x

Implementare GDPR

Implementare GDPR

Ce putem face? Cum evităm sancțiunile?

Ce putem face? Cum evităm sancțiunile?

A. Analiză inițială (gap analysis) privind modul în care sunt respectate în cadrul organizației cerințele GDPR, incluzând:

  1. realizarea unui AUDIT intern privind protecția datelor cu caracter personal, verificându-se, prin metoda întâlnirilor directe cu clientul, a studiului documentelor relevante, a urmăririi procedurilor implementate, a chestionării angajaților, conformarea clientului la cerințele GDPR analizându-se: categoria datelor cu caracter personal colectate, categoria persoanelor vizate, destinatarii, descrierea compartimentelor expuse la riscuri privind prelucrarea datelor evaluări ale impactului asupra vieții private (DPIA), descrierea fluxurilor de date, respectare principiilor GDPR respectiv: legalitate, echitate, transparență, demonstrarea consimțământului, rațiunile legitime pentru prelucrarea și acordarea consimțământului, drepturile persoanelor vizate, registrul intern de prelucrare a datelor pentru operatori, operatorii asociați, securitatea datelor cu caracter personal, necesitatea desemnării unui DPO, limitările legate de scop, reducerea la minimum a datelor colecatate, limitările legate de stocare, integritate și confidențialitate.
  2. întocmirea și transmiterea unui RAPORT detaliat conținând constatările auditului respectiv identificarea conformității operațiunilor de prelucrare a datelor, a politicilor de confidențialitate, a formularelor de consimțământ, a măsurilor tehnice puse în aplicare pentru protecția datelor personale, a respectării drepturilor persoanelor vizate concluziile respectiv identificarea neconformităților, evaluarea riscurilor și propunerile de conformare (recomandări) respectiv crearea/revizuirea unor politici/proceduri specifice, amendarea contractelor, instruirea personalului.
  3. Stabilirea măsurilor tehnice și organizatorice pe care Clientul urmează a le implementa se vor realiza în funcție de anumite criteria (”Planul de Măsuri”): ex. (i) Existența unei cerințe legale pentru implementarea măsurii; (ii) Identificarea soluțiilor pentru a fi în conformitate cu cerințele legale; (iii) Riscurile (ridicat, mediu, scăzut) identificate din punct de vedere al persoanelor vizate, respectiv al drepturilor sale privind protecția datelor; (iv) ) Riscurile (ridicat, mediu, scăzut) identificate privind probabilitatea incidentelor de securitate a datelor cu caracter personal;

B. Implementarea măsurilor necesare conformării cu GDPR:

  1. Redactarea sau revizuirea politicii privind protecția datelor.
  2. Procedura privind evaluarea impactului asupra protecției datelor.
  3. Redactarea sau revizuirea procedurii referitoare la incidentele de securitate.
  4. Redactarea modelelor formularelor de consimtâmânt al persoanelor vizate.
  5. Redactarea Notelor de informare.
  6. Revizuirea modelului relevant de contract de prelucrare a datelor în relația cu persoanele împuternicite.
  7. Revizuirea procedurii de securitate a datelor cu caracter personal.
  8. Revizuirea procedurii privind accesul la sistemele care stochează baza de date cu caracter personal.
  9. Revizuirea procedurii folosirii e-mailului de serviciu.
  10. Întocmirea unui draft de Declarație de Consimțământ;
  11. Întocmirea unui draft de Evidență a activităților de prelucrare;
  12. Întocmirea unui check - list privind modul de conformare la prevederile GDPR;
  13. Întocmirea unor chestionare de evaluare a cunoștințelor salariaților privind cerințele GDPR;

C. Training specializat:

  1. Întâlniri consultative cu personalul cu funcții de conducere.
  2. Seminar de instruire (pregătire profesională cerută expres de GDPR) cu angajații care lucrează cu datele cu caracter personal.
  3. Punerea la dispoziția angajatilor a unor prezentări scrise, pregătite de Consultant, privind noțiuni elementare privind protecția datelor cu caracter personal;
  4. Instruire privind modul de desemnare, rolul și modul de lucru cu Responsabilul cu protecția datelor (DPO).

D. Responsabilul cu Protecția Datelor (DPO):

Începând cu data de 25 Mai 2018, Insituția are obligația de desemna în cadrul organizației un Responsabil cu Protecția Datelor (DPO), iar în eventualitatea în care Clientul intenționează să externalizeze serviciile aferente DPO, vă putem transmite ulterior și o ofertă de servicii în acest sens.

DPO, va îndeplini în cadrul societății următoarele sarcini:

  1. Informarea și consilierea clientului, sau a persoanei împuternicite de client, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul Regulamentului (EU) 2016/679 și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;
  2. Monitorizarea respectării Regulamentului (EU) 2016/679, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
  3. Furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35 din Regulamentul (EU) 2016/679;
  4. Cooperarea cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP);
  5. Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36 din Regulamentul (EU) 2016/679, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune.