Principalele acțiuni pe care companiile le pot lua pentru conformarea la GDPR sunt incluse într-un ghid de bune practici întocmit de Camera Auditorilor Financiari din România în colaborare cu avocatnet.ro.
Potrivit documentului, un prim pas ar fi identificarea datelor personale prelucrate de companie și analiza scopului, temeiului și perioadei pentru care aceste informații sunt folosite.
Un al doilea pas ar fi analiza necesității angajării unui DPO la firmă. Această obligație n-are o legătură directă cu mărimea societății, ci cu prelucrarea constantă și pe scară largă a datelor personale, ceea ce înseamnă că și firmele mici pot avea obligația desemnării unui DPO.
O altă acțiune de întreprins pentru firme ar fi întocmirea registrului operațiunilor de prelucrare. Mai exact, este vorba de obligația de a avea o evidență a prelucrărilor de date personale, pe care aproape toate firmele trebuie să o respecte, indiferent de numărul de salariați.
Documentul citat detaliază că firmele trebuie să redacteze, în vederea conformării la GDPR, o serie de politici interne și externe, după cum urmează:
- o politică internă privind prelucrarea datelor personale în companie;
- o politică internă privind retenția datelor prelucrate de companie;
- o politică de informare a angajaților privind datele care le sunt prelucrate;
- o politică de informare a clienților, vizitatorilor site-ului firmei etc.;
- o politică privind analiza interesului legitim și realizarea evaluării impactului asupra protecției datelor (cunoscută și ca DPIA, de la „data protection impact assessment);
- o politică internă privind arhitectura companiei din perspectiva prelucrării de date personale (DPO, responsabil cu securitatea datelor, responsabili departamentali pentru diverse tipuri de prelucrări etc).
De asemenea, referitor la cererile pe care persoanele fizice le pot face pentru accesul sau intervenția asupra datelor personale prelucrate, ghidul de bune practici indică și existența unei politici interne privind metodele de identificare existente pentru persoanele vizate ale căror date sunt prelucrate și o politică internă privind răspunsul la cererile persoanelor vizate (modele de răspuns, termen de răspuns etc.).
Totodată, firma trebuie să desfășoare un training intern pentru a educa salariații să recunoască cererile de acces/intervenție ale persoanelor fizice, să știe ce procedură se urmează în acest caz și cum se răspunde solicitanților. În plus, pentru că persoanele fizice au, mai nou, și dreptul de a-și porta datele personale, trebuie să existe la nivel de societate o politică tehnică referitoare la portabilitate (în ce format se exportă datele, ce procedură se urmează etc.).
Un alt pas pentru conformarea la GDPR este stabilirea unei proceduri și a unui formular de analiză pentru furnizorii companiei, pentru a vedea dacă aceștia respectă noile reguli de protecție a datelor personale. Tot aici, trebuie redactate contractele cu operatorii de date/împuterniciții cu care lucrează compania, din perspectiva operațiunilor de prelucrare a datelor personale.
În fine, trebuie subliniat că adaptarea la cerințele GDPR poate impune și alte acțiuni, se arată în ghidul de bune practici. De ce? Pentru că o conformare corectă la GDPR se face în funcție de specificul fiecărei companii.
Începând din 25 mai 2018, GDPR reprezintă cadrul legal european unic în materie de prelucrare a datelor personale. Asta înseamnă că orice companie din România care prelucrează date personale este obligată să respecte prevederile GDPR.