In ultima perioada a inceput sa se discute tot mai mult, pe diverse canale de comunicare (TV, radio, internet), despre notiunea de GDPR. De ce?  Pentru ca incepand cu data de 25 mai 2018, intra in vigoare Regulamentul 2016/679/UE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date sau pe scurt GDPR, ce va fi aplicat de toate statele Uniunii Europene. GDRP impune noi reguli organizatiilor din Uniunea Europeana si celor ce ofera bunuri si servicii persoanelor din zona EU sau colecteaza si analizeaza date legate de rezidenti UE, indiferent unde se afla.

In prima faza, m-am gandit sa externalizez acest serviciu si am contactat una din multele firme care au inceput sa ofere de putin timp acest serviciu. Au venit la sediu nostru, am discutat, au plecat si mi-au trimis o oferta. Oferta mi s-a parut exagerat de mare si de aceea am luat decizia, ca inainte de a da o suma consistenta sa vad eu despre ce este vorba. Am gasit o oferta pe internet pentru un curs de 3 zile la Bucuresti cu 2 avocati (http://privacyone.ro/dpo/ ). Ca urmare a cursului am reusit sa inteleg mai bine problemele ridicate de regulamentul ce urmeaza sa intre in vigoare.

GDPR este act normativ important pentru toti agentii economici, in principal din cauza amenzilor foarte mari si foarte usor de aplicat. Din nefericire, GDPR impune reguli generice, care trebuie interpretate de fiecare in parte. O interpretare corecta si precisa este esentiala pentru a evita sau diminua pericolul amenzilor care pot fi aplicate de autoritati si care pot ajunge la maxim 20.000.00,00 Euro sau 4 % din cifra globala de afaceri.

Daca din fericire categoriile de agenti economici care au nevoie de un DPO (responsabilul cu protectia datelor) este limitat, majoritatea neavand obligatia de a avea unul, totusi toti agentii economici sunt obligati sa se conformeze cu GDPR fie prin forte proprii fie apeland la ajutor extern. Apropo de acest ajutor trebuie putina atentie deoarece, cum exista cerere, a inceput sa apara si oferta. Din pacate experienta multora din cei care ofera acest serviciu este aproape inexistenta si exista un risc marit de a plati niste sume considerabile iar conformitatea sa nu fie indeplinita ca urmare a unei interpretari eronate sau incomplete.

Pentru a veni in sprijinul dvs. voi incerca in continuare sa fac un mic rezumat al regulamentului GDPR sub forma de intrebari si raspunsuri.

(Art. 5 GDPR) „date cu caracter personal” reprezinta orice informatie privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

In cazul in care o persoana fizica, desi neidentificata, este descrisa in aceste informatii intr-un mod care face posibila identificarea persoanei vizate prin efec­tuarea de cercetari ulterioare, acele informatii sunt date cu caracter personal.

Exemple: nume, adresa, telefon, email, salariu, adresa IP, CNP, imaginea, etc.

dar si categorii speciale date cu caracter personal referitoare la:

  • originea rasiala sau etnica;
  • opiniile politice, convingerile religioase sau de alta natura;
  • starea de sanatate sau viata sexuala, date genetice sau biometrice;
  • apartenenta la un sindicat;
  • datele cu caracter personal referitoare la condamnarile penale care necesita o protectie sporita iar prelucrarea acestor date trebuie permisa numai impreuna cu garantii specifice.

(ART.3 GDPR) «prelucrarea datelor cu caracter personal» […] inseamna orice operatiune […] cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvaluirea prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea acestor date.

Altfel spus orice operatiuni efectuate asupra datelor cu caracter personal, integral sau partial prin mijloace automate. De asemenea protectia datelor se aplica an cazul prelucrarii datelor cu caracter personal antr-un sistem de evidenta manual, si anume, un dosar structurat special.

Cu alte cuvinte in momentul in care solicitam cuiva date cu carecter personal si le inregistram intr-un program sau pe suport hartie le introducem intr-un dosar de personal de exemplu, se numeste ca facem prelucrare de date cu caracter personal.

