Ce trebuie șă faci pentru a fi conform cu GDPR-ul

Alături de obligațiile deja existente pentru afaceri, din 2018 a apărut și necesitatea legală ca acestea să fie aliniate cu reglementările GDPR. Regulamentul este obligatoriu pentru toate afacerile care își desfășoară activitatea pe teritoriul Uniunii Europene, indiferent de sediul acestora.

Ce presupune GDPR-ul?

Înainte de toate, haide să definim ce înseamnă date cu caracter personal. Potrivit GDPR, date cu caracter personal reprezintă orice informație despre o persoană fizică identificată sau identificabilă. Fără a despica firul în patru, trebuie să reținem două aspecte esențiale: în primul rând, datele cu caracter personal se referă la persoane fizice (deci nu companii) identificate sau identificabile; în al doilea, rând, trebuie să avem în vedere orice informație despre o persoana fizică (deci nu doar nume, prenume, e-mail).

O eroare frecvent întâlnită este să crezi că nu ai nevoie de GDPR. Să zicem că ai un mic magazin de cartier, nu ai website, nu dai email-uri de marketing și ai un singur angajat. Pare cumva o imposibilitate, dar și în acest caz ai obligația de a respecta regulamentul GDPR. Printre altele, ai obligația de a informa unicul angajat, precum și clienții sau furnizorii în legătură cu prelucrarea datelor cu caracter personal, pentru că altfel riști să fii amendat în eventualitatea unui control.

Toate firmele ce activează în UE trebuie să fie conforme cu GDPR

Toate firmele trebuie să-și notifice clienții, angajații, candidații, furnizorii și partenerii despre cum le sunt procesate datele cu caracter personal, să mențină și să respecte un set de proceduri și politici interne care să asigure conformarea GDPR.

Ce trebuie făcut / Cum se implementează?

În practica de specialitate se folosește destul de des termenul “implementare GDPR”. La prima vedere pare ceva complex și doar la îndemâna specialiștilor - cu toate acestea, în linii mari, o “implementare de GDPR” se referă la câteva aspecte:

  1. Pregătirea și respectarea unor politici și proceduri interne, cum ar fi politica de confidențialitate internă (altfel spus, un regulament interior), politica de stocare a datelor (cât timp le ții și cum le ștergi), procedura de răspuns la incidente de securitate, etc.;

  2. Pregătirea și furnizarea unor note de informare către persoanele fizice (angajați, clienți, furnizori, utilizatori online etc) cărora le colectezi și prelucrezi în alt fel datele cu caracter personal (de exemplu, în cazul unui website, politica de confidențialitate);

  3. Pregătirea și menținerea unui registru cu operațiunile de prelucrare efectuate de compania ta;

  4. Stabilirea și respectarea măsurilor de securitate pentru a evita incidente de securitate (e.g., ca acele date să ajungă în mâinile greșite sau publice).

În funcție de complexitatea afacerii, variază și complexitatea procedurilor GDPR.

Să luăm exemplul unui magazin care are și website online, dar și punct fizic. În acest caz, sunt câteva puncte pe care trebuie să le bifezi și ai nevoie de anumite documente specifice:

  • Pregătești politica de confidențialitate și de cookies și le publici pe website;
  • Fiecărui furnizor, angajat sau partener trebuie să i se înmâneze o notă de informare despre cum sunt prelucrate și stocate datele cu caracter personal. De exemplu, dacă închei contracte cu aceștia, atașezi nota de informare la contractul încheiat;
  • Pregătești și menții registrul de prelucrări;
  • Pregătești și folosești politicile și procedurile interne;

Acordul de prelucrare (consimțământul) - obligatoriu sau nu?

Fiecare operațiune de prelucrare trebuie făcută pe un temei legal prevăzut de GDPR: consimțământ (e.g., trimitere de mesaje de marketing), executare de contract (e.g., datele necesare pentru identificarea părților), obligație legală (e.g., emiterea facturii, înregistrarea contractului în Revisal), interes vital, interes public, interes legitim (e.g., supraveghere video). Oricare dintre aceste temeiuri este la fel de bun, iar alegerea temeiului depinde de fiecare caz de prelucrare în parte.

