Desi problema protejarii datelor cu caracter personal nu este una necunoscuta sau nou inventata, noul regulament GDPR ce a intrat in vigoare anul acest in mai este, pana acum, una dintre cele mai importante decizii luate in acest sens. Fata de regulamentele anterioare, GDPR-ul este mult mai detaliat cand vine vorba de masurile ce trebuie luate, iar importanta sa a capatat noi valori. Cu alte cuvinte, toate institutiile, companiile, organizatiile, si alte tipuri de entitati juridice ce colecteaza date cu caracter personal si nu respecta regulamentul, risca sa primeasca sanctiuni deosebit de severe.
Pentru a evita aceste sanctiune, este necesara o implementare GDPR adecvata. Daca va lipseste timpul sau experienta pentru a fi sigur ca implementarea este efectuata corect, numirea unui DPO, sau ofiter pentru protectia datelor, va poate fi de folos. Ce trebuie sa cunoasca acest DPO? Iata 7 proceduri ce nu trebuie sa lipseasca din strategia GDPR a oricarui IMM, indiferent de natura activitatii pe care o desfasoara.
- Intocmirea procesului verbal prin care conducerea IMM-ului a luat la cunostinta importanta regulamentului
Desi poate parea inutil, avand in vedere ca persoanele responsabile cu conducerea IMM-ului stiu de GDPR mai mult ca sigur, este foarte indicat sa intocmiti un proces verbal care sa prevada detaliile luarii la cunostinta a regulamentului. Puteti opta pentru servicii de consultanta GDPR daca doriti sa fiti siguri ca acest tip de documente, cat si procedurile adoptate, sunt in conformitate cu normele in vigoare. Asadar, pe langa datele IMM-ului, procesul verbal va trebui sa contina si detalii cu privire la echipa care va avea in vedere conformarea IMM-ului, numele membrilor, actiunile ce vor fi intreprinse in vederea conformarii, si datele termen pana la care vor fi duse la bun sfarsit.
- Actualizarea politicii de confidentialitate
Odata cu intrarea in vigoare a GDPR-ului, multe s-au schimbat cand vine vorba de politicile de confidentialitate practicate de operatorii de date cu caracter personal. Asadar, trebuie ca acesta politica sa fie revizuita conform normelor in vigoare, pentru a putea informa corect persoanele ce vor intra in contact cu IMM-ul. Asadar, fiecare persoana care va ceda date cu caracter personal va trebui sa stie ce tip de date sunt solicitate si care este scopul prelucrarii acestora.
- Documentul care atesta numirea DPO-ului
Una dintre prevederile GDPR-ului este ca fiecare institutie sa aiba un DPO in componenta sa, persoana ce va avea grija ca regulamentul este respectat intocmai. Puteti opta pentru o externalizare a DPO-ului sau numirea unei astfel de persoane din interiorul institutiei, atata timp cat persoana este pusa la punct cu tot ce inseamna GDPR-ul, plus implementarea si respectarea acestuia. In fiecare caz, veti avea nevoie de un document care atesta numirea DPO-ului, pentru a nu exista dubii cu privire la acest aspect.
- Intocmirea fisei de post pentru noul DPO
Ca orice alt tip de angajat din interiorul institutiei, si DPO-ul va avea nevoie de o fisa de post. Aici vor fi trecute atributiile si responsabilitatile acestei persoane, astfel incat sarcinile de care trebuie sa se ingrijeasca sa fie tratate adecvat.
- Punerea la punct a documentului de instiintare a autoritatii competente
Autoritatile competente in domeniul protectiei datelor cu caracter personal vor trebui sa primeasca rapoarte periodice cu privire la statusul aspectelor prevazute de GDPR. Pentru a face acest lucru posibil, trebuie sa aveti un model de document special prevazut pentru instiintarea autoritatii la indemana tot timpul.
- Intocmirea anexei ce prevede noile norme de protectie a datelor ce va fi alaturata contractelor emise
GDPR-ul prevede obtinerea acordului explicit al persoanelor inainte de preluarea datelor cu caracter personal. De aceea fiecare contract emis de catre IMM va trebui sa aiba o anexa care contine toate aceste detalii. Persoana care cedeaza date prin intermediul contractului va trebui sa stie pentru ce scop datele vor fi prelucrate si ce masuri se vor folosi pentru protectia lor. De asemenea, aveti grija sa notificati furnizorii dumneavoastra, tot printr-o anexa la contract, ca sunteti operator de date cu caracter personal iar respectarea acestor date este prioritara pentru institutia dumneavoastra.
- Informarea si instruirea personalului din IMM
Deoarece colectarea datelor cu caracter personal va fi facuta de catre angajatii IMM-ului, acestia vor trebui sa aiba cunostinte adecvate, in conformitate cu regulamentul. Ei vor trebui sa stie clar ce tip de date trebuie colectate, care sunt cele mai bune mijloace in acest scop, scopul legitim pentru colectarea datelor, pentru cat timp vor fi stocate, si care dintre angajati vor avea acces la acest tip de date.
