Definitii GDPR

Respectarea legii

Multe dintre principalele concepte și principii ale GDPR sunt la fel ca cele din actualele legi privind protecția datelor (DPA), deci dacă respectați în mod corespunzător legea actuală, atunci majoritatea abordărilor dvs. față de conformitate vor rămâne valabile în cadrul GDPR și pot fi punctul de plecare. Cu toate acestea, există elemente noi și îmbunătățiri semnificativ, deci va trebui să faceți câteva lucruri pentru prima dată și câteva lucruri diferit.

Este esențial să planificați acum abordarea GDPR și să obiteni sprijin de la persoanele cheie din organizația dvs. Este posibil să aveți nevoie, de exemplu, să pună în aplicare noi proceduri pentru a face față noii transparențe GDPR și dispozițiile privind drepturile persoanelor fizice. Într-o afacere mare sau complexă, acest lucru ar putea avea resurse bugetare semnificative, IT, personal etc.
Un aspect ar putea fi revizuirea contractele și alte aranjamente pe care le aveți la dispoziție atunci când distribuiți date catre alte organizații.

Constientizare

Ar trebui să vă asigurați că factorii de decizie și oamenii cheie din organizația dvs. sunt conștienti că legea se schimbă în GDPR. Ei au nevoie de asta pentru a aprecia impactul pe care îl are acest lucru și pentru a identifica domeniile care ar putea provoca probleme de conformitate în cadrul GDPR. Ar fi util să începeți examinând registrul de risc al organizației dvs., dacă aveți unul. Implementarea GDPR ar putea avea implicații semnificative asupra resurselor, în special pentru organizațiile mai mari și mai complexe.

Ce date detineti

Ar trebui să documentați ce date personale dețineți, de unde au provenit și cu cine le împărțiți. Este posibil să aveți nevoie să organizați un audit de informații în cadrul organizației sau în anumite domenii de activitate. GDPR vă cere să țineți evidența activităților dvs. de procesare. Actualizati drepturile în rețea. De exemplu, dacă aveți
datele personale inexacte și ati împărtășit acest lucru cu o altă organizație, va trebui să comunicati celeilalte organizații despre inexactitate, astfel încât să poată corecta propriile sale înregistrări. Nu veți putea face acest lucru decât dacă știți ce date personale dețineți, de unde au provenit și de cine le împărtășiți. Ar trebui să documentați acest lucru. Acest lucru vă va ajuta, de asemenea, să vă conformați cu principiul responsabilității GDPR, care cere organizațiilor să poată demonstra modul în care respectă principiul protecției datelor

Comunicarea informațiilor privind confidențialitatea

Ar trebui să revizuiți notificările dvs. actuale privind confidențialitatea și să puneți în aplicare un plan pentru
efectuând modificările necesare în timp pentru implementarea GDPR.
Atunci când colectezi date personale pe care trebuie să le oferi oamenilor sigur cum ar fi identitatea ta și cum intenționezi să le folosești informație. Acest lucru se face, de obicei, printr-o notificare privind confidențialitatea. Sub
GDPR există câteva lucruri suplimentare pe care trebuie să le spui oamenilor. Pentru de exemplu, va trebui să explicați baza dvs. legală pentru procesarea datele, perioadele de păstrare a datelor și că indivizii au dreptul să
Pregătirea pentru Regulamentul general privind protecția datelor (GDPR):

Drepturile individuale

Ar trebui să verificați procedurile pentru a vă asigura că acoperă toate drepturile persoanele fizice au, inclusiv modul în care ați șterge datele personale sau le furnizați date în format electronic și într-un format utilizat în mod obișnuit.
GDPR include următoarele drepturi pentru persoane fizice:
 dreptul de a fi informat;
 dreptul de acces;
 dreptul la rectificare;
 dreptul de ștergere;
 dreptul de a restricționa prelucrarea;
 dreptul la portabilitatea datelor;
 dreptul la obiect; și
 dreptul de a nu face obiectul unui proces decizional automat, inclusiv
profilare.
Pe ansamblu, drepturile pe care indivizii le vor beneficia în cadrul GDPR sunt la fel ca cele din DPA, dar cu unele îmbunătățiri semnificative. Dacă sunteți îndreptat să oferiți indivizilor drepturile lor acum, apoi tranziția
la GDPR ar trebui să fie relativ ușor. Acesta este un moment bun pentru a vă verifica procedurile și pentru a afla cum ați reacționa dacă cineva cere să vada ca datele lor personale au fost șterse. Sistemele dvs. vă vor ajuta
localizați și ștergeți datele? Cine va lua deciziile privind ștergerea? Dreptul la portabilitatea datelor este nou. Se aplică numai:
 datele personale pe care o persoană le-a furnizat unui controlor;
 în cazul în care prelucrarea se face pe baza consimțământului persoanei sau a persoanei fizice la îndeplinirea unui contract
 atunci când prelucrarea este efectuată prin mijloace automate.

Cererea de acces

Ar trebui să vă actualizați procedurile și să planificați modul în care veți rezolva cererile pentru a ține seama de noile norme:
 În majoritatea cazurilor, nu veți putea fi taxat (ă) pentru conformarea la cerere.
 Veți avea o lună pentru a respecta, mai degrabă decât pentru cele 40 de zile în curs.
 Puteți respinge sau percepe taxe pentru cererile care sunt vădit nefondate sau excesive.
 Dacă respingeți o cerere, trebuie să îi spuneți individului de ce și ca ei au dreptul să se plângă autorității de supraveghere și au o cale de atac judecătorească. Trebuie să faceți acest lucru fără întârzieri nejustificate și în termen de o lună.Dacă organizația dvs. gestionează un număr mare de solicitări de acces, luați în considerare
implicațiile logistice ale necesității de a face față mai rapid solicitărilor. Puteți lua în considerare dacă este posibil sau este de dorit să dezvoltați sisteme care permit persoanelor fizice să acceseze cu ușurință informațiile lor online.

Baza legală pentru prelucrarea datelor cu caracter personal

Ar trebui să identificați baza legală pentru activitatea dvs. de procesare în GDPR, documentați-o și actualizați-vă notificarea de confidențialitate pentru a o explica.
Multe organizații nu s-ar fi gândit la baza legală privind prelucrarea datelor cu caracter personal. În conformitate cu legea actuală acest lucru nu are multe implicatii practice. Cu toate acestea, acest lucru va fi diferit în cadrul GDPR
deoarece drepturile unor persoane vor fi modificate în funcție de baza legală pentru prelucrarea datelor cu caracter personal. Cel mai evident exemplu este că oamenii vor avea un drept mai puternic de a-și șterge datele acolo unde
utilizați consimțământul ca bază legală pentru procesare.
De asemenea, va trebui să explicați baza dvs. legală pentru prelucrarea personală a datelor din notificarea dvs. privind confidențialitatea și când răspundeți la o cerere de acces

Consimtamantul

Ar trebui să revizuiți modul în care căutați, înregistrați și gestionați consimțământul și dacă trebuie să faceți modificări. Actualizați acum consimtamintele existente si dacă ele îndeplinesc standardul GDPR.

Consimțământul trebuie să fie dat în mod liber, specific, informat și lipsit de ambiguitate. Acolo trebuie să fie un opt-in pozitiv De asemenea, trebuie să fie separat de alți termeni și condiții și va trebui să aveți modalități simple de retragere a consimţământului persoanelor. Autoritățile publice și angajatorii vor trebui să ia măsuri speciale. Consimțământul trebuie să fie verificabil.

