În conformitate cu Articolul 5 (1), „datele cu caracter personal trebuie să fie corecte și, acolo unde este necesar, actualizate; fiecare măsură trebuie luată pentru a vă asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („acuratețe”);”

Identificați, documentați și implementați măsuri specifice care vă vor permite să demonstrați o abordare sistematică de conformare cu aceste cerințe.

În conformitate cu Articolul 5 (1), „datele cu caracter personal trebuie păstrate într-o formă care permite identificarea persoanelor vizate pentru o perioadă nu mai lungă decât cea necesară pentru scopurile pentru care sunt prelucrate; datele cu caracter personal pot fi stocate pe perioade mai lungi, în măsura în care vor fi prelucrate exclusiv în scopuri de arhivare pentru interes public, cercetare științifică, istorică sau statistică, în conformitate cu Articolul 89 (1) - măsuri prevăzute de prezentul regulament pentru a proteja drepturile și libertățile persoanei vizate („limitarea stocării”).

„Politica de retentie a datelor” oferă îndrumări privind durata de utilizare a datelor personale pentru fiecare scop de prelucrare, ceea ce vă ajută să implementați măsuri adecvate pentru a asigura limitarea stocării.

„Politica de anonimizare / pseudonimizare a datelor” este un document care oferă îndrumări despre cum și când să se utilizeze anonimizarea și pseudonimizarea datelor cu caracter personal.

Creează acest document pentru a demonstra conformitatea cu principiul „limitării stocării”.

Creează acest document pentru a putea să demosntrezi conformitatea cu principiile de 'limitare a stocării' și cel al 'integrității și confidentialității' din Articolul 5(1).

Datele personale sunt un concept. Ele nu există în lumea reală până când nu sunt colectate și stocate undeva.

O resursă utilizată în prelucrare este forma fizică pe care o iau datele pentru a putea fi accesate, modificate, transportate și, în cele din urmă, distruse.

Resursele utilizate în prelucrare pot fi hardware (de exemplu, laptopuri, rețea, dispozitive de stocare), software (de ex. aplicații, baze de date, fișiere), documente, canale de transmitere (de ex. Wifi, mail, flux de lucru intern) și persoane (de exemplu, utilizatorii care accesează datele).

Pentru a se putea asigura integritatea și confidențialitatea datelor cu caracter personal este esențial ca inventarul cu resursele utilizate în prelucrare să fie actualizat periodic.

Protejarea resurselelor utilizate în prelucrare necesită mai întâi o evaluare a vulnerabilităților și amenințărilor lor potențiale.

După identificare acestea pot fi adresate cu controale specifice.

Datele cu caracter personal sunt protejate prin implementarea măsurilor de control pentru „resursele utilizate în prelucrare”, în vederea adresării vulnerabilităților și amenințărilor identificate în scopul prevenirii evenimentelor de acces nelegitim, modificare nedorită sau distrugere a datelor cu caracter personal.

Auditurile de securitate vin adesea cu recomandări, sub forma unor măsuri suplimentare, care trebuie puse în aplicare sau îmbunătățiri la măsurile existente.

Trebuie să te asiguri că există un sistem pentru a urmări aceste recomandări până la implementarea lor. Și apoi să te asiguri că se efectuează revizuiri periodice.

Atunci când sunt aleși furnizori pentru a prelucra datele cu caracter personal în numele organizației, este responsabilitatea organizației să se asigure că nivelul lor de securitate este adecvat.

Este necesar să existe o procedură care să asigure că fiecare furnizor este evaluat în acest sens.

Asigură-te că evaluările de securitate ale furnizorilor sunt revizuite în mod regulat și actualizat.

Conform Articolului 32 alineatul (1) "având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc".

Aceste măsuri pot include politici și proceduri precum: „Politica de securitate a informațiilor”, „Politica - Clear Desk/ Clear Screen”, Politica „Adu-ți proporiul dispozitiv (BYOD)”, „Politica privind dispozitivele mobile și munca de la distanță”.

Echipa ta de securitate ar trebui să stabileasca necesitățile și să creeze politicile necesare.

În conformitate cu Articolul 33 alineatul (1), „în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru Autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice”.

Pentru a respecta această cerință, trebuie să păstrați un jurnal de incidente de securitate și să stabiliți o procedură care să vă permită să identificați rapid dacă un incident reprezintă o scurgere de date care ar trebui să fie raportată.

Conform Articolelor 13 și 14, ori de câte ori colectați date cu caracter personal, trebuie să furnizați informații specifice persoanei vizate.

Chiar dacă în unele cazuri (de exemplu, dacă prelucrarea se bazează pe temei legal), persoana vizată ar putea fi la curent cu procesarea, cel mai bine este să o informați oricum, dacă acest lucru este posibil.

Notele de informare sunt probabil cea mai vizibilă parte a procesului de conformitate.

Este ceea ce văd persoanele vizate atunci când intră în contact cu organizația.

Trebuie să te asiguri că există un sistem care să le actualizeze periodic, ori de câte ori apare o schimbare.

Asigură-te că fiecare persoană din organizație care intră în contact cu publicul are capacitatea de a recunoaște o solicitare de la persoanele vizate și are acces la o procedură care îi spune cum să o gestioneze sau cui să o trimită.

De asemenea, este bine de reținut că și angajații sunt persoane vizate.

Ignorarea sau omiterea răspunsului la o cerere de la o persoană vizată este o modalitate sigură de a fi reclamat și investigat de către autoritatea natională de protecție a datelor.

Stabilește măsurile practice ce vor fi implementate, astfel încât să poți identifica și răspundeți la timp cererilor persoanelor vizate (de ex. un sistem de monitorizare care trimite notificări atunci când sunt solicitări care se apropie de termen).

Transferarea de date către o țară terță implică riscuri care ar trebui luate în considerare înainte de transfer. Este recomandat să ai un sistem pentru a stabili dacă organizația dvs, furnizorii sau partenerii sunt implicați în acest tip de transferuri.

Fiecare transfer către o țară terță ar trebui să facă obiectul unei evaluări pentru a stabili dacă legislația țării terțe oferă suficientă protecție și dacă sunt necesare măsuri suplimentare.

Această evaluare trebuie documentată și revizuită periodic.

Pentru mai multe detalii, consultați recomandările EDPB.

În conformitate cu Articolul 35, „în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal”.

Analizele DPIA ar trebui să fie complet documentate și actualizate periodic.

Acesta este un document fundamental care prezintă abordarea organizației referitoare la îndeplinirea obligațiilor legale privind protecția datelor.

Servește ca punct de plecare pentru practicile de conformitate GDPR ale organizației, explică cerințele GDPR pentru angajați și afirmă angajamentul de a deveni și de a rămâne conform.

Asigură-te că organizația poate să demonstreze capacitatea de a relua cel puțin activitățile care au un impact ridicat asupra persoanelor vizate.

Acest lucru vă va permite să demonstrați că ați luat măsuri formale pentru a vă asigura că datele sunt protejate în mod adecvat atunci când părăsesc organizația.

Documentele stabilesc de asemenea reguli clare de colaborare și responsabilități în cazul operatorilor asociați.

Gradul real de conformare depinde de calitatea informațiilor folosite pentru documentare. Este aproape imposibil de menținut o conformare ridicată fără un sistem care să monitorizeze modificările și care să asigure actualizarea periodică a informațiilor.