Home » Articole blog

GDPR – Care este impactul asupra firmelor?

Cuvinte cheie: date cu caracter personal, prelucrare, operator, persoană împuternicită, responsabil cu protecția datelor, persoană vizată ( art. 4 din Regulament)

Teoretic, orice persoană fizică sau juridică poate fi operator de date cu caracter personal, această calitate aduce cu ea o serie de obligații, ca de exemplu:

  • numirea unui responsabil cu protecția datelor, persoana de contact cu ANSPDCP, care să exercite o misiune de informare, consigliere și control în plan intern, în vederea conformării cu normele GDPR;

RECOMANDARE ANSPDCP: “ ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.”

  • păstrarea evidenţei activităţilor de prelucrare prin întocmirea de register speciale, în care se evidențiază : CINE ? (prelucrează) , CE ? (fel de date prelucrează), DE CE ? (care sunt scopurile prelucrării) UNDE ? (se ține sistemul de evidență al prelucrărilor), PÂNĂ CÂND? (se stochează datele ), CUM ? ( se aplică măsurile de securitate);
  • aplicarea principiului minimizării (colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor);
  • identificarea temeiului legal în baza căruia se efectuează prelucrarea datelor cu caracter personal;
  • informarea complete, transparentă și corectă a persoanelor vizate, astfel încât să respecte cerinţele impuse de Regulamentul General privind Protecţia Datelor (articolele 12, 13 și 14);
  • verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate;
  • implementarea unor măsuri care să stabilească și să permită exercitare a drepturilor persoanelor vizate (ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
  • verificarea și dacă este cazul, sporirea măsurilor de securitate;
  • revizuirea procedurilor interne;
  • estimarea și gestionarea riscurilor asupra protecţiei datelor din punctul de vedere al persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și scopurile prelucrării și utilizarea noilor tehnologii., efectuarea unei evaluări a impactului pe care un tip de prelucrare o poate avea asupra protecției datelor (PIA/DPIA)