CERE O OFERTA

Ce este GDPR si cum afecteaza noul regulament organizatia ta?

EMPLOYEE SELF SERVICE

PERSONNEL ADMINISTRATION

TIME & ATTENDANCE

PAYROLL MANAGEMENT

PERFORMANCE MANAGEMENT

LEARNING & DEVELOPMENT

RECRUITMENT & SELECTION

DOCUMENTS MANAGEMENT

ENTERPRISE SOCIAL NETWORK

hr cloud software
We to color your business
  • 18 aprilie 2018
  • Badana Iulia

Uniunea Europeana urmeaza sa implementeze o schimbare majora in ceea ce priveste protectia datelor cu caracter personal. Schimbarea poarta numele de GDPR, iar daca termenul iti este cunoscut, inseamna ca deja ai inceput sa te documentezi cu privire la ce inseamna, cum te afecteaza si ce masuri trebuie sa iei la nivelul companiei tale.

 

1.Ce inseamna GDPR?

2.Cui se adreseaza GDPR?

3.Ce obligatii noi impune GDPR?

4.Ce sanctiuni risti daca nu respecti noile prevederi?

5.Cum te poti pregati pentru GDPR?

 

Ce inseamna GDPR?

 

GDPR este un acronim pentru General Data Protection Regulation si reprezinta un regulament menit sa protejeze datele personale ale cetatenilor Uniunii Europene. El a fost adoptat prin Consiliul din 27 aprilie 2016, insa va intra in vigoare incepand cu 25 mai 2018, dupa o perioada de tranzitie in care institutiile au avut timp sa se adapteze noilor reglementari.

GDPR a fost adoptat pentru a reda controlul indivizilor asupra datelor lor personale si a felului in care acestea sunt gestionate, dar si pentru a crea un singur set de reguli pentru toate tarile membre UE. Astfel, schimbare este menita sa usureze raportul legislativ dintre UE si mediul international de afaceri.

Cand va intra in vigoare, GDPR va inlocui Directiva Protectiei Datelor din 1995. Insa GDPR nu este o directiva si va intra in efect in toate statele membre UE, fara a fi nevoie de legislatii suplimentare create de guvernele nationale.

 

Cui se adreseaza GDPR?

 

Toate organizatiile din Uniunea Europeana care proceseaza date cu caracter personal trebuie sa respecte GDPR, incepand din data de 25 mai 2018. Mai mult, conditiile GDPR trebuie respectate si de organizatiile din afara UE care prelucreaza datele personale ale cetatenilor din UE.

Conceptul procesarii datelor cu caracter personal este unul destul de larg, in el fiind incluse atat prelucrarea datelor angajatilor, cat si ale clientilor unei companii. Astfel, este destul de putin probabil ca organizatia ta sa nu se ocupe, intr-un fel sau altul, de prelucrarea datelor si sa nu fie afectata de intrarea in vigoare a GDPR.

 

Ce obligatii noi impune GDPR?

 

Desi inlocuieste Directiva Protectiei Datelor 95/46/EC, GDPR pastreaza obligatiile deja impuse de aceasta directiva. Pe langa acestea insa GDPR vine cu noi prevederi care te vor obliga sa iei anumite masuri la nivelul organizatiei tale.

Desemnarea unui DPO

Un DPO (Data Protection Officer) este un responsabil cu protectia datelor. Aceasta va fi o functie care va putea fi atribuita fie unui angajat al organizatiei tale, fie unui consultant extern.

Printre atributiile postului unui DPO se numara:

  • monitorizarea respectarii normelor GDPR;
  • consultanta oferita conducerii organizatiei cu privire la obligatiile sale;
  • administrarea intregului proces IT ce tine de pastrarea sigurantei datelor (inclusiv masurile ce trebuie luate in cazul unui atac cibernetic);
  • adresarea solicitarilor venite din partea autoritatilor nationale de protectie a datelor si a persoanelor fizice.

 

Desemnarea unui DPO va fi insa obligatorie doar pentru:

  • autoritatile publice;
  • organizatiile care se angajeaza in monitorizari sistematice la scara larga;
  • organizatiile care prelucreaza, la scara larga, date personale cu caracter „sensibil” (rasa, etnie, opinii politice, confesiune religioasa, date genetice si date privind sanatatea, date privind viata sexuala si orientarea sexuala, date referitoare la condamnari penale si infractiuni).