Din coroborarea celor 2 raspunsuri cred ca este foarte clar de ce toti agenti economici devin operatori de date cu caracter personal. Indiferent de tipul activitatii, se colecteaza si se stocheaza date personale despre:

  • datele salariatilor care cuprind evaluari, fise medicale, etc;
  • clienti – persoane fizice;
  • date ale reprezentantilor firmelor cu care se incheie contracte;
  • datele turistilor;
  • inregistrari video;
  • inregistrari in programele de fidelitate;

…iar exemplele pot continua.

  1. Principiile prelucrarii:
    • legalitate, echitate si transparenta: adica datele sunt prelucrate an mod legal, echitabil si transparent fata de persoana vizata ;
    • limitarea la scop: adica datele sunt colectate an scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;
    • minimizarea datelor: adica datele sunt adecvate, relevante si limitate la ceea ce este necesar an raport cu scopurile  in care sunt prelucrate;
    • exactitate: adica datele sunt exacte si, in cazul care este necesar, actualizate;
    • limitarea stocarii: adica datele personale sunt pastrate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele iar finalul prelucrarii datele trebuie sterse sau anonimizate/pseudonimizate;
    • securitate si confidentialitate: adica datele sunt prelucrate intr-un mod care asigura secutitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sa a deteriorarii accidentale;
    • responsabilitate: toate cele de mai sus sunt documentate si dovedite.
  1. Temeiul prelucrarii:
  • consimtamant;
  • executarea unui contract la care persoana la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
  • indeplinirea unei obligatii legale a operatorului;
  • protejarea intereselor vitale ale persoanei sau ale altei persoane fizice;
  • indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
  • interesul legitim urmarit de operator sau de un tert, cu exceptia cazului in care preleveaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

De mentionat este ca o prelucrare trebuie sa respecte toate principiile si sa aiba cel putin un temei!!! 

  1. Transparenta si informare:
  • informarea persoanelor vizate este o obligatie a operatorilor aplicabila in absolut toate situatiile indiferent de temeiul folosit;
  • trebuie sa preceada prelucrarea si daca este cazul obtinerea consimtamantului;
  • Informarea trebuie sa fie:
    • intr-o forma concisa, transparenta, inteligibila si usor accesibila;
    • utilizand un limbaj clar si simplu, in special pentru orice informatii adresate in mod specific unui copil;

GDPR confera mai multe drepturi persoanelor carora li se prelucreaza date personale. Astfel, pe langa drepturile existente in prezent, regasim si dreptul la portabilitatea datelor sau pe cel de stergere a datelor. Aceste drepturi sunt:

  • Dreptul la informare am scris mai sus, deorece informarea este obligatie a operatorului de date;
  • Dreptul de acces inseamna ca persoana vizata are dreptul de a obtine o confirmare din partea operatorului ca prelucreaza sau nu datele cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la informatii privind modalitatea in care sunt prelucrate datele.
  • Dreptul la portabilitatea datelor se refera la dreptul de a primi datele personale intr-un format structurat, utilizat in mod curent si care poate fi citit automat si la dreptul ca aceste date sa fie transmise direct altui operator, daca acest lucru este fezabil din punct de vedere tehnic.
  • Dreptul la opozitie vizeaza dreptul persoanei vizate de a se opune prelucrarii datelor personale atunci cand prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau cand are in vedere un interes legitim al operatorului. Atunci cand prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizata are dreptul de a se opune prelucrarii in orice moment.
  • Dreptul la rectificare se refera la corectarea, fara intarzieri nejustificate, a datelor cu caracter personal inexacte. Rectificarea va fi comunicata fiecarui destinatar la care au fost transmise datele, cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate.
  • Dreptul la stergerea datelor („dreptul de a fi uitat”) inseamna ca persoana vizata are dreptul de a solicita sa i se sterga datele cu caracter personal, fara intarzieri nejustificate, in cazul in care se aplica unul dintre urmatoarele motive: acestea nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate; persoana vizata isi retrage consimtamantul si nu exista niciun alt temei juridic pentru prelucrare; persoana vizata se opune prelucrarii si nu exista motive legitime care sa prevaleze; datele cu caracter personal au fost prelucrate ilegal; datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale; datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale.
  • Dreptul la restrictionarea prelucrarii poate fi exercitat in cazul in care persoana vizata contesta exactitatea datelor, pe o perioada care permite operatorului verificarea corectitudinii datelor; prelucrarea este ilegala, iar persoana se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea; in cazul in care operatorul nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar persoana i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta; in cazul in care persoana s-a opus prelucrarii pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei respective.

Un drept special al persoanei vizate este acela de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automata, inclusiv crearea de profiluri, care [decizie] produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa. In acesta situatie exista obligatii dar si exceptii!

Foarte important este ca raspunsul in cazul oricarei cereri a unei persoane vizate trebuie sa:

  • fie formulat in scris. Daca cererea este facuta electronic si persoana vizata nu a solicitat un raspuns formulat pe un alt suport, atunci si raspunsul trebuie sa fie electronic;
  • informatiile vor fi furnizate intr-o forma concisa, transparenta, inteligibila si usor accesibila, utilizand un limbaj clar si simplu;
  • la cererea persoanei vizate, informatiile pot fi furnizate verbal, cu conditia ca identitatea sa fie dovedita prin alte mijloace (acte de identitate, raspuns la intrebari secrete etc);
  • raspunsul in cazul cererilor simple nu trebuie sa depaseasca 30 de zile de la primire, iar in cazul cererilor complexe perioada poate fi prelungita cu maxim 2 luni cu conditia informarii persoanei vizate de prelungirea termenului de raspun in maxim 30 de zile de la primirea cererii.

Da, exista mai multe obligatii printre care si obligatia intocmirii unui „Registru al operatiunilor de prelucrare”, atat pe suport hartie cat si in format electronic, tinut la zi si cu acces restrictionat doar la nivelul unor persoane autorizate si care trebuie sa cuprinda:

  • numele si datele de contact ale operatorului si al DPO daca este cazul;
  • scopurile prelucrarii;
  • categoriile de persoane vizate si categoriile de date cu caracter personal;
  • categoriile de destinatari carora le-au fost sau le vor fi divulgate datele;
  • daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, documentatia care dovedeste existenta unor garantii adecvate;
  • acolo unde este posibil, termene-limita preconizate pentru stergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generala a masurilor tehnice si organizatoate principiile prelucrari):torice de securitate mentionate la art.32(1)

Modele de registre puteti gasi la:
https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
sau
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/documentation/how-do-we-document-our-processing-activities/

Raspunsul la acesta intrebare este strict parerea mea personala si reprezinta modul in care eu personal interpretez acest regulament.

Exista 2  actiuni posibile pe care le puteti lua astfel:

  • Cautati ajutor extern prin incheierea unui contract cu o firma care ofera servicii de consultanta in domeniul GDPR.
  • Sa angajati sau sa pregatiti o persoana din cadrul firmei care sa se ocupe de implementarea noului regulament.

Indiferent de ce anume alegeti: sa externalizati serviciul sau va hotarati sa va descurcati intern, primul pas trebuie  sa fie o analiza, numita si  „Gap Assessment”,  care „ofera o evaluare a nivelului actual de conformitate al dvs. cu GDPR si ajuta la identificarea si prioritizarea domeniilor-cheie pe care organizatia dvs. trebuie sa le abordeze.”

Altfel spus trebuie sa faceti un inventar total al datelor cu caracter personal pe care le prelucrati si anume (va reamintesc ca trebuie sa aveti cel putin un temei de prelucrare si sa respectati toate principiile prelucrari):

  • ce date cu caracter personal detineti. In aceasta etapa este recomandat sa analizati daca cu cumva prelucrati mai multe date decat ar fi necesar (principiul prelucrarii excesive) si sa decideti care ar fi minimul necesar de date ce urmeaza a fi prelucrate;
  • unde se afla fizic acestea: dosare, baze de date, mailuri, oferte, contracte, agende telefonice, backup-uri, suporturi amovibile etc;
  • cum se prelucreaza aceste date (state de plata, contracte, baze de date etc);
  • in ce temei le prelucrati: va impune legea (temei legal), in executarea unui contract, temeiuri proprii legitime (spre exemplu detinerea unei agende telefonice sau o baza de date cu emailuri pentru markenting), consimtaminte;
  • unde se transmit, daca faceti acest lucru (ITM, ANAF, Banca, parteneri);
  • modul de transfer al datelor intre entitati si nivelul de securitate a cailor de transfer (daca transferul se face online sa se foloseasca o metoda securizata de transfer, daca transferul se face prin suport fizic sa se asigure ca nu exita acces extern neautorizat la aceste date)
  • cine are acces la acele date sau face prelucrari cu date;
  • modul si calea de acces la datele cu caracter personal (daca exista date accesate de la distanta, calea de acces trebuie sa fie securizata)
  • ce masuri de securitate si de protectie a acestor date exista: securitatea fizica a datelor – impotriva furtului unei baze de date spre exemplu si securitatea informatica – impotriva virusarii;
  • daca aveti un site trebuie sa discutati cu cel care vi l-a realizat despre politica ce cookie ales daca site-ul dvs. foloseste cooki – uri de tip first party, acelea folosite la localizare si/sau profilare.
  • daca exista imputerniciti, adica o „persoana imputernicita de catre operator” este o entitate separata din punct de vedere juridic, a carei sarcina este prelucrarea datelor cu caracter personal pe seama operatorului. Mentionez ca responsabilitatea prelucrarii o are operatorul si nu imputernicitul.

Un exemplu de astfel de inventariere ar fi:

  • Date ale angajatilor. Acestea se regasesc in: dosarele de personal, probabil intr-un program de salarizare, in statele de plata. Aceste date se transmit la ITM prin Revisal,  la ANAF prin declaratia 112, la banca prin fisierele de plata pe card, prin adeverinte eliberate la cere in diverse destinatii (doctori, ambasade, etc). Ca si temei avem contractul de munca, codul fiscal, etc. Deci nu am nevoie de acordul salariatului sa ii prelucrez datele personale dar cu toate acestea trebuie sa il informam, chiar retroactiv, despre ce date am colectat, de ce si ce facem cu ele;
  • Date ale reprezentantilor firmelor cu care se incheie contracte in calitate de client sau de furnizor. Acestea se regasesc pe suport hartie organizate in dosare, intr-un program de CRM, scanate intr-un program de managementul documentelor, etc. Ca temei legal avem in executarea unui contract.
  • Date ale clientilor persoane fizice. Acestea se gasesc in aplicatii de facturare, in aplicatii de gestiune hoteliera, in aplicatii financiar contabile, in aplicatii de fidelizare, etc. Datele se mai pot regasi in dosare pe suport hartie si in backup-uri. Aceste date pot fi folosite in programe de profilare – adica decizii automate pe baza unor criterii direct de firma sau de imputerniciti ai firmei;
  • O agenda telefonica in care se regasesc numele si numarul de telefon ale clientilor sau furnizorilor nostri sunt de asemenea prelucrari de date;

Exemplele pot continua. Este foarte important sa faceti un inventar total in care sa implicati toate departamentele din firma.

Dupa aceasta prima analiza, urmeaza o a doua numita si DPIA (Data Protection Impact Assessement – Evaluarea Impactului) .

„Ce este DPIA?

Nu exista exista o definitie , dar continutul  este este prevazut in art. 35(7)

(7) Evaluarea contine cel putin putin :

(a) o descriere sistematica a operatiunilor de prelucrare preconizate si a scopurilor prelucrarii, inclusiv, dupa caz, interesul legitim urmarit de operator;

(b) o evaluare a necesitatii  si proportionalitatii a operatiunilor de prelucrare an legatura cu aceste scopuri

(c) o evaluare a riscurilor pentru drepturile si libertatile persoanelor vizate mentionate la alineatul (1);si

(d) masurile preconizate in vederea abordarii riscurilor, inclusiv garantiile , masurile de securitate si mecanismele menite sa  asigure protectia datelor cu caracter personal si sa demonstreze  conformitatea  cu dispozitiile prezentului regulament, luand in considerare drepturile si interesele legitime ale persoanelor vizate si ale altor persoane interesate.

„In conformitate cu GDPR, o DPIA este obligatorie in cazul in care prelucrarea datelor <este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice>. Acest lucru este deosebit de important atunci cand se introduce o noua tehnologie de procesare a datelor. In cazurile in care nu este clar daca o DPIA este strict obligatorie, realizarea unei DPIA este inca o buna practica si un instrument util pentru a ajuta operatorii de date sa respecte legislatia privind protectia datelor.”

Recomandarea avocatilor de la curs a fost sa se faca o analiza DPIA pentru toate seturile de date prelucrate indiferent de situatie. Ce inseamna asta? Trebuie facute tot felul de scenarii privind posibile brese de securitate (furtul datelor personale de catre persoane neautorizate sau chiar distrugerea datelor) si efectele acestora asupra persoanelor ale caror date sunt pierdute sau distruse. Apropo de distrugerea datelor ca urmare fie ale unor actiuni rau intentionate fie ale unui virus, ma tot gandeam in timpul cursului ce priveste pe cineva daca eu pierd sa spunem baza de date cu salariatii sau baza o baza de la receptia unui hotel sa spunem. Am intrebat acest lucru iar raspunsul a fost un exemplu real. La un centru de dializa de la noi din tara, ca urmare a unui virus care a encriptat calculatoarele, s-au pierdut datele personale ale clientilor privind informatii vitale legate de dializa specifice fiecarei persoane. Acest lucru a ingreunat procesul existand oricand riscul ca pacientii sa isi piarda viata. Deci concluzia: protectia datelor este foarte importanta!

O evaluare a impactului asupra protectiei datelor (DPIA) descrie un proces conceput pentru a identifica riscurile care decurg din prelucrarea datelor cu caracter personal si pentru a minimiza aceste riscuri cit mai curind posibil. DPIA sunt instrumente importante pentru negarea riscului si pentru demonstrarea conformitatii cu GDPR.”

Rezultatul a celor de mai sus trebuie sa se constituie intr-un raport scris care contine o descriere a situatiei curente la nivelul companiei si o lista de recomandari pentru  remedierea deficientelor identificate.

In acest moment pe baza raportului se trece la pasul urmator care consta in implementarea tuturor masurilor necesare pentru asigurarea conformitatii cu GDPR.

In acest pas se realizeaza:

  • elaborare de proceduri interne de lucru, se face informarea/instruirea tuturor persoanelor implicate in prelurari de date sau care au relevanta fata de Recomandarea este sa se faca o daca nu o scolarizare cu toti angajatii cel putin o nota de informare legat de GDPR;
  • implementarea, impreuna cu responsabilul IT a tuturor masurilor de securitate informatica necesare gen: achizitie antivirusi, masuri de criptare/securizare a backup-urilor si a fisierelor care contin date cu carecter personal cum ar fi contracte, oferte, etc;
  • discutii cu furnizorii de software aplicativ: soft de gestiune hoteliera/ PMS hotelier, soft de vanzare restaurant, soft de gestiune generala, soft de contabilitate, soft de facturare etc in vederea stabilirii celor mai bune masuri de protectie a bazelor de date, a continutului bazelor de date si in vederea stabilirii politicilor de acces la bazele de date atat ale angajatilor proprii cat si a furnizorilor de programe atunci cand se solicita suport tehnic;
  • trebuie sa luati in considerare si modul in care anonimizati sau stergeti datele la cerere sau la sfarsitul perioadei de pastrare specificata in informarea catre persoane.;
  • sa luati in calcul si caile prin care o persoana va poate trimite o cerere. (va aduc aminte ca la astfel de cereri trebuie sa raspundeti in termen de 30 de zile);
  • realizarea informarilor pentru asigurarea transparentei prelucrarilor precum si transpunerea in scris a politicii de protectie a datelor cu caracter personal cu toate aspectele: colectare date, prelucrare, protectie, durata de mentinere etc;
  • informarea persoanelor ale caror date le prelucrati conform GDPR, eventual daca situatia o impune obtinerea de noi consimtaminte conforme GDPR. Ca o paranteza, zile acestea am primit un emai de la compania NN unde sunt asigurat cu urmatorul continut:

Draga Florian Eduard,

Acum ceva timp, ai avut incredere in NN Asigurari de Viata si ai aderat la un fond de pensii facultative pentru siguranta viitorului tau financiar. Parte din responsabilitatea noastra in aceasta relatie este si modul in care avem grija de datele tale personale pe care ni le-ai pus la dispozitie.  

Prin urmare, iti scriem pentru a-ti spune ca, incepand cu data de 25 mai 2018, Regulamentul 2016/679/UE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (in continuare „Regulamentul”) va fi aplicat de toate statele Uniunii Europene. Prin intermediul acestui Regulament se doreste crearea unui cadru legislativ unitar si uniform pe teritoriul Uniunii Europene care sa nu mai necesite masuri nationale de implementare.  

NN Asigurari de Viata se aliniaza prevederilor Regulamentului si credem ca este un moment potrivit sa punctam cateva aspecte importante. 

Prelucrarea datelor

Asa cum stii, prelucram datele tale cu caracter personal in scop contractual si legal, iar, in masura in care ai fost de acord, in scop de marketing direct, adica pentru a te tine la curent cu produsele sau serviciile noastre. 

Temeiul prelucrarii este constituit din actul de aderare si prevederile legale aplicabile. Astfel, pentru a facilita desfasurarea activitatilor aflate in legatura cu actul de aderare si in vederea indeplinirii obligatiilor legale, comunicam aceste date catre autoritati publice, operatori, terti sau imputerniciti sau altor categorii de destinatari.  

Tot in scop contractual, este posibil sa transferam aceste date in Uniunea Europeana pentru prevenirea fraudelor, ca urmare a transferului sistemului informatic de prelucrare si procesare a datelor referitoare la operatiunile de pensii, analiza si raportare interna si in SUA in vederea transmiterii de chestionare care au drept scop imbunatatirea serviciilor furnizate de NN (partenerul selectat in acest sens aderand la principiile Privacy Shields).  

In ceea ce priveste scopul de marketing direct, doar in situatia in care ai fost de acord ca datele tale personale sa fie prelucrate in acest scop, iti comunicam ca selectam si analizam datele cu caracter personal – de exemplu, nume, prenume, data nasterii, adresa, adresa e-mail, telefon, date despre familie, date contractuale – inclusiv pentru a crea profiluri, cu mentiunea ca nu utilizam concomitent intregul set de date. Cateodata, una sau mai multe dintre datele personale pot fi comunicate partenerilor NN, insa te asiguram ca transmiterea CNP-ului si utilizarea acestuia de catre parteneri se efectueaza in mod exclusiv pentru selectie, intersectie si analiza, nefiind asociat cu alte date de contact. 

Toate informatiile se regasesc pe www.nn.ro, in sectiunea Prelucrarea datelor. Ori de cate ori va interveni o modificare, aceasta se va reflecta in locatia amintita. 

Mentionam ca pentru a determina perioada pentru care vor fi prelucrate datele, luam in calcul durata contractuala pana la expirarea obligatiilor contractuale si termenele de arhivare.” – acest mesaj, cred ca va dati seama, a fost primit de toti clientii NN care erau inregistrati cu o adresa de email in baza de date si cred ca celor care nu aveau o adresa de email le-au fost trimise scrisori prin posta. Acesta este un exemplu despre cum trebuie procedat;

  • completarea „Registrului al operatiunilor de prelucrare”;
  • alte actiuni care considerati dvs. ca se impun sau sunt necesare sau va reies din interpretarea Regulamentului.

In acest punct, daca ati respectat toate indicatiile regulamentului, se poate spune ca ati devenit conformi cu GDPR. De retinut este ca acest proces nu s-a finalizat, el trebuie permanent re-evalut in special daca se schimba oricare din conditii sau riscuri si revizuit daca situatia o impune. Exista o recomandare ca cel putin odata la 3 ani, daca nu si mai devreme sa se faca revizuirea politicilor de protectie a datelor cu caracter personal interne.

Pe scurt:

  • Identificati ce date personale pe care le aveti si unde se afla
  • Administreaza modul in care datele personale sunt accesate si folosite
  • Protejeaza stabilind controale de securitate pentru a preveni, detecta si a raspunde la vulnerabilitati privind scurgerea datele
  • Raportati si pastrati documentatia necesara, gestionati solicitarile de date si notificarile privind scurgerea de date
  • Re-evalueaza si revizuieste daca este cazul

Articol scris de Rezeanu Florian Eduard Director General SC Multisoft SRL