RGPD-Regulamet General privid Protecţia Datelor (GDPR)
La data de 27 aprilie 2016 a fost adoptat de către Parlamentul European și Consiliul Uniunii Europene Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46ICE, denumit în continuare Regulamentul general privind protecția datelor, act normativ cu aplicabilitate directă în statele membre.
În acord cu prevederile art. 99 alin. (1) și (2) din Regulamentul general privind protecția datelor, acest act normativ a intrat în vigoare la data de 25 mai 2016 și se aplică de la 25 mai 2018.
Ca urmare a abrogării de către Regulamentul menționat a Directivei 95/46/EC Parlamentului European și a Consiliului din 24 octombrie 1995 și în virtutea principiului priorității dreptului european.
Ghid pentru implementarea GDPR în Unitatea de învăţământ:
Elaborarea unei decizii privind desemnarea responsabilului pentru protecția datelor cu caracter personal – DPO, precum și fișa postului.
înregistrarea unității ca operator de date cu caracter personal la A.N.S.P.D.C.P.
Înainte de prelucrarea datelor cu caracter personal ale persoanei vizate, este necesară pregătirea prelucrării datelor cu caracter personal, prin răspunderea la întrebări.
Pentru a implementa legal GDPR la nivelul unității, salariații trebuie să ia la cunoștință procedurile tehnice și de conduită pentru prelucrarea datelor printr-un proces-verbal de luare la cunoștință a procedurilor operaționale de prelucrare a datelor.
Unitatea trebuie să inventarieze echipamentele (de ex. calculatoare/laptopuri/servere) și categoriile de date prelucrate de aceasta, care se înregistrează într-un formular specific.
Unitatea trebuie să definească și să introducă clauze privind protecția datelor cu caracter personal în contractele încheiate cu terții.
Bazele de date în care se regăsesc date personale trebuie să fie criptate și anonimizate.
Unitatea trebuie să implementeze soluții de back up (servere locale pentru bazele de date; HDD de rețea (NAS); HDD externe sau stick-uri; servere de date cloud) în cazul pierderii sau coruperii datelor deținute de aceasta.
Pentru a putea identifica eventualele incidente de securitate, unitatea trebuie să parcurgă anumiți pași.
Informarea privind protectia datelor cu caracter personal de către unitate se face prin aducerea la cunoștință a politicilor adoptate de unitate.
Semnarea unui Proces verbal în acest sens.
Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Astfel, înainte de orice activitate de prelucrare a datelor personale, persoana vizată trebuie informată asupra activității respective prin unul din formulare.
Pentru a evalua în mod eficient impactul asupra activității unității, este necesară identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenței activităților de prelucrare.
Evaluarea impactului asupra protecției datelor se impune mai ales în cazul (secțiunea „Evaluarea DPIA”).
Pentru a se verifica implementarea corectă a GDPR, unitatea trebuie să răspundă la un set de întrebări referitoare la implementarea și monitorizarea GDPR în vederea întocmirii auditului.
Ghid pentru implementarea GDPR în Unitate Administrativ Teritorială:
Elaborarea unei dispoziții privind desemnarea responsabilului pentru protecția datelor cu caracter personal – DPO, precum și fișa postului.
Înregistrarea unității ca operator de date cu caracter personal la A.N.S.P.D.C.P.
Înainte de prelucrarea datelor cu caracter personal ale persoanei vizate, este necesară pregătirea prelucrării datelor cu caracter personal, prin răspunderea la întrebări.
Pentru a implementa legal GDPR la nivelul unității, salariații trebuie să ia la cunoștință procedurile tehnice și de conduită pentru prelucrarea datelor printr-un proces-verbal de luare la cunoștință a procedurilor operaționale de prelucrare a datelor.
Unitatea trebuie să inventarieze echipamentele (de ex. calculatoare/laptopuri/servere) și categoriile de date prelucrate de aceasta, care se înregistrează într-un formular specific.
Unitatea trebuie să definească și să introducă clauze privind protecția datelor cu caracter personal în contractele încheiate cu terții.
Bazele de date în care se regăsesc date personale trebuie să fie criptate și anonimizate.
Unitatea trebuie să implementeze soluții de back up (servere locale pentru bazele de date);
Pentru a putea identifica eventualele incidente de securitate, unitatea trebuie să parcurgă anumiți pași.
Informarea privind protectia datelor cu caracter personal de către unitate se face prin aducerea la cunoștință a politicilor adoptate de unitate.
Semnarea unui Proces verbal în acest sens.
Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Astfel, înainte de orice activitate de prelucrare a datelor personale, persoana vizată trebuie informată asupra activității respective prin unul din formulare.
Pentru a evalua în mod eficient impactul asupra activității unității, este necesară identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenței activităților de prelucrare.
Evaluarea impactului asupra protecției datelor se impune mai ales în cazul (secțiunea „Evaluarea DPIA”).
Pentru a se verifica implementarea corectă a GDPR, unitatea trebuie să răsoundă la un set de întrebări referitoare la implementarea și monitorizarea GDPR în vederea întocmirii auditului secțiunea „Audit RGPD”.