentele de securitate de tip ransomware, pierderea de documente care contin date sensibile, acces neautorizat la resurse informatice, imposibilitatea recuperarii datelor dupa un incident care afecteaza in mod semnificativ persoanele vizate
Cum procedam?
Implementam masuri organizatorice, juridice si tehnice adecvate analizelor de risc si de impact.
-
1
Evaluarea initiala
Intr-o prima faza analizam specificul afacerii tale si întocmim analiza GAP
-
2
Inventariere date
Inventariem datele cu caracter personal in mod structurat pentru fiecare unitate de business
-
3
Analiza de risc
Clasificam datele si stabilim nivelul de risc pentru fiecare prelucrare
-
4
Analiza contractelor
Evaluam relatiile comerciale pe care le ai cu partenerii si te asistam in demersul de a semna acordurile de date personale potrivite
-
5
Drepturile persoanelor
Pentru fiecare categorie de persoane vizate identificam temeiul legal in baza caruia poti continua prelucrarea si luam masuri specifice
-
6
Evaluare IT
Inventariem si analizam conformitatea tututor sistemelor IT folosite si iti propunem masuri tehnice adecvate
-
7
Masuri de conformare
Iti oferim un set complet de politici, proceduri si instrumente ca sa poti gestiona corect si legal prelucrarile de date personale
-
8
Documentare completa
Iti documentam toate prelucrarile in registre de evidenta, formularele LIA, note de informare si te asistam in consultarea ANSPDCP
-
9
Suport postimplementare
Te asistam oricand ai dificultati în gestionarea prelucrarilor postimplementare, cand ai nevoie de un DPO sau de suport legal în cazul unui control ANSPDCP