Regulamentul GDPR, impartit in 12 politici si 8 proceduri. Acum e mai usor sa-l aplici!

Regulamentul (UE) 2016/679 AL PARLAMENTULUI EUROPEAN SI AL CONSILIULUI privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), pe numele sau complet, a fost adoptat de organismele Uniunii Europene dupa lungi dezbateri cu privire la datele personale ale cetatenilor europeni si modul in care acestea pot fi procesate de companii si institutii. 

GDPR reglementeaza prelucrarea de catre o persoana fizica, o societate sau o organizatie a unor date cu caracter personal referitoare la persoane fizice in UE.

Regulamentul nu se aplica prelucrarii datelor cu caracter personal ale persoanelor decedate sau ale persoanelor juridice.

Normele nu se aplica datelor prelucrate de catre o persoana fizica din motive pur personale si nici activitatilor desfasurate in locuinta, cu conditia sa nu existe nicio legatura cu o activitate profesionala sau comerciala. Atunci insa cand o persoana fizica utilizeaza datele cu caracter personal in afara „sferei personale”, cum ar fi pentru activitati socioculturale sau financiare, persoana in cauza trebuie sa respecte legea privind protectia datelor.

In Romania ni se cere aplicarea Regulamentului 679/2016 cu privire la protectia datelor cu caracter personal, fara a avea insa la dispozitie prea multe norme si bune practici. Documentele ori deciziile autoritatii sunt putine si destul de vagi, lasand la latitudinea fiecarei firme particularizarea propriilor politici de GDPR privind diversele activitati. Avand in vedere acest lucru, va propunem sa analizam impreuna modul in care GDPR poate fi cu usurinta inteles si aplicat. ANSPDCP va poate aplica amenzi destul de usor in baza acestui act, asadar e recomandat sa fim pregatiti.

E de mentionat si faptul ca ANSPDCP se afla deja la a patra amenda in Romania la momentul redactarii acestui articol si cu siguranta vor urma si altele.

Pentru ce s-au dat pana acum in Romania amenzi in baza GDPR?

1. Prima amenda

ANSPDCP a sanctionat contraventional cu amenda in cuantum de 613.912 lei, echivalentul in euro al sumei de 130.000 euro o banca.

Teste rezolvate la limba si literatura romana clasa a VIII-a

Vezi AICI detalii

Consilier - Codul Muncii abonament 12 actualizari

Vezi AICI detalii

Teste distractive pentru clasa pregatitoare

Vezi AICI detalii

Sanctiunea a fost aplicata UNICREDIT BANK S.A. ca urmare  a neaplicarii masurilor tehnice si organizatorice adecvate, atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele GDPR si a proteja drepturile persoanelor vizate. 

2. A doua amenda

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat contraventional cu amenda in cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.

3. A treia amenda

Operatorul LEGAL COMPANY & TAX HUB SRL a fost sanctionat contraventional cu amenda in cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate, in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Aceasta a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzactii receptionate de site-ul avocatoo.ro (nume, prenume, adresa de corespondenta, email, telefon, loc de munca, detalii tranzactii efectuate), documente accesibile public, in perioada 10 decembrie 2018 – 1 februarie 2019.

4. A patra amenda

Operatorul UTTIS INDUSTRIES SRL a fost sanctionat contraventional cu amenda in cuantum total de 11.834,25 lei (echivalentul sumei de 2500 euro).

Sanctiunile au fost aplicate operatorului deoarece:

• nu a putut face dovada realizarii informarii persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realiza incepand din anul 2016;
• a efectuat dezvaluirea CNP-ul angajatilor, prin afisarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societatii si nu a putut face dovada legalitatii prelucrarii CNP-ului, prin dezvaluire, potrivit art. 6 GDPR.

Intelegem, asadar, faptul ca Regulamentul GDPR este un act care trebuie implementat ca la carte pentru a evita sanctiuni nedorite. Desi presupune cateva cheltuieli suplimentare, acestea sunt minime fata de amenzile pe care le poate aplica ANSPDCP.

