Scopul inventarierii este de a înțelege ce date personale deții, unde sunt procesate și care este fluxul lor. O bună inventariere ar trebui să răspundă la următoarele întrebări:

• Ce date personale dețîn și unde sunt ele localizate?
• De unde provin aceste date personale și cine are acces la ele?
• Cui aparțîn aceste date personale? Aici le clasifici in categorii precum: clienți, angajați sau furnizori.
• Care este scopul acestor date?
• Cât timp sunt păstrate și când pot fi șterse?
• De unde pot fi accesate aceste date?
• Care este suportul pe care sunt păstrate aceste date?

Conform GDPR, datele personale nu ar mai trebui reținute atunci când scopul procesării lor a încetat să existe.

În era noastră digitală, ștergerea, așa cum este prevăzută de GDPR, este definită că:

Inactiv: datele există însă nu sunt supuse procesării.

În așteptare: datele sunt marcate spre ștergere, însă sunt în continuare în sistem.

Arhivat: Datele sunt mutate într-un alt sistem la care au acces doar anumite persoane.

Ștergere definitivă: Datele sunt șterse și nu mai pot fi recuperate.

Pentru a trece acest pas, dată de expirare trebuie pregătită și aprobată. Pentru dată de expirare ar trebui să răspunzi la următoarele întrebări:

• Ce acțiune va fi executată de îndată ce s-a depășit dată de retenție a datelor?
• Cine va întreprinde o astfel de acțiune?
• Decizia de ștergere este reversibilă sau ireversibilă?
• Cine va fi notificat când această decizie este luată?
• Cum vor fi documentate aceste acțiuni? (Asta este foarte important deoarece, la cerere, se poate solicită dovadă ștergerii).

GDPR impune că pentru procesarea datelor personale să obțîi consimțământul. Spre deosebire de practicile anterioare, consimțământul nu poate fi obținut prin căsuțe prebifate sau abonări subînțelese.

Iată care sunt aspectele importante stabilite de GDPR:

• Consimțământul trebuie să fie pentru un scop specific
• Consimțământul să fie dat în mod liber
• Consimțământul să fie lipsit de ambiguitate
• Consimțământul să nu fie obținut în schimbul furnizării unui produs sau serviciu
• Consimțământul trebuie să fie clar și sunt interzise căsuțele prebifate
• Furnizorul datelor personale să poată retrage consimțământul oricând
• Consimțământul trebuie să fie verificabil (acest lucru este ușor în mediul digital în funcție de uneltele pe care le folosești)

Cu toate acestea sunt situațîi când consimțământul nu este necesar:

• Când există o înțelegere contractuală unde datele personale sunt necesare pentru a-l duce la bun sfârșit. (de exemplu un contract de asigurare)
• Când acțiunea este luată pentru a proteja datele clientului (de exemplu criptarea)
• Când acționezi în interesul individului (de exemplu un angajat are un atac de cord și suni la ambulanță unde îi furnizezi datele personale)

GDPR oferă indivizilor următoarele drepturi:

Dreptul de a fi informat

Asta presupune transparență asupra modului în care datele vor fi procesate. Atâta timp cât ai o declarație de confidențialitate corect realizată (așa cum vei vedea la pasul 6) ești acoperit. Însă, în același timp, individul ar trebuie să fie clar informat de existența acestei politici de confidențialitate.

Dreptul de acces

Asta înseamnă că o persoană are dreptul de acces la datele lui. Compania ta este obligată să furnizeze la cerere și fără niciun cost o copie a informațiilor deținute. Cu toate acestea poți solicită o taxa rezonabilă sau să refuzi să furnizezi informațiile dacă cererile sunt repetitive și/sau inutile. În cazul refuzului trebuie să informezi solicitantul că se pot adresa unei autorități superioare.

Dreptul de rectificare

Asta presupune că o persoană are dreptul să solicite modificarea sau completarea informațiilor. De asemenea, și aici poți refuză o astfel de cerere dacă este complexă și/sau inutilă cu informarea că se poate adresa unei autorități superioare.

Dreptul de a ridică obiecții

O persoană are dreptul de a se opune procesării datelor personale în scopuri de marketing sau pentru realizarea de profiluri. Asta este, în general, o retragere a consimtamântului, caz în care individul ar trebui retras din acțiunile de marketing.

Dreptul de a restricționa prelucrarea datelor

Asta presupune că individul poate interzice procesarea datelor personale. Când acest drept este exercitat, datele personale rămân în companie însă nu mai pot fi procesate.

Dreptul la portarea datelor

Asta înseamnă că individul poate solicită obținerea datelor personale pentru a le folosi în achiziționarea produselor sau serviciilor de la altă companie. Practic este un mecanism similar cu portabilitatea numărului de telefon de la un furnizor de telefonie la altul. Când dreptul este exercitat, ar trebui să furnizezi datele personale într-un format electronic (de exemplu în format CSV). Această informație se furnizează gratuit.

Dreptul la ștergerea datelor

Acesta se mai numește și “dreptul de a fi uitat”. Această presupune că individul poate solicită ștergerea datelor personale dacă nu există un motiv valid pentru procesarea lor. De regulă, “motivul valid” apare atunci când scopul procesării lor a luat sfârșit.

Scopul acestui pas este de a organiza procesarea datelor care nu sunt realizate în compania ta. Asta include date administrare de terțe părți sau de inter companii.

GDPR spune că, atunci când 2 companii sunt implicate în procesarea datelor, una se numește Controlor iar cealaltă Procesator (cea care procesează datele în numele Controlorului). Partea bună este că GDPR impune aceleași responsabilități ambelor părți. Cu toate acestea, controlorul trebuie să se asigure că Procesatorul respectă regulile GDPR.

Pentru acestea sunt 2 situații:

1. Inter-companii.

Asta se întâmplă când transferul de date se face către entități legale care aparțîn aceleiași companie mama în scopul procesării lor.

2.Terțe părți

Când procesarea datelor este externalizată către terțe părți, este important să formalizati responsabilitățile în contract. Asta înseamnă că actualele contracte trebuiesc modificate. Iată ce trebuie să incluzi în contract:

• Definirea și clasificarea datelor personale
• Lista a tipului de date personale și a categoriilor de date personale
• Un acord de respectare a regulilor GDPR
• Definirea responsabilităților pentru Controlor și Procesator
• Obligații pentru Procesator (de a utiliza datele personale doar cu sopul menționat în contract, de a oferi protecție și de a preveni accidente care duc la pierderea sau distrugerea datelor personale ori la accesul neautorizat)
• Obligația Procesatorului de a nu transferă datele personale fără acordul Cotrolorului
• Obligația Procesatorului de a anunță Controlorul de accidente care au dus la pierderea sau distrugerea datelor sau care au condus la accesul neautorizat al altor persoane. În această situație Procesatorul (terță parte) este responsabil.
• Obligația că Procesatorul să anunțe Controlorul de orice solicitare de dezvăluire a datelor
• Obligația că Procesatorul să șteargă toate datele (cu excepția cazului în care egea impune altfel) de îndată ce contractul a luat sfârșit.

Pentru a demonstra transparență ai nevoie de o Declarație de confidențialitate. Această trebuie scrisă într-un limbaj simplu și să răspundă la următoarele întrebări:

• Ce date personale ai despre mine?
• De ce deții aceste date?
• Ce faci cu aceste date personale? Cu alte cuvinte, în ce scop folosești aceste date? Chiar ai nevoie de toate datele colectate?
• Sunt aceste date împărtășite cu terțe părți? Dacă da, cu cine?
• Ce faci cu datele când nu mai sunt relevante?
• Cum respecți confidențialitatea și protecția datelor?
• Care sunt drepturile mele? (le-am menționat la pasul 4)
• Cui mă adresez dacă am mai multe întrebări sau dacă vreau să depun o plângere?

GDPR vrea să fie mai mult decât o simplă implementare. Vrea să se asigure că updatezi continuu acești pași, atunci când este cazul. Personalul tău trebuie să fie trainuit să respecte aceste reguli.

Sustenabilitatea, în viziunea GDPR, presupune să privești în perspectiva, dincolo de scopul actual al proiectului și să îți răspunzi la următoarele 3 întrebări:

• Cum va respectă compania mea regulile GDPR?
• Care sunt acțiunile necesare pentru a mă asigura de respectarea lor și pe viitor?
• Cine se va ocupă de asta și cum voi putea monitoriza aceste acțiuni?