Articol

Article Icon

Prima etapa de avut in vedere pentru conformarea GDPR

2018-10-26 10:50:30 []

Incepand cu 25 mai 2018 va intra in vigoare GDPR (Regulamentul nr. 679 din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE) astfel incat se vor implementa un set mai complex de obligatii raportat la reglementarile in vigoare. GDPR se aplica tuturor entitatilor juridice care colecteaza si proceseaza date cu caracter personal (date ale unor persoane fizice) astfel incat, pentru a se conforma cerintelor GDPR, o societate trebuie sa faca mai multi pasi, primul dintre acestia fiind auditarea modalitatilor de colectare, prelucrare, stocare si stergere a datelor cu caracter personal. In vederea efectuarii unui audit complet, prima intrebare la care trebuie sa se raspunda este ce date colecteaza respectiva societate. “Date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila (“persoana vizata”)”. Adica, ”o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”. Exemple de date cu caracter personal: adresele de email din bazele de date pentru newslettere, numele si adresa din formularele de feedback completate de clienti, fotografii de la diferite evenimente organizate de catre societate, materiale CCTV, inregistrari de programe de loialitate, in baza de date a angajatilor (REVISAL), etc. O cartografiere completa a acestor date este absolut necesara, fiind foarte important a se stabili pentru fiecare categorie riscul de a intampina o bresa de securitate. A doua intrebare la care trebuie sa se raspunda in urma auditului este de a determina daca organizatia a implementat politici si proceduri adecvate pentru a reglementa prelucrarea datelor cu caracter personal. In plus, prin efectuarea unui audit, managerul unei societati se va asigura ca monitorizarea procesarii datelor personale este efectuata in mod corect, identificandu-se de asemenea riscurile pentru a preveni scurgerea sau pierderea datelor (informatiei). A treia intrebare la care trebuie sa se raspunda in urma auditului este legata de persoanele angajate in cadrul societatii – in ce masura acestea cunosc obligatiile societatii reglementate de GDPR si de asemenea drepturile persoanelor, sunt informate asupra procedurilor si sunt pregatite sa ia masuri in cazul descoperirii unor brese de securitate. Astfel, auditul GDPR evalueaza procesele, sistemele, documentele (registrele) si activitatile organizatiei pentru: Inventarierea categoriilor de date prelucrate si operatiunilor de prelucrare, si realizarea evidentei activitatilor de prelucrare. A se asigura daca exista si daca sunt folosite politicile si procedurile corecte si adecvate. A verifica daca modalitatea de solicitare a consimtamantului privind prelucrarea datelor cu caracter personal este completa. A descoperi scurgerea de informatii sau potentialele violari cibernetice in aplicarea procedurilor. A evalua si transforma controale interne. A autoriza si valida daca principiile, politicile si procedurile sunt monitorizate si respectate. A recomanda schimbari in controale, politici, proceduri si platformele IT. A recomanda trainingul necesar a fi tinut angajatilor care intra in contact direct cu datele cu character personal. Este recomandabil ca acest audit sa se faca in urma discutiilor cu toate departamentele implicate in prelucrarea datelor (angajatii de la resurse umane raspund de datele peroanelor angajate si de datele fostilor angajati, angajatii de la contabilitate detin datele de facturare, angajatii de la marketing se ocupa de baza de date pentru newsletterele trimise on line si de baza de date cu clienti). Cu cat societatea este mai mare cu atat peroanele implicate sunt mai multe si de datele colectate cu caracter personal se ocupa mai multe persoane, acest lucru insemnand o grija sporita in privinta securitatii. Dar acest lucru nu inseamna ca societatile mici (gradinitele si scolile particulare, salile de sport, companiile de training, societatile de PR, magazinele on line) nu trebuie sa se ocupe de auditarea si implementarea regulilor GDPR.