Daca organizatia ta nu se ocupa de astfel de prelucrari de date, atunci nu va trebui sa desemnezi un DPO.

Schimbari in ceea ce priveste consimtamantul

Adesea, consimtamantul este folosit ca temei legitim pentru accesarea si prelucrarea unor date personale. GDPR urmareste sa aplice reguli mult mai stricte referitoare la felul in care acesta este acordat.

De acum inainte solicitarea consimtamantului trebuie realizata intr-o forma clara, folosind un limbaj accesibil si inteligibil. In mod asemanator, retragerea consimtamantului trebuie sa poata fi realizata la fel de usor ca acordarea sa. In cazul copiilor de pana la 16 ani, consimtamantul trebuie dat de parintii acestora.

Nu in ultimul rand, nu mai este permisa conditionarea acordarii consimtamantului de prelucare a datelor in schimbul prestarii unor servicii sau livrarii unor bunuri.

Dreptul la portabilitatea datelor

Conform Art. 20 al GDPR, „Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc si pe care le-a furnizat operatorului intr-un format structurat, utilizat in mod curent si care poate fi citit automat si are dreptul de a transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal”.

Cu alte cuvinte, GDPR ofera individului mai mult control asupra datelor pe care le transmite. Exercitarea acestui drept insa nu poate implica stergerea datelor de catre persoana vizata si nu se aplica in cazul in care operatorul de date este investit cu o autoritate oficiala.

Portabilitatea datelor este doar unul dintre cele cateva exemple prin care GDPR incearca sa extinda transparenta procesului de colectare si prelucrare a datelor cu caracter personal. Persoanele vizate au si dreptul de a se informa asupra identitatii responsabilului prelucrarii datelor (DPO), motivului prelucrarii datelor sau a duratei cat vor fi tinute acele date.

 

Ce sanctiuni risti daca nu respecti noile prevederi?

 

Sanctiunile impuse de GDPR sunt foarte mari si se acorda in functie de cat de grava este incalcarea regulamentului, dar si de cat de bine au fost implementate masurile de protejare a datelor cu caracter personal.

Astfel, companiile care nu semnalizeaza cazurile de incalcare a sigurantei datelor sau nu asigura confidentialitatea datelor si protectia lor pot risca o amenda administrativa pana la 10 milioane de euro sau pana la 2% din cifra de afaceri mondiala (in functie de care este mai mare).

De asemenea, companiile care incalca drepturile persoanelor vizate, transfera in mod neautorizat date cu caracter personal sau priveaza persoanele vizate de accesul la datele lor risca amenzi de pana la 20 milioane de euro sau pana la 4% din cifra de afaceri mondiala (in functie de care este mai mare).

 

Cum te poti pregati pentru GDPR?

 

Primul pas este evaluarea gradului de pregatire a organizatiei tale pentru implementarea GDPR. In acest stadiu, poti determina ce discrepante exista intre procedurile interne si prevederile noului regulament.

Daca prin aceasta evaluare ajungi la concluzia ca ai nevoie de un DPO, acum ar fi momentul sa angajezi o persoana pe o astfel de functie sau sa oferi trainingul necesar unui angajat pentru a ocupa aceasta functie.

Este important sa inventariezi toate categoriile de date pe care compania ta le detine si daca acestea sunt sunt in conformitate cu prevederile GDPR si asigura-te ca datele sunt protejate. De asemenea, va trebui sa verifici in ce masura a fost folosit consimtamantul pentru obtinerea acestor date.

 

Este important ca organizatia ta sa functioneze in concordanta cu noul regulament al Uniunii Europene. Nu doar amenzile usturatoare reprezinta un risc, insa datele cu caracter personal reprezinta un subiect sensibil. Managementul lor defectuos va prejudicia incredere clientilor, a partenerilor sau a angajatilor si poate provoca un scandal care iti va deteriora imaginea pe timp indelungat.

Aboneaza-te la newsletter

CAUTI UN MODEL DE DOCUMENT?

HR CLOUD SOFTWARE

COLORFUL.HR

Vezi mai multe detalii