1. IDENTIFICI ARIILE DE PRELUCRARE A DATELOR
Primul pas este să identifici persoanele fizice cărora le prelucrezi datele cu caracter personal. Trebuie să ai în vedere toate persoanele fizice cu care interacționezi: de la angajați, la parteneri, la clienți, sau utilizatori ai website-ului tău.
Exemple de persoane
-
angajați;
-
clienți;
-
furnizori;
-
utilizatori online etc.
2. IDENTIFICI OPERAȚIUNILE DE PRELUCRARE
Pentru fiecare dintre persoanele fizice cu care interacționezi și cărora le prelucrezi date cu caracter personal, trebuie să identifici operațiunile de prelucrare și datele cu caracter personal prelucrate.
Exemple de operațiuni de prelucrare
-
Angajați: încheierea contractului de muncă, înregistrarea contractului în Revisal, SSM, plata salariului, dezvoltare profesională, efectuarea de comunicări, monitorizare.
-
Clienți: încheierea unui contract, emiterea facturii, efectuarea plăților, trimiterea de mesaje de marketing.
-
Furnizori: încheierea unui contract, efectuarea plăților.
-
Utilizatori online: crearea contului de utilizator, modificarea profilului, contactarea utilizatorilor, trimiterea de mesaje de marketing, efectuarea unei comenzi, livrarea produselor, efectuarea plăților.
-
Participanți la evenimente: înregistrarea la eveniment, efectuarea de fotografii, publicarea fotografiilor pe rețele de socializare, înregistrarea video a evenimentului, promovarea evenimentului.
3. INFORMEZI PERSOANELE VIZATE
Toate persoanele vizate cărora le sunt prelucrate datele cu caracter personal trebuie informate cu privire la prelucrările efectuate, iar această informare trebuie realizată la momentul la care primești datele cu caracter personal.
Modalitatea efectivă de informare a persoanelor vizate depinde de interacțiunea cu acestea: offline sau online.
Exemple de notificări
-
Angajații: prin înmânarea unei notificări de informare atașate la contractul individual de muncă
-
Clienții și furnizorii: prin înmânarea unei notificări de informare atașate la contractul încheiat cu aceștia;
-
Utilizatorii online: prin publicarea politicii de confidențialitate pe website/aplicație;
-
Participanții la eveniment: prin publicarea notei de informare pe pagina de înscriere la eveniment.
Fiecare operațiune de prelucrare trebuie întemeiată pe un temei legal prevăzut de GDPR: consimțământ (e.g., trimitere de mesaje de marketing), executare de contract (e.g., datele necesare pentru identificarea părților), obligație legală (e.g., emiterea facturii, înregistrarea contractului în Revisal), interes vital, interes public, interes legitim (e.g., supraveghere video). Oricare dintre aceste temeiuri este la fel de bun, iar alegerea temeiului depinde de fiecare caz de prelucrare în parte.
4. MĂSURI INTERNE
Toate companiile care prelucrează date cu caracter personal trebuie să implementeze măsuri organizatorice care să asigure respectarea GDPR. Aceste măsuri includ redactarea și respectarea unor politici și proceduri interne care să reflecte obligațiile companiei și a personalului companiei cu privire la prelucrarea datelor cu caracter personal.
Exemple de politici și proceduri interne
-
Politica de confidențialitate a datelor cu caracter personal;
-
Politica de stocare a datelor cu caracter personal;
-
Procedura de administrare a incidentelor de securitate;
-
Procedura de gestionare a solicitărilor persoanelor vizate;
De asemenea, toate companiile care prelucrează date cu caracter personal trebuie să implementeze măsuri de securitate adecvate care să asigure protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale a datelor cu caracter personal.
În loc de concluzie
Conformarea cu GDPR-ul este un proces continuu. Astfel, trebuie să te asiguri permanent că respecți GDPR cu privire la orice activitate de prelucrare a datelor cu caracter personal.
Odată obținute ‘documentele GDPR’ (notificările, politicile și procedurile etc.), trebuie să le folosești și să le actualizezi ori de căte ori intervin modificări în activitățile de prelucrare a datelor.