Nu ai neapărat nevoie de acordul persoanelor (consimțământ) pentru prelucrarea datelor cu caracter personal. Consimțământul este doar unul dintre cele șase temeiuri legale pe care le poți utiliza - și, din cauza complexității obținerii și menținerii consimțământului, ar trebui să îl utilizezi numai atunci când niciunul dintre celelalte temeiuri nu se aplică.

Când întemeiezi prelucrarea pe consimțământ, acesta trebuie să fie exprimat printr-o acțiune clară, fără echivoc. Prin urmare, un consimțământ valabil nu poate fi luat prin bife pre-bifate sau prin clauze ascunse în alte acorduri/documente.

Îndeplinirea obligațiilor prevăzute de GDPR se realizează “pe proprie răspundere”. Cu alte cuvinte, în eventualitatea unui control, companiile trebuie să poată demonstra că, printre altele, au pregătit documentele necesare și le-au folosit în desfășurarea activității lor, altfel riscă listarea rușinoasă printre firmele amendate GDPR.

Cum pot deveni conform cu GDPR?

Sunt mai multe moduri de a obține documentația GDPR și de a deveni conform pentru a elimina riscul de imagine și de buget venit în urma amenzilor și sancțiunilor GDPR.

O varianta clasică și des întâlnită este acel model DIY (Do it Yourself), unde fiecare încearca să implementeze GDPR-ul după cum crede mai bine. Din păcate, această abordare deși pare rapidă la prima vedere, devine costisitoare în materie de timp și nu garantează implementarea cu succes a acesteia. E foarte ușor să te pierzi în prevederile legale GDPR și să omiți ceva făcând astfel ca toată munca depusă să fie în zadar. GDPR-ul trebuie să fie respectat în totalitate. Nu există grade de conformare și astfel există riscul de a avea falsul sentiment al conformării.

Consultații sunt o altă variantă utilizată. Deși este o abordare sigură, aceasta s-a dovedit din studiile făcute de UE că nu prea este folosită de firmele mici și mijlocii din cauza prețului ridicat. În ultima perioadă au apărut platforme self-service care te ghidează, similar cu un consultant, prin întrebări ușoare, pentru a realiza anumite documente (cum ar fi politici de confidențialitate și cookie pentru site-uri). O soluție românească care te ajută să obții toate documentele necesare (nu doar politică de confidențialitate sau de cookies) și personalizate pentru conformarea GDPR este StartGDPR. Aceasta este realizată de avocați experți în domeniu.

Clienții pot oricând să înceapă procesul de conformare cu GDPR accesând site-ul www.startgdpr.ro și să obțină documentele și procedurile direct personalizate - totul la un preț mai mic decât în cazul consultanților. De asemenea, dacă au întrebări, pot opta pentru un pachet de consultanță juridică furnizat de casa de avocatură parteneră, Digital 2 Law.

“Am implementat GDPR” - mai trebuie să fac ceva?

Răspunsul este clasic: “depinde”. În primul rând, trebui să folosești documentele. De asemenea, dacă între timp compania ta a început să prelucreze și alte date personale cu alte scopuri, atunci documentele și procedurile trebuie refăcute. În funcție de modalitatea aleasă, această refacere a documentației presupune mai multă sau mai puțină bătaie de cap și poate implica noi costuri.

Un avantaj al unei soluții online este că poți oricând să regenerezi documentele și procedurile GDPR ca urmare a evoluției afacerii tale. Unele pot percepe un cost suplimentar, în timp ce altele te lasă să faci acest lucru ori de câte ori ai nevoie, cum este în cazul StartGDPR.

Orice soluție ai alege, trebuie să te asiguri că se pliază pe nevoile și bugetul afacerii tale și că îți oferă protecția necesară în eventualitatea unui control.