„Pentru a avea succes, lasă de-o parte câteva din regulile vechi și învață altele noi în interesul tău și al afacerii tale” – Bob Iger

Până de curând, era de actualitate faptul că în orice companie trebuie să existe o politică GDPR. Acum, nu mai este suficient să ai o politică GDPR doar pentru a te conforma dispozițiilor legale (și a scăpa de amenzi, desigur), dacă nu este bine pusă la punct și actualizată constant.

Dacă ai propriul business și crezi că politica GDPR pe care ai implementat-o acum mulți ani (și pe care cel mai probabil s-a așezat praful) încă mai este de actualitate, atunci, îmi pare rău să te anunț, dar trebuie să îi faci un update.

Pentru asta, am întocmit o listă cu câteva tips&tricks care sper să îți fie de folos. Și chiar te încurajez să le folosești:

1. Datele personale nu se limitează la CNP, adresă, nume, e-mail etc., ci pot include chiar localizarea prin GPS, adrese IP, date biometrice, preferințe de cumpărare sau locul de muncă; 

2. Normele GDPR nu se aplică datelor referitoare la societăți sau alte entități juridice (spre exemplu, CUI-ul sau CIF-ul nu sunt date cu caracter personal). Există totuși și excepții – pe acestea le-am păstrat pentru un articol viitor. Stay tuned;

3. În calitate de operator, trebuie să analizezi foarte bine ce volum de date este necesar și să eviți colectarea datelor irelevante (spre exemplu, dacă nu sunt necesare date privind religia sau sexul, atunci acestea nu ar trebui colectate și prelucrate);

4. Adoptă un limbaj clar și simplu atunci când redactezi politica de confidențialitate. Totuși, nu te limita la a indica că „se vor colecta și prelucra date cu caracter personal”. Clienții tăi ar trebui să știe motivul pentru care ai nevoie de datele colectate, cum le vei utiliza și cât timp le vei păstra. În plus, sigur vei fi scutit de probleme și amenzi pe viitor;

5. Nu stoca datele colectate mai mult decât este necesar. Cu siguranță clienții tăi nu se vor bucura să primească în următorii 10 ani câte 2-3 mail-uri pe zi cu ultimele noutăți și promoții. O politică de retenție a datelor te-ar putea scăpa de multe griji în acest caz;

6. Asigură-te permanent că datele cu caracter personal sunt corecte și sunt actualizate acolo unde este necesar;

7. Orice prelucrare a datelor trebuie efectuată în condiții de maximă siguranță pentru a evita prelucrări neautorizate sau chiar pierderea ori distrugerea datelor (Pro tip: pentru a te feri de probleme în cazul unei breșe de securitate, poți implementa standardul ISO 27 001);

Tot aici îți las și o serie de măsuri tehnice și organizatorice prin care te poți asigura că protejezi datele cu caracter personal:

1. În primul rând, stabilește fluxul de date cu caracter personal în cadrul companiei aka Data mapping. Dacă nu ai auzit încă, stai fără grijă – se aplică, de regulă, doar companiilor cu peste 250 de angajați;

2. Organizează training-uri în cadrul companiei. Chiar dacă ai proceduri foarte bine puse la punct, eroarea umană tot reprezintă cel mai mare risc în implementarea acestora.

3. Stabilește proceduri privind securitatea datelor și informarea tuturor angajaților cu privire la respectarea acestora;

4. Stabilește în cadrul societății un Responsabil de date cu caracter personal (nu este obligatoriu, dar te poate scuti de multe bătăi de cap);

5. Nu copia proceduri GDPR de la alte societăți; acestea trebuie adaptate la specificul activității pe care o desfășori;

6. Nu lăsa nesupravegheate documente care conțin date cu caracter personal sau alte informații confidențiale;

*în anul 2019, un hotel din București a fost sancționat de către Autoritatea de Supraveghere națională cu amendă de 15.000 euro pentru faptul că lista de hârtie tipărită utilizată pentru verificarea clienților la micul dejun a fost fotografiată de persoane neautorizate, ceea ce a dus la dezvăluirea datelor personale ale unor clienți prin publicarea online.

7. Implementează un plan de acțiune în cazul unei încălcări a securității datelor. Acest plan ar trebui să identifice măsurile pe care le vei lua pentru a investiga încălcarea, a reduce daunele și pentru a notifica persoanele ale căror date au fost afectate.

*Nu uita că orice încălcare trebuie notificată în termen de cel mult 72h.

8. Nu întotdeauna este suficientă inserarea unei clauze privind prelucrarea datelor cu caracter personal în contractele pe care le închei. S-ar putea să fie necesară încheierea unui acord de prelucrare, a unei anexe la contract sau chiar a unui contract de sine stătător. În oricare dintre cazuri, evită să folosești același draft cu toți clienții;

9. Crearea unui registru GDPR pentru contracte îți va ușura munca și te va proteja în cazul unei breșe de securitate;

10. Ultima și cea mai importantă: asigură-te că revizuiești frecvent și constant legislația în materia protecției datelor.

Tu când ai făcut ultima dată un update politicii GDPR?

—

Conținutul acestui articol a fost creat de echipa Legally Remote și are un scop strict informativ și general; informațiile conținute nu constituie consultanță juridică.

Dacă ai nevoie de asistență legală pentru business-ul tău la început de drum, stabilește un call de consultanță.  Împreună cu echipa mea, te ajut să scapi de stresul documentelor și-ți  ofer timp să te ocupi de lucrurile importante pentru business-ul tău.