In prezent, forma actualizata a GDPR poate fi impartita in 12 politici si 8 proceduri, dupa cum putem observa mai jos. Este cea mai usoara metoda de a parcurge acest act normativ important. Odata ce le parcurgi cu atentie, iti va fi mult mai usor sa intelegi exact ce si cum trebuie facut pentru a fi in completa legalitate!

POLITICI GDPR

Politica Anti Spam

Prezenta politica are ca scop asigurarea unui nivel adecvat de securitate a sistemelor informationale ale societatii impotriva SPAM-ului, in principal cu privire la mesajele publicitare nesolicitate si/sau la mesajele ce urmaresc realizarea unei fraude prin obtinerea de date confidentiale. 

Politica privind resursele informatice

Prezenta politica are ca scop asigurarea securitatii resurselor informationale ale societatii. Se va urmari protectia resurselor informationale impotriva modificarilor neautorizate sau accidentale, asigurand acuratetea si completitudinea acestora, precum si protectia resurselor informationale impotriva divulgarii neautorizate. 

Prezenta politica se aplica tuturor structurilor organizatorice ale Operatorului.

Politica privind gestionarea datelor cu caracter personal

Prezenta politica documenteaza cerintele GDPR privind gestionarea datelor cu caracter personal ale persoanelor vizate. 

Aceasta are in vedere reguli generale si masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea societatii si care gestioneaza date cu caracter personal nu le prelucreaza decat la cererea operatorului, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern. 

Politica privind accesul la date

Prezenta politica documenteaza cerintele GDPR privind mentinerea unui nivel adecvat de securitate si de protectie a datelor cu caracter personal al persoanelor vizate, tinand seama de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod. 

Politica de monitorizare a comunicatiilor electronice

Aceasta procedura se aplica tuturor angajatilor introduce denumirea organizatiei si companiilor din grup. Angajatii care incalca in mod deliberat aceasta politica vor fi supusi actiunilor disciplinare prevazute de Codul muncii.

Politica de copiere si stocare a datelor

Scopul prezentei proceduri de copiere si stocare a datelor este de a asigura protectia si stocarea adecvata a datelor copiate si a documentelor necesare operatorului, iar datele care nu mai sunt necesare pentru operator sau care nu vor fi sterse, vor fi stocate in conformitate cu prezenta procedura. Aceasta procedura de copiere si stocare a datelor are, de asemenea, scopul de a indruma angajatii operatorului sa respecte obligatiile care le revin cu privire la copierea documentelor electronice.

Politica privind schimbul de date cu caracter personal

Prezenta politica se aplica transferului date in interiorul societatii, precum si catre alti destinatari pentru un scop stabilit sau expres prevazut intr-o dispozitie legala, precum si atunci cand prelucrarea este necesara in scopul intereselor legitime urmarite de operator, destinatar sau de partea terta. 

Politica privind modulele cookie

Modulele cookie pot asigura o interactiune mai rapida si mai usoara intre utilizatori si website-uri. Spre exemplu, in momentul autentificarii unui utilizator pe un anumit website, datele de autentificare sunt stocate intr-un modul cookie; ulterior, utilizatorul poate accesa respectivul website fara sa fie nevoie sa se autentifice din nou. 
 
In alte cazuri, modulele cookie pot fi utilizate pentru stocarea de informatii referitoare la activitatile desfasurate de utilizator pe o anumita pagina web, astfel incat acesta sa isi poata relua usor respectivele activitati la o accesare ulterioara a website-ului. 

Politica generala de confidentialitate

Prezentul angajament de respectare a confidentialitatii explica toate aspectele cu privire la prelucrarea datelor cu caracter personal si asigura respectarea tuturor principiilor referitoare la prelucrare, stabilite de legislatia in vigoare, precum si de Regulamentul (UE) 679/2016 (GDPR). 

Politica de retinere si stergere a datelor cu caracter personal

Prezenta politica documenteaza cerintele GDPR privind retinerea/stocarea si stergerea datelor cu caracter personal, in vederea asigurarii confidentialitatii datelor si informatiilor precum si pentru pastrarea in siguranta a acestora, in cadrul activitatii curente executate de catre angajatii firmei.