Minorii

Ar trebui să începeți să vă gândiți acum dacă trebuie să introduceți sisteme pentru a verifica vârsta persoanelor și pentru a obține de la părinte sau tutore consimțământul pentru orice activitate de prelucrare a datelor.
Pentru prima dată, GDPR va aduce o protecție specială pentru copii cu caracter personal, în special în contextul serviciilor comerciale de internet cum ar fi rețelele sociale. Dacă organizația dvs. oferă servicii online
(„Servicii ale societății informaționale”) pentru copii și se bazează pe consimțământul de a colecta informații despre ele, atunci este posibil să aveți nevoie de un părinte sau de un tutore  sa dea consimțământul în vederea procesării legale a datelor lor personale. Setul GDPR prevede vârsta la care un copil poate să-și dea consimțământul la această procesare la 16 ani
(deși acest lucru poate fi redus la cel puțin 13 în Marea Britanie). Dacă este un copil mai mic, atunci va trebui să obțineți consimțământul de la o persoană care este tutore sau parinte

Acest lucru ar putea avea implicații semnificative dacă organizația dvs. oferă online servicii pentru copii și colectează datele lor personale. Sa nu uitati ca consimțământul trebuie să fie verificabil și că atunci când colectați datele copiilor dvs. confidențialitatea trebuie să fie scrisă în limba pe care copiii o vor înțelege.

Compromiterea datelor

Ar trebui să vă asigurați că aveți procedurile potrivite pentru a detecta, raportați și investigați o încălcare a datelor cu caracter personal. GDPR introduce o obligație pentru toate organizațiile de a raporta anumite tipuri de date
Trebuie doar să notificati o încălcare în cazul în care este posibil să ducă la un risc pentru drepturile și libertățile persoanelor – dacă, de exemplu, ar putea avea loc discriminarea, prejudiciul reputației, pierderea financiară, pierderea confidențialității sau orice alt dezavantaj economic sau social semnificativ. În cazul în care o încălcare ar putea duce la un risc ridicat pentru drepturi și libertăți ale persoanelor fizice, va trebui, de asemenea, să îi informați pe cei interesați direct în cele mai multe cazuri. Ar trebui să introduceți proceduri pentru a detecta, raporta și
investiga o încălcare a datelor cu caracter personal. Organizațiile vor trebui să dezvolte politici și proceduri de gestionare  pentru incidente.

Protecția datelor prin proiectare și evaluarea impactului

Este necesară în situațiile în care este probabil ca prelucrarea datelor să aibă ca rezultat un risc ridicat pentru persoane fizice, de exemplu:
 unde se desfășoară o nouă tehnologie;
 în cazul în care este probabil ca o operațiune de profilare să afecteze în mod semnificativ
persoane fizice
 acolo unde există o prelucrare pe scară largă a categoriilor speciale

DPO

Ar trebui să desemnați pe cineva care să-și asume responsabilitatea pentru protecția datelor și să evalueze unde va indeplini acest rol în cadrul organizației dvs.

Ar trebui să vă gândiți dacă sunteți obligat să desemnați în mod oficial
Responsabil de protecție a datelor (DPO). Trebuie să desemnați un DPO dacă sunteți:
 o autoritate publică (cu excepția instanțelor care acționează în cadrul instanțelor lor judiciare);
 o organizație care desfășoară activități periodice și sistematice de monitorizarea persoanelor pe scară largă;
 o organizație care desfășoară procesarea la scară largă a unor
categorii de date speciale  cum ar fi dosarele medicale sau informații despre condamnari penale.

International

Dacă organizația dvs. operează în mai multe state membre ale UE, trebuie să vă stabiliți autoritatea de supraveghere a protecției datelor și să documentați acest lucru.
Autoritatea principală este autoritatea de supraveghere din statul în care se află sediul principal. Sediul principal este locul în care se află administrația dvs. centrală din UE sau locul în care se află se iau și se pun în aplicare decizii privind scopurile și mijloacele de prelucrare.
Acest lucru este relevant numai în cazul în care efectuați procesarea transfrontalieră – adică aveți unități în mai multe state membre ale UE sau aveți o singură unitate în UE care efectuează procesări care afectează în mod substanțial indivizi din alte state ale UE. Dacă acest lucru se aplică organizației dvs., ar trebui să indicați unde vă aflați organizația își ia cele mai importante decizii cu privire la activitățile sale de prelucrare. Acest lucru vă va ajuta să vă stabiliți „sediul principal” și, prin urmare, autoritatea de supraveghere principală.