Descrierea activității consultantului
IMPLEMENTARE STANDARDE SECURITATEA DATELOR PERSONALE CF. REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016,privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE
- AUDIT GDPR
- Responsabil DPO
Potrivit noului Regulament European privind protecţia datelor cu caracter personal, începând cu data de 25 mai 2018, orice companie privată sau instituţie a statului va trebui să aplice obligatoriu acest regulament, cunoscut mai bine, în limba engleză: GDPR (General Data Protection Regulation).
Deşi mulţi dintre dvs. aţi adoptat deja anumite procese şi proceduri referitoare la confidenţialitatea datelor angajaţilor şi a clienţilor, noul GDPR obligă la respectarea de noi principii de securitate a datelor cu caracter personal şi ameninţă cu aplicarea de amenzi şi penalităţi semnificative pentru companiile, care nu vor respecta noile prevederi şi nu vor aplica noile reforme operaţionale:
• Amenzi de până la 10 000 000 EUR sau până la 2% din cifra de afaceri anuală globală a anului financiar precedent, pentru încălcări referitoare la protecția datelor;
• Amenzi de până la 20.000.000 EUR sau până la 4% din cifra de afaceri anuală globală a anului financiar precedent, pentru încălcări ale principiilor de bază pentru protecția datelor persoanelor fizice, încălcările drepturilor persoanelor vizate, transferurile internaționale de date cu caracter personal și pentru nerespectarea măsurilor impuse de autoritatea națională de supraveghere;
Gasiți mai jos un scurt rezumat al celor mai importante modificări și obligații care revin unei entitati private (se adresează si firmelor care au angajați, indiferent dacă au sau nu, clienți persoane fizice) sau unei entitați publice, începând cu data intrării în vigoare a regulamentului: 25 mai 2018.
În cazul în care considerați că este util, ne exprimăm disponibilitatea de a efectua un audit în domeniul protecției datelor cu caracter personal, având ca obiectiv principal, pe de o parte, să se asigure respectarea dispozițiilor legale aplicabile în sectorul protecției datelor și, pe de altă parte, să pregătească compania pentru ca noile cerințe să fie aplicate.
Auditul EURO GRDP AUDIT % COMPLIANCE LIMITED (www.eurogdpr.uk www.dosargdpr.ro) va conține următoarele:
a) analiza activității desfășurate în vederea identificării obligațiilor stabilite prin legislația UE și adaptarea acestora la specificul legislației naționale care reglamentezaă protecția datelor cu caracter personal;
b) identifică și analizează riscurile legate de prelucrarea datelor cu caracter personal;
c) întocmește un raport privind rezultatul auditului , care să scoată în evidență toate aspectele neconcordante care au fost identificate;
d) elaborarea politicilor și procedurilor de protecție a datelor;
e) asistență în faza de implementare;
f) instruirea angajaților cu responsabilități în domeniul protecției datelor.
În demersul nostru, vom pune accent pe următoarele:
a) Identificarea scopurilor pentru care sunt prelucrate datele cu caracter personal
Vom identifica scopurile pentru care compania dvs prelucrează date cu caracter personal ale angajaților sau clienților persoane fizice (în vederea îndeplinirii obligațiilor sale legale, realizarea intereselor sale legitime sau în alte scopuri pentru care s-a primit acordul prealabil al persoanelor vizate sau exista un temei juridic).
b) Identificarea categoriilor de date prelucrate, cu referire la scopurile de mai sus
Vom centraliza datele personale prelucrate într-un anumit scop, pentru a permite o evaluare ulterioară a unei astfel de procesări.
c) Evaluarea caracteristicilor datelor cu caracter personal în cadrul prelucrării pentru fiecare scop
În funcție de fiecare scop, pot fi procesate diferite categorii de date cu caracter personal. Trebuie să se țină seama de respectarea principiilor de prelucrare a datelor conform GDPR.
d) Evaluarea legalității în ceea ce privește prelucrarea datelor cu caracter personal
Vom evalua, pentru fiecare scop, existența consimțământului persoanei vizate sau existența unei obligații legale / interes legal sau alte cazuri pentru care nu este necesar acordul persoanei vizate.
e) Redactarea notificărilor obligatorii către ANSPDCP - Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, pe care trebuie să le transmiteți în situația unui incident care are legătură cu prelucrarea datelor personale
Vom evalua completarea corectă și completă a notificarilor privind prelucrarea datelor cu caracter personal prezentate autorității de supraveghere în legătură cu datele / scopurile procesate sau cu
necesitatea de a îndeplini formalitățile legate de notificare a anumitor operațiuni de prelucrare a datelor.
f) Redactarea documentelor prezentate autorității de supraveghere și a celor publicate / comunicate persoanelor vizate (notificări privind prelucrarea datelor, drepturile persoanelor vizate etc.)
Vom redacta tipurile de notificări persoanelor vizate cu privire la drepturile lor, politicile de prelucrare a datelor cu caracter personal și consimțământul pentru prelucrarea datelor cu caracter personal.
g) Evaluarea securității în prelucrarea datelor efectuată de către personalul din cadrul companiei dvs.
Vom evalua măsurile tehnice și organizatorice adecvate luate cu privire la protecția datelor cu caracter personal împotriva daunelor, pierderilor, alterărilor, dezvăluirilor sau accesului neautorizat accidental sau ilegal. În acest sens, ne vom referi la tipul de acces la baza de date, colectarea de date, accesul la calculatoare și terminale, accesarea fișierelor, instruirea personalului responsabil cu operațiunile de prelucrare a datelor.
h) Evaluarea conformității cu măsurile de securitate a persoanelor împuternicite de dvs. să prelucreze date cu caracter personal
Compania dvs. poate împuternici un procesator de date, dar are obligația de a selecta o entitate capabilă să furnizeze garanții suficiente cu privire la măsurile de securitate tehnică și organizatorică necesare pentru operațiunile de prelucrare care trebuie întreprinse și, de
asemenea, să se asigure de conformitatea acestor măsuri cu entitatea desemnată astfel.
În acest sens, vom evalua măsurile tehnice și organizatorice adoptate de procesator, în conformitate cu modelul prezentat la paragraful (g) de mai sus. De asemenea, vom efectua o revizuire a acordului încheiat cu procesatorul.
i) Punerea la punct a unui sistem de evidențe ale activităților de prelucrare
Fiecare companie cu mai mult de 250 de angajați are obligația să păstreaze o evidență în scris și electronică a activităților de prelucrare desfășurate sub responsabilitatea lor.
j) Transferul datelor cu caracter personal în străinătate
Vom examina furnizarea de notificări autorității de supraveghere cu privire la transferul datelor cu caracter personal în străinătate, respectarea regulilor generale care trebuie luate în considerare în
legătură cu transferul de date cu caracter personal în străinătate, procurarea autorizației pentru transferul de date cu caracter personal către un importator de date, situat într-un stat care nu asigură un nivel adecvat de protecție, evaluează acordul încheiat între exportatorul de date și importatorul de date sau se bazează pe reguli corporatiste obligatorii, după caz.
k) Recomandări pentru revizuirea politicilor interne privind prelucrarea datelor cu caracter personal
Costurile unui Audit GDPR difera în funcție dacă firma dvs. are mai puțin sau mai mult decat 250 de angajați.
Firmele cu mai mult de 10 de angajati, în afara de măsurile de conformare GDPR, de mai sus mai sunt obligate să realizeze un studiu cu privire la Evaluarea impactului privind protecția datelor (DPIA), iar, în anumite cazuri, să angajeze un Responsabil pentru Protectia Datelor (DPO – Data Protection Officer) sau sa încheie un contract pentru servicii de “Data Protection Officer”.
avocatnet.ro explicăm legislația