Politica privind confidentialitatea datelor

Prezenta Politica are drept scop stabilirea principiilor de baza a prelucrarii datelor cu caracter personal, metodologia de lucru, precum si reguli pentru Angajati pentru a se asigura confidentialitatea datelor personale in operatiunile de prelucrare a datelor personale efectuate de („Compania” sau „Operatorul”), in conformitate cu legislatia aplicabila. 

Politica de raportare si tratare a incidentelor de securitate

Prezenta politica documenteaza cerintele GDPR privind procedura de raportare si tratare a incidentelor de securitate si are rolul de a prezenta modalitatea concreta de notificare a Autoritatii de Supraveghere privind Protectia Datelor cu Caracter Personal si de informare a persoanei vizate in cazul in care se produce o incalcare a securitatii datelor cu caracter personal. 

PROCEDURI GDPR

Procedura de evidenta a prelucrarilor de date cu caracter personal

Prezenta procedura documenteaza cerintele privind intocmirea documentului numit „Registrul de evidenta a prelucrarilor de date”. Include si un model! 

Procedura de arhivare documente

Prezenta procedura documenteaza cerintele GDPR privind activitatea de arhivare si pastrare a documentelor in cadrul firmei, in vederea asigurarii protectiei datelor cu caracter personal, asigurarea confidentialitatii datelor si informatiilor, precum si pastrarea in siguranta a acestora, in cadrul activitatii curente executate de catre angajatii societatii. 

Procedura generala de monitorizare a salariatilor la locul de munca

Prezenta procedura documenteaza cerintele GDPR privind monitorizarea salariatilor la locul de munca. Operatorul (firma/institutia) efectueaza monitorizarea in conditiile prevazute de legislatia in vigoare si pentru a proteja angajatii, precum si pentru a-si proteja propriile interese sau pe cele ale clientilor lor. 

Procedura de raportare si tratare incidente de securitate

Prezenta politica documenteaza cerintele GDPR privind procedura de raportare si tratare a incidentelor de securitate si are rolul de a prezenta modalitatea concreta de notificare a Autoritatii de Supraveghere privind Protectia Datelor cu Caracter Personal si de informare a persoanei vizate in cazul in care se produce o incalcare a securitatii datelor cu caracter personal.  

Procedura de obtinere/revocare consimtamant persoane vizate

Prezenta procedura documenteaza cerintele si modalitatea de obtinere/revocare a consimtamantului in contextul GDPR, ca temei de prelucrare a datelor cu caracter personal. In cazul in care, in conformitate cu GDPR, este necesar consimtamantul persoanei vizate pentru prelucrarea datelor sale cu caracter personal, acesta va intra in domeniul de aplicare al prezentei proceduri. 

Procedura de evaluare a interesului legitim

Prezenta procedura documenteaza cerintele GDPR privind modalitatea de evaluare a interesului legitim ca temei de prelucrare a datelor cu caracter personal conform art. 6 alin. (1) lit. (f) din GDPR. 

Procedura de cartografiere a datelor

Prezenta procedura documenteaza cerintele privind intocmirea documentului numit „Cartografierea datelor cu caracter personal”. Modelul este inclus!

Procedura de raspuns la drepturile persoanelor vizate

Prezenta procedura documenteaza cerintele GDPR privind drepturile persoanelor vizate si are rolul de a prezenta modalitatea concreta de raspuns in cazul in care persoana vizata exercita unul dintre drepturi. 

Daca vrei sa ai toate aceste informatii vitale organizate pe stick sau online, atunci da click AICI!

Toate Politicile si Procedurile de mai sus iti vin in ajutor pentru a-ti usura viata indiferent ca esti antreprenor sau DPO!

Profita de reducerea momentului si depaseste orice bariera ar putea introduce GDPR! 

Manualul de Politici GDPR si Manualul de Proceduri GDPR au fost create special pentru cei care vor sa evite sanctiunile scumpe ale ANSPDCP! Nu uitati ca amenda poate ajunge pana la 20 de milioane de euro sau chiar 4% din cifra de afaceri!

Important! Si persoanele fizice se afla sub incidenta GDPR! Iata ce trebuie sa stie, spre exemplu, soferii care folosesc camere de inregistrare video sau audio-video!