Informații utile

Impactul GDPR asupra companiilor din întreaga lume

În scopul creării unei mai mari coerențe în întreaga Uniune Europeană (UE), care oferă mai mult control reglementar și cetățenesc asupra propriilor date cu caracter personal, UE a introdus Regulamentul general privind protecția datelor (GDPR) în 27 aprilie 2016 pentru a înlocui Directiva europeană privind protecția datelor. Așa cum se afirmă pe site-ul web al Comisiei Europene: “Obiectivul acestui nou set de reguli este de a oferi cetățenilor controlul asupra datelor lor personale și de a simplifica mediul de reglementare pentru afaceri”. Organizațiile afectate de GDPR au primit doi ani pentru a formula și a pune în aplicare politicile, procedurile și tehnologiile necesare pentru crearea și menținerea conformității. Având în vedere că sancțiunile pentru nerespectarea normelor sunt fără precedent, organizațiile trebuie să profite cât mai mult de timpul acordat pentru a fi pregătiți. Este important de reținut faptul că GDPR se aplică tuturor celor 28 de state membre ale UE și are forța deplină a legii. Reglementările se aplică datelor personale ale rezidenților UE, indiferent de locul în care sunt colectate, stocate sau prelucrate – fie în interiorul, fie în exteriorul UE, chiar dacă organizația nu are o prezență oficială în zona UE. Există și excepții, GDPR nu se aplică prelucrării datelor cu caracter personal în cazuri care implică securitata națională sau “activități pur personale sau casnice”.

Ce organizații sunt supuse GDPR?

Toate companiile care colectează și întrețin datele cu caracter personal referitoare la rezidenții din UE sunt supuse cerințelor GDPR și pot fi expuse la sancțiunile care pot apărea în cazul nerespectării. Datele personale, în scopul GDPR, includ date despre clienți, furnizori, furnizori de servicii și alte persoane cu care organizația interacționează, inclusiv modul în care schimbă date cu lanțul de aprovizionare sau rețelele de parteneri comerciali. Este esențial să ne amintim că organizațiile din afara UE sunt, de asemenea, supuse GDPR și amenzilor aferente pentru neconformitate. Orice organizație care colectează informații personale despre rezidenții UE trebuie să respecte regulile stabilite de GDPR.

Ce se califică drept informații personale sub GDPR?

Așa cum se specifică în regulament, informațiile personale “înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (” persoana vizată “); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice.” GDPR este menită să acopere toate informațiile personale pe care rezidenții le împărtășesc în mod obișnuit în cursul relațiilor cu orice entitate.

Cum modifică GDPR cerințele pentru obținerea acordului de colectare și utilizare?

Cea mai puternică pârghie în GDPR este legată de problema consimțământului. Cei care doresc să colecteze date personale se vor confrunta cu cerințe stricte pentru obținerea consimțământului de colectare și prelucrare a informațiilor de la parteneri/ clienți. Aceasta include cerința ca cererea de aprobare să fie pe deplin explicită, pe deplin informată și pe deplin transparentă cu privire la utilizarea intenționată a datelor. Regulamentul definește “acordul” persoanei vizate – care înseamnă orice indicație liberă, specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care aceasta, printr-o declarație sau printr-o acțiune clară afirmativă, exprimă acordul pentru prelucrarea datelor personale. GDPR completează de asemenea cercul, cerând ca procesul de retragere a consimțământului să fie la fel de ușor de efectuat ca și acordarea acestuia.

Care sunt drepturile cetățeanului UE în cadrul GDPR?

GDPR aduce mai multe drepturi cetățenilor UE. În orice moment, aceștia au dreptul de a accesa informații despre datele lor personale gestionate de “procesatori de date”, ceea ce înseamnă pur și simplu orice companie care le păstrează sau utilizează datele. Aceștia au, de asemenea, dreptul de a solicita ca datele lor să fie transferate către un alt procesor de date. Poate cel mai important, și cu siguranță cel mai des citat, este dreptul la ștergere, adică dreptul de a șterge date la cerere, precum și dreptul la rectificare, dreptul de a corecta datele incorecte. Rezidenții din UE își pot invoca, de asemenea, dreptul de a limita utilizarea datelor lor personale, de exemplu pentru a evita contactul cu marketingul digital.

Ce responsabilități aveți în cazul unei breșe de securitate?

UE se așteaptă ca orice încălcare care ar putea duce la un prejudiciu potențial adus unei persoane să fie raportată autorității de supraveghere. Se specifică “fără întârzieri nejustificate”, lăsând “cauza” întârzierii deschisă interpretării, și apoi spune “unde este posibil nu mai târziu de 72 de ore de la conștientizarea acesteia”, ceea ce lasă atît “posibilitatea de realizare”, cît și timpul real de conștientizare deschis la interpretare. Organizațiile sunt, de asemenea, obligate să țină un jurnal al tuturor evenimentelor de încălcare a securității. Notificarea trebuie să includă natura încălcării, numărul subiecților implicați și categoriile și numărul aproximativ de înregistrări de date expuse. De asemenea, trebuie furnizată o descriere a consecințelor probabile, împreună cu măsurile propuse sau luate pentru a atenua expunerea și posibilele efecte adverse ale acesteia.

Care sunt consecințele potențiale ale neconformității?

Sancțiunile pentru nerespectarea GDPR nu se limitează la daune financiare și amenzi. Cu toate acestea, consecințele financiare pentru neconformitate sunt cu siguranță semnificative. Prin proiect, amenzile pentru nerespectarea GDPR sunt menite să fie “eficiente și descurajante”. Puțini antreprenori și manageri de companii vor asuma impactul potențial al unei astfel de cheltuieli semnificative. Companiile care nu au fost citate anterior pentru încălcări pot fi supuse unui nivel de amendă redus de două procente (2%) din venitul lor anual la nivel mondial sau 10 milioane euro, oricare dintre acestea este mai mare. Cei care au săvârșit infracțiuni anterioare, în funcție de natura încălcării lor, pot fi taxați cu până la patru procente (4%) din veniturile lor anuale globale sau 20 de milioane de euro, oricare dintre acestea este mai mare.

Cum influențează GDPR juridicul și conformitatea cu legea?

Departamentele juridice trebuie să studieze în profunzime GDPR pentru a-și înțelege pe deplin toate obligațiile, inclusiv procesele noi sau modificate, politicile, rolurile, responsabilitățile și necesitatea de instruire. Aceasta nu este doar o chestiune legală și de conformitate. Mai degrabă, va fi nevoie de un efort concertat al tuturor entităților care fac parte din organizație și care se ocupă de datele cu caracter personal. În cele din urmă, toată responsabilitatea va deveni o preocupare juridică, însă majoritatea departamentelor vor fi afectate și vor avea responsabilități în ceea ce privește conformitatea. Sancțiunile, așa cum au fost discutate mai devreme, sunt ridicate. Aveți de-a face cu o reglementare care oferă persoanelor dreptul de a fi uitat. Dacă vă asigurați că ați îndeplinit acest drept, dar totuși aveți în evidență acel individ, vor fi mulți agenți de executare care doresc să vă prindă. Toate organizațiile trebuie să revizuiască cu atenție fiecare politică, procedură sau proces care implică date personale pentru a se asigura că toate cerințele privind confidențialitatea sunt îndeplinite sau depășite. Cel mai bun sfat pentru avocatul intern este de a asigura implicarea reprezentanților din toate departamentele și domeniile implicate în efortul de conformitate. Aceasta va necesita o planificare riguroasă din partea multora și trebuie să vă asigurați că toate celelalte departamente pe care le discutăm aici vi se vor alătura în alocarea investițiilor potrivite, a resurselor și a experților pentru programul de conformitate GDPR.

Cum influențează GDPR activitatea de Marketing?

Gândind pe termen mai lung, oamenii de marketing ar trebui să vadă GDPR ca pe o veste bună, o mișcare în direcția reducerii zgomotului excesiv pe care îl suportă consumatorii și o oportunitate de a transmite mesaje bine direcționate care se vor face auzite. Brandurile vor trebui să colecteze în mod activ consimțământul de la clienții și prospecții lor pentru a putea continua promovarea și comunicarea către aceștia. Acest consimțământ trebuie să fie “dat în mod liber, specific, informat și lipsit de ambiguitate” pentru a fi conform cu GDPR. Agențiile și oamenii de marketing vor trebui să găsească și să dezvolte modalități adecvate de a se conforma GDPR, continuând să furnizeze produsele, serviciile și experiențele personalizate pe care le cer consumatorii. Practica clasică de a “colecta acum cât mai multe date despre clienți și de a vedea pe urmă ce se face cu ele” va deveni o strategie cu risc ridicat, dat fiind că minimizarea datelor devine noua paradigmă. GDPR încearcă să reducă sau să elimine o mare parte din strategiile de confidențialitate “opt-in”, “opt-out” și alte strategii de consimțământ mascate pe care marketingul le folosește pentru a spori pur și simplu numărul de contacte obținute. În schimb, agenții de marketing sunt încurajați să folosească “opt-in”, “opt-out” corect pentru a avea ca rezultat transmiterea mesajelor către persoanele cu șanse mai mari de a le primi cu interes. Implementat corespunzător, GDPR va aduce o reducere a numărului de leaduri de vânzări eronate, o reducere a fraudelor automate făcute cu roboți și va elimina în cele din urmă abordarea “lovești sau ratezi” a multora dintre aceia care au folosit-o în targetare. Scopul este acela de a crește eficiența în comunicarea de marketing prin folosirea unui target grup calificat.

Cum influențează GDPR stocarea și managementul informațiilor?

Ca și în cazul altor reglementări, cu GDPR există obligații legate de stocarea și managementul informațiilor pentru ca organizațiile să raporteze în mod eficient și să demonstreze practicile de conformitate. Echipele care se ocupă de înregistrarea, stocarea și gestionarea informațiilor vor trebui să stabilească și să aplice o politică clară de păstrare a înregistrărilor pentru informațiile personale, dacă nu există, sau să actualizeze politica existentă pentru a reflecta cerințele GDPR. Actualizarea schemelor de clasificare a informațiilor, a metodelor de stocare a datelor și a programelor de păstrare a înregistrărilor va fi probabil necesară pentru a se asigura că transferabilitatea, îndepărtarea sau corectarea datelor nu sunt doar posibile, ci și eficiente. GDPR prevede, de asemenea, păstrarea unor înregistrări precum: evaluări ale impactului protecției datelor, înregistrări ale consimțământului, înregistrări ale activității de prelucrare a datelor și eventualele breșe de securitate a datelor. Echipele care se ocupă de înregistrarea, stocarea și gestionarea informațiilor vor trebui să revizuiască, să actualizeze și să creeze politicile solicitate de GDPR și, probabil, vor trebui să-și sporească vigilența pentru a asigura conformitatea permanentă.

Cum modifică GDPR tehnologia informației (IT)?

La origini, GDPR a avut legătură aproape exclusive cu funcțiile tehnologiei informațiilor (IT). Acestea reglementează fluxul de date în întreaga organizație de la momentul colectării până la ștergerea înregistrării unui client și la fiecare prelucrare intermediară a datelor respective. În conformitate cu GDPR, trebuie să fie implementate procese și sisteme eficiente pentru a facilita executarea corectă și precisă a portabilității, ștergerii sau corectării datelor ori de câte ori este necesar. Principiile protecției datelor, din proiectare și implicite, sunt acum puncte obligatorii de discuție cu partenerii și furnizorii de tehnologie și servicii IT atunci când se evaluează noi achiziții de tehnologie. Factorii de decizie în IT trebuie să caute furnizori de cloud care să ofere asigurarea clară și specifica cu privire la îndeplinirea cerințelor GDPR, cum ar fi capacitatea acestora de a răspunde solicitărilor de ștergere, rectificare și portabilitatea datelor, precum și de a preciza unde sunt localizate centrele de date și dacă datele cu caracter personal sunt transferate în afara granițelor regionale. O provocare semnificativă cu care se confruntă organizațiile IT de pretutindeni este necesitatea de a documenta toate activitățile de prelucrare a datelor și de a le compila cu ușurință atunci când este necesar. În cele din urmă, securitatea informatică și IT vor juca un rol principal în asigurarea faptului că procedurile de notificare cu privire la breșele de securitate a datelor există și sunt urmate.

Cum influențează GDPR resursele umane?

Una dintre dispozițiile din GDPR prevede dreptul statelor membre ale UE de a adopta mai multe legi specifice privind operarea datelor angajaților. Aceasta contribuie la o administrare mult mai complexa în cadrul GDPR a informațiilor despre angajați decât cea a administrării datelor despre clienți. În relația angajator / angajat, angajatorul poate fi văzut ca având o poziție de superioritate, prin urmare, tehnic vorbind, consimțământul angajatului nu este “dat în mod liber”. Este posibil ca angajatorii să nu fie nevoiți să colecteze consimțământul din partea angajaților pentru GDPR (ca și pentru clienți), deoarece angajatorii au opțiunea de a se baza pe “interes legitim de afaceri” sau așa cum este specificat în regulamentul “alte legi legale”, cum ar fi operațiunile de resurse umane. Totuși, consimțământul ar fi necesar dacă prelucrarea depășește operațiunile legitime de resurse umane. GDPR cere consimțământul liber și deschis pentru datele despre clienți, dar efectul de levier al unui angajat care dorește să-și păstreze dreptul la opțiune cu privire la acordarea consimțământului de folosire a datelor sale personale complică libertatea dorinței acestuia. În plus, caracterul confidențial al datelor fiecărui angajat îi va face considerabil mai anevoios accesul la propriile sale date. Lucruri precum controalele criminale, examenele de droguri și alte date de investigare vor prezenta și alte provocări noi, precum și prevederile privind transferabilitatea care ar putea permite angajaților să solicite transferarea datelor lor colectate unui nou angajator după terminarea contractului de muncă. Organizațiile de resurse umane vor trebui să caute consilier juridic pentru a înțelege pe deplin modul de a operaționaliza conformitatea cu GDPR în ceea ce privește gestionarea datelor angajaților și candidaților.

ECM prin OpenText

Tehnologiile de gestionare a informațiilor pentru întreprinderi (ECM – Enterprise Content Management/ EIM – Enterprise Information Management) sunt cheia unei strategii eficiente și corecte de conformitate și de protecție a datelor GDPR. În calitate de partener local OpenText, Digital Archiving Solutions vă oferă consiliere pentru conformarea la noile norme și vă este alături în găsirea soluțiilor și serviciilor care vă pot ajuta să protejați informațiile personale, confidențialitatea datelor și să dobândiți un control mai mare al informațiilor.

OpenText, The Information Company ™, permite organizațiilor să obțină o perspectivă asupra soluțiilor de management al informațiilor, local sau în cloud.
Pentru mai multe informații despre OpenText, vizitați www.opentext.com

Noi norme de arhivare

GDPR propune 3 principii suplimentare de arhivare:

  1. O triere prealabilă și o selectare suplimentară a arhivei ce trebuie stocată
  2. Un control sporit al timpului de păstrare pentru documente
  3. Securizarea stocării și a transferului de informații garantate prin măsuri tehnice și organizatorice.

Echipa DAS a implementat si continuă să facă permanent modificări asupra modului în care își desfășoară activitatea – asfel încât să fie nu numai în conformitate cu prevederile Legilor Naționale legate de arhivare sau reglementarilor europene privind protecția datelor, dar să fie și un model de succes sau un exemplu de bună practică în sectorul de arhivare din România.

Astfel, fluxurile de documente și interacțiunea cu Clientii DAS au fost supuse unui proces de eficientizare, protecție si securizare.

Concret, iată cum suntem organizați:

  1. Clientul este Creator și Proprietar al Arhivei.

DAS – consiliere pentru trierea documentelor care nu sunt necesare neapărat pentru stocare – astfel încât să se minimizeze pe cât posibil stocarea datelor cu caracter personal.

Clientul decide ce arhivează, repectând norme legale si justificând legitim stocarea fondului arhivistic.

Avand in vedere că – din punct de vedere legal – Clientul este Deținătorul de Arhivă și acesta decide asupra documentelor destinate stocării, DAS s-a angajat în consilierea Clienților privind selectarea documentelor ce vor trebui arhivate, astfel încât să se evite, pe cât posibil, păstrarea documentelor ce conțin date personale și care nu sunt neapărat necesare arhivării.

În contextul prestării serviciilor de consultanță arhivistică pe care DAS le efectuează – specialiștii DAS participă activ la fondarea și trierea documentelor ce urmează a fi trimise spre arhivare.

  1. ARHIVO are sistem integrat de detectare a expirării termenului de păstrare pentru documentele indