GDPR – ghid practic

Ghid practic pentru implementarea cerintelor Regulamentului General de Protectia Datelor cu Caracter Personal oferit de Wiz Soft SRL Fagaras

GDPR – Este regulamentul pentru protectia persoanelor!

Orice implementare practica reusita incepe cu intelegerea cerintelor :

Regulamentul General de Protectia Datelor cu Caracter Personal  (UE 2016 / 679 : 25.05.2018) se aplică: Prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul UE, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.”

Afla solutia!

Ce sunt datele cu caracter personal ?

“Datele cu caracter personal înseamnă orice informaţie referitoare la o persoană  fizică identificată sau identificabilă („persoana vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale”.

OBS: Există categorii speciale de date, aşa numitele date sensibile, care necesită protecţie sporită şi, prin urmare, sunt supuse unui regim juridic special.

Cine este Operator de Date dar Utilizator ?

Prin operator se înțelege orice instituție publică sau privată care are dreptul de a lucra cu date considerate a fi cu caracter personal, conform legii aflate în vigoare în acest sens.
Prin utilizator se înţelege orice persoană care acţionează sub autoritatea operatorului, cu drept recunoscut de acces la bazele de date cu caracter personal.

Responsabilitate – Conformare – Nivel egal de protectie in UE

Ce urmareste GDPR-ul? 

  • Responsabilitate
  • Conformare
  • Nivel egal de protectie in UE

  Art. (78) “Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament.  Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul trebue să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. “

Care este scopul dvs. ?

  • Securitatea Informatiei dvs. si implicit a datelor cu carater personal
  • Conformare la cerintele legislative – GDPR va intra în vigoare la data de 25 mai 2018
  • Evitarea amenzilor pana la 10.000.000 EUR sau 2% din Cifra de Afaceri 
  • Evitarea imaginii negative asupra institutiei dvs. in cazul producerii unor incidente de securitate
CE TREBUIE FACUT?

Ce trebuie practic facut ?

Decideti daca implementati acest proiect singuri sau impreuna cu un partener cu experienta care sa va acorde suport tehnic, legislativ in tot proiectul sau in anumite etape pentru ca impreuna sa alegeti solutiile optime.

Afla solutia!

 

Tratati implementarea cerintelor Regulamentulului General de Protectia Datelor cu Caracter Personal ca pe un PROIECT si urmati etapele :

Pasul Zero . Informarea personalului cu privire la cerintele RGPD

Se face o intalnire la care participa tot personalul implicat in procese ce utilizeaza date personale. Se informeaza paricipantii despre cerintele regulamentului general de protectia datelor cu caracter personal. Scopul intalnirii este ca tot personalul sa cunoasca si sa inteleaga foarte bine care sunt asteptarile si ce se urmareste.
Obs. Pentru succesul proiectului dvs. nu sariti pasul zero !

I. Aflarea situatiei initiale prin  documentare:

  • Se definesc Scopul si  Politica de Securitate
  • Se numeste Responsabilul cu protectia datelor cu caracter personal sau/si se externalizeaza serv.
  • Chestionarea personalului pentru a afla exact cine lucreaza cu date cu caracter personal in ce scop de unde provin si unde se mai transmit
  • Cum se colecteaza, cum se prelucreaza si unde sunt stocate datele personale   ?

II. Analiza datelor colectate anterior,  optimizarea/simplificarea proceselor:

  • Informatiile obtinute anterior se analizeaza  si se  triaza pentru a face posibila cresterea nivelului de securitate (practic se analizeaza posibilitatile de ordonare/grupare/protejare/stergere date inutile)
  • Se elaboreaza Procedura pentru Gestionarea Datelor cu Caracter Personal
  • Se aloca rolurile (CARTOGRAFIERE) utilizatorilor pentru fiecare prelucrare (Cine? Ce? De Ce ? Unde ?)
    New:Vedeti aici  solutia perfecta pentru cartografierea GDPR

III. Se analizeaza riscurile datelor, masurilor de securitate si ale proceselor identificate anterior:

VALOARE ↔RISC↔ACTIUNE

RISC=IMPACT X PROBABILITATE

Se identifica colectiile de date si se scriu actiunile de intreprins pentru conformare la GDPR, persoana care le duce la indeplinire, termen de realizare se aduc la cunostiinta responsabililor.

IV. Se duc la indeplinire  actiunile de intreprins documentate anterior.

Afla solutia!

V. Pentru succesul proiectului toate procesele au nevoie de :
MONITORIZARE, MASURA ANALIZA SI EVALUARE EVOLUTIE 

ATENTIE : Pentru succesul proiectului dvs. :

Ai grija de proiectul tau!

Responsabilul cu protectia datelor cu caracter personal NU trebuie sa fie aceeasi persoana cu administratorul sistemului IT. Persoana nominalizata cu protectia datelor trebuie sa aiba cunostiinte de legislatie, standarde de securitarea informatiei (ISO 27001)  sa aiba cunostinte generale de informatica, sa fie organizat, realist si obiectiv. Misiunea lui este sa monitorizeze sistemul de protectie al datelor si tine legatura cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Responsabilul cu protectia datelor cu caracter personal trebuie sa : exercite o misiune de informare, de consiliere și de control în plan intern  si…
Art. (85) “….de îndată ce a luat cunoştinţă de producerea unei încălcări a securităţii datelor cu caracter personal, operatorul trebuie notifice această încălcare autorităţii de supraveghere, fără întârziere nejustificată şi, dacă este posibil, în cel mult 72 de ore după ce a luat la cunoştinţă de existenţa acesteia

Administratorul de reţea sau sysadmin este persoana ce se ocupă de întreţinerea, configurarea şi operarea corespunzătoare a echipamentelor si aplica el aplica masurile tehnice.
Administratorul de sistem caută să asigure că uptime-ul, performanţa, resursele şi securitatea informatică a calculatoarelor pe care le gestionează întrunesc sau depăşesc nevoile utilizatorilor, încadrându-se totodată în buget. Pentru a depăşi aceste nevoi, un administrator de sistem poate achiziţiona, instala şi înlocui componente şi software; oferi automatizări de rutină; menţine politici de securitate; rezolva problemele; educa şi/sau superviza angajaţii sau oferi suport tehnic pentru proiecte.

VI. Managementul sustine proiectul, aloca resursele necesare, monitorizeaza continuu progresele facute, intervine cand este cazul, comunica personalului politicile, procedurile si ghidurile si asigura instruirea personalului.

Afla solutia!