GDPR este un act normativ european care va înlocui, începând cu data de 25 mai 2018, reglementările naționale ale României în materie de prelucrare a datelor personale. Asta înseamnă că firmele vor putea prelucra datele salariaților, clienților sau partenerilor de afaceri numai în conformitate cu GDPR.
Din acest motiv, redacția noastră a vorbit cu Andreea Manolache (foto), senior associate la Accace România, pentru a identifica principalele acțiuni pe care le pot face firmele ca să se adapteze la noile prevederi din domeniul datelor personale.
Orice companie procesează date personale, chiar dacă asta înseamnă numai cele ale salariaților proprii. Însă, în majoritatea cazurilor, și datele clienților sau datele partenerilor de afaceri sunt prelucrate în scopuri comerciale. În primă fază, Andreea Manolache crede că „orice companie care procesează date cu caracter personal ar trebui să realizeze intern o evaluare a fluxului de date procesate”.
Apoi, trebuie identificate riscurile la care este expusă firma și trebuie adoptate cele mai bune măsuri pentru adaptarea la cerințele impuse de GDPR.
„În urma acestei analize amănunțite urmează a se identifica riscurile la care este expusă compania, pe fiecare zonă. În general, pe piață am observat un impact pe zonele de HR, clienți, furnizori și marketing. Odată finalizată evaluarea, urmează să se analizeze cu atenție soluțiile ce trebuie adoptate, pasul decisiv fiind implementarea soluțiilor tehnice și juridice”, a explicat specialista de la Accace România.
O altă etapă care pentru multe companii este obligatorie este desemnarea la firmă a unui responsabil cu protecția datelor („data protection officer” sau, pe scurt, DPO). „În ceea ce privește numirea unui responsabil cu protecția datelor, compania poate opta pentru numirea unui furnizor extern (companie, avocat etc.) sau poate angaja o persoană pe această funcție”, mai spune Andreea Manolache.
Obligația de a desemna un DPO revine, în esență, firmelor care se ocupă în principal cu prelucrarea datelor personale. Astfel, vorbim, de exemplu, despre:
- spitale și clinici private, care trebuie să prelucreze datele de sănătate ale pacienților pentru a putea oferi asistență medicală într-un mod adecvat;
- farmacii;
- firme de securitate, care supraveghează centre comerciale și spații publice, activitatea lor fiind strâns legată de prelucrarea datelor personale;
- asigurători și bănci, care prelucrează datele clienților proprii în activitatea lor regulată;
- furnizori de telefonie și internet, care prelucrează datele de conținut, trafic și localizare ale clienților proprii;
- firme care oferă servicii de tip cloud, arhivare și găzduire online;
- firme care profilează utilizatorii pentru publicitatea comportamentală (de la publisheri de site-uri până la agenții de publicitate și furnizori de ad-servere);
- furnizori de forumuri și rețele sociale care fac profilare;
- magazine online și offline care profilează utilizatorii prin intermediul istoricului de cumpărături (carduri de fidelitate etc.).
DPO-ul se ocupă, în principal, de informarea și consilierea companiei și a angajaților despre obligațiile referitoare la prelucrarea datelor personale. Totodată, acesta monitorizează respectarea GDPR și a politicilor interne privind protecția datelor și ține legătura cu autoritățile. Află de aici mai multe informații despre responsabilul cu protecția datelor.
Notă: avocatnet.ro desfășoară, de mai multe luni, o amplă campanie de informare a persoanelor fizice și juridice, dar și a specialiștilor cu privire la implicațiile intrării în vigoare a GDPR. Toate articolele pot fi găsite aici.