Acest site folosește cookies. Continuarea navigării implică acceptarea lor. Mai multe informatii aici.
OK

Resurse

CATEGORII
ÎNCHIDE
Ultimele articole
Analiză
Segmentare
Mesaj
Promovare
Captare
Amplificare
Vânzare
Livrare
Creștere
Multiplicare

GDPR pe intelesul tuturor – Implementare in 7 pasi

 

La fel ca si pe tine probabil, GDPR m-a dat peste cap. Ce e aia GDPR? Cum o sa ma afecteze? Cum implementez? Etc.

 

Informatiile pe internet sunt destul de ambigue, asa ca am citit tot ce se poate citi si am creat un material care, cred eu, este pe intelesul tuturor si poate fi implementat in 7 pasi.

 

Asadar, sa incepem! Dar mai intai…

 

Avertisment

 

Acest material a fost creat cu scopul de a te informa si nu ar trebui tratat ca litera de lege. Pentru sfaturi legale specifice referitoare la GDPR, ar trebui sa discuti cu un avocat, un jurist sau alt tip de consultant legal.

 

 

Ce este GDPR

 

GDPR este un nou set de reguli care se aplica tuturor organizatiilor care colecteaza si retin date personale de la orice individ din Uniunea Europeana. Scopul este de a standardiza legea datelor personale si mecanismele lor in toate domeniile de activitate si pentru a se asigura ca drepturile individuale ale oamenilor sunt protejate. Acest lucru este esential intr-o economie care se bazeaza tot mai mult pe utilizarea datelor personale.

 

 

Principiile GDPR

 

Principiul 1: Legalitate, corectitudine si transparenta

 

Datele cu caracter personal trebuie sa fie prelucrate in mod legal, corect si transparent in raport cu persoanele vizate.

 

Principiul 2: Limitarea scopului

 

Datele cu caracter personal trebuie sa fie colectate numai in scopuri specificate, explicite si legitime.

 

Principiul 3: Colectarea minimului necesar

 

Datele cu caracter personal trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile pentru care sunt prelucrate.

 

Principiul 4: Mentinerea datelor actualizate

 

Datele personale trebuie sa fie corecte si actualizate.

 

Principiul 5: Limitarea stocarii datelor

 

Datele personale trebuiesc mentinute doar pentru scopul colectarii. De aceea, datele personale ar trebui sterse de indata ce scopul colectarii a fost atins (cu exceptia cazurilor unde legea impune altfel).

 

Principiul 6: Integritate si confidentialitate

 

Datele personale trebuiesc procesate intr-un mod care asigura protectia impotriva utilizarii neautorizate.

 

 

7 pasi pentru a te conforma cu regulile GDPR

 

Pasul 1: Inventarierea

 

 

Scopul inventarierii este de a intelege ce date personale detii, unde sunt procesate si care este fluxul lor. O buna inventariere ar trebui sa raspunda la urmatoarele intrebari:

 

  • Ce date personale detin si unde sunt ele localizate?
  • De unde provin aceste date personale si cine are acces la ele?
  • Cui apartin aceste date personale? Aici le clasifici in categorii precum: clienti, angajati sau furnizori.
  • Care este scopul acestor date?
  • Cat timp sunt pastrate si cand pot fi sterse?
  • De unde pot fi accesate aceste date?
  • Care este suportul pe care sunt pastrate aceste date?

 

Pasul 2: Expirarea

 

 

Conform GDPR, datele personale nu ar mai trebui retinute atunci cand scopul procesarii lor a incetat sa existe.

In era noastra digitala, stergerea, asa cum este prevazuta de GDPR, este definita ca:

 

Inactiv: datele exista insa nu sunt supuse procesarii.

 

In asteptare: datele sunt marcate spre stergere, insa sunt in continuare in sistem.

 

Arhivat: Datele sunt mutate intr-un alt sistem la care au acces doar anumite persoane.

 

Stergere definitiva: Datele sunt sterse si nu mai pot fi recuperate.

 

Pentru a trece acest pas, data de expirare trebuie pregatita si aprobata. Pentru data de expirare ar trebui sa raspunzi la urmatoarele intrebari:

 

  • Ce actiune va fi executata de indata ce s-a depasit data de retentie a datelor?
  • Cine va intreprinde o astfel de actiune?
  • Decizia de stergere este reversibila sau ireversibila?
  • Cine va fi notificat cand aceasta decizie este luata?
  • Cum vor fi documentate aceste actiuni? (Asta este foarte important deoarece, la cerere, se poate solicita dovada stergerii).

 

 

Pasul 3: Consimtamantul

 

 

GDPR impune ca pentru procesarea datelor personale sa obtii consimtamantul. Spre deosebire de practicile anterioare, consimtamantul nu poate fi obtinut prin casute prebifate sau abonari subintelese.

 

Iata care sunt aspectele importante stabilite de GDPR:

 

  • Consimtamantul trebuie sa fie pentru un scop specific
  • Consimtamantul sa fie dat in mod liber
  • Consimtamantul sa fie lipsit de ambiguitate
  • Consimtamantul sa nu fie obtinut in schimbul furnizarii unui produs sau serviciu
  • Consimtamantul trebuie sa fie clar si sunt interzise casutele prebifate
  • Furnizorul datelor personale sa poata retrage consimtamantul oricand
  • Consimtamantul trebuie sa fie verificabil (acest lucru este usor in mediul digital in functie de uneltele pe care le folosesti)

Cu toate acestea sunt situatii cand consimtamantul nu este necesar:

  • Cand exista o intelegere contractuala unde datele personale sunt necesare pentru a-l duce la bun sfarsit. (de exemplu un contract de asigurare)
  • Cand actiunea este luata pentru a proteja datele clientului (de exemplu criptarea)
  • Cand actionezi in interesul individului (de exemplu un angajat are un atac de cord si suni la ambulanta unde ii furnizezi datele personale)

 

Pasul 4: Drepturi

 

 

GDPR ofera indivizilor urmatoarele drepturi:

 

Dreptul de a fi informat

 

Asta presupune transparenta asupra modului in care datele vor fi procesate. Atata timp cat ai o declaratie de confidentialitate corect realizata (asa cum vei vedea la pasul 6) esti acoperit. Insa, in acelasi timp, individul ar trebuie sa fie clar informat de existenta acestei politici de confidentialitate.

 

Dreptul de acces

 

Asta inseamna ca o persoana are dreptul de acces la datele lui. Compania ta este obligata sa furnizeze la cerere si fara niciun cost o copie a informatiilor detinute. Cu toate acestea poti solicita o taxa rezonabila sau sa refuzi sa furnizezi informatiile daca cererile sunt repetitive si/sau inutile. In cazul refuzului trebuie sa informezi solicitantul ca se pot adresa unei autoritati superioare.

 

Dreptul de rectificare

 

Asta presupune ca o persoana are dreptul sa solicite modificarea sau completarea informatiilor. De asemenea, si aici poti refuza o astfel de cerere daca este complexa si/sau inutila cu informarea ca se poate adresa unei autoritati superioare.

 

Dreptul de a ridica obiectii

 

O persoana are dreptul de a se opune procesarii datelor personale in scopuri de marketing sau pentru realizarea de profiluri. Asta este, in general, o retragere a consimtamantului, caz in care individul ar trebui retras din actiunile de marketing.

 

Dreptul de a restrictiona prelucrarea datelor

 

Asta presupune ca individul poate interzice procesarea datelor personale. Cand acest drept este exercitat, datele personale raman in companie insa nu mai pot fi procesate.

 

Dreptul la portarea datelor

 

Asta inseamna ca individul poate solicita obtinerea datelor personale pentru a le folosi in achizitionarea produselor sau serviciilor de la alta companie. Practic este un mecanism similar cu portabilitatea numarului de telefon de la un furnizor de telefonie la altul. Cand dreptul este exercitat, ar trebui sa furnizezi datele personale intr-un format electronic (de exemplu in format CSV). Aceasta informatie se furnizeaza gratuit.

 

Dreptul la stergerea datelor

 

Acesta se mai numeste si “dreptul de a fi uitat”. Aceasta presupune ca individul poate solicita stergerea datelor personale daca nu exista un motiv valid pentru procesarea lor. De regula, “motivul valid” apare atunci cand scopul procesarii lor a luat sfarsit.

 

Pasul 5: Transferul

 

 

Scopul acestui pas este de a organiza procesarea datelor care nu sunt realizate in compania ta. Asta include date administrare de terte parti sau de inter companii.

 

GDPR spune ca, atunci cand 2 companii sunt implicate in procesarea datelor, una se numeste Controlor iar cealalta Procesator (cea care proceseaza datele in numele Controlorului). Partea buna este ca GDPR impune aceleasi responsabilitati ambelor parti. Cu toate acestea, controlorul trebuie sa se asigure ca Procesatorul respecta regulile GDPR.

 

Pentru acestea sunt 2 situatii:

 

1. Inter-companii.

 

Asta se intampla cand transferul de date se face catre entitati legale care apartin aceleiasi companie mama in scopul procesarii lor.

 

2.Terte parti

 

Cand procesarea datelor este externalizata catre terte parti, este important sa formalizati responsabilitatile in contract. Asta inseamna ca actualele contracte trebuiesc modificate. Iata ce trebuie sa incluzi in contract:

 

  • Definirea si clasificarea datelor personale
  • Lista a tipului de date personale si a categoriilor de date personale
  • Un acord de respectare a regulilor GDPR
  • Definirea responsabilitatilor pentru Controlor si Procesator
  • Obligatii pentru Procesator (de a utiliza datele personale doar cu sopul mentionat in contract, de a oferi protectie si de a preveni accidente care duc la pierderea sau distrugerea datelor personale ori la accesul neautorizat)
  • Obligatia Procesatorului de a nu transfera datele personale fara acordul Cotrolorului
  • Obligatia Procesatorului de a anunta Controlorul de accidente care au dus la pierderea sau distrugerea datelor sau care au condus la accesul neautorizat al altor persoane. In aceasta situatie Procesatorul (terta parte) este responsabil.
  • Obligatia ca Procesatorul sa anunte Controlorul de orice solicitare de dezvaluire a datelor
  • Obligatia ca Procesatorul sa stearga toate datele (cu exceptia cazului in care egea impune altfel) de indata ce contractul a luat sfarsit.

 

 

Pasul 6: Transparenta

 

 

Pentru a demonstra transparenta ai nevoie de o Declaratie de confidentialitate. Aceasta trebuie scrisa intr-un limbaj simplu si sa raspunda la urmatoarele intrebari:

 

  • Ce date personale ai despre mine?
  • De ce detii aceste date?
  • Ce faci cu aceste date personale? Cu alte cuvinte, in ce scop folosesti aceste date? Chiar ai nevoie de toate datele colectate?
  • Sunt aceste date impartasite cu terte parti? Daca da, cu cine?
  • Ce faci cu datele cand nu mai sunt relevante?
  • Cum respecti confidentialitatea si protectia datelor?
  • Care sunt drepturile mele? (le-am mentionat la pasul 4)
  • Cui ma adresez daca am mai multe intrebari sau daca vreau sa depun o plangere?

 

Pasul 7: Sustenabilitatea

 

 

GDPR vrea sa fie mai mult decat o simpla implementare. Vrea sa se asigure ca updatezi continuu acesti pasi, atunci cand este cazul. Personalul tau trebuie sa fie trainuit sa respecte aceste reguli.

 

Sustenabilitatea, in viziunea GDPR, presupune sa privesti in perspectiva, dincolo de scopul actual al proiectului si sa iti raspunzi la urmatoarele 3 intrebari:

 

  • Cum va respecta compania mea regulile GDPR?
  • Care sunt actiunile necesare pentru a ma asigura de respectarea lor si pe viitor?
  • Cine se va ocupa de asta si cum voi putea monitoriza aceste actiuni?

 

Ti-a fost de folos acest material? Atunci distribuie-l pe Facebook. Vei ajuta mai multi oameni sa inteleaga regulile GDPR.

SOLICITĂ O EVALUARE
DESCARCĂ PLANUL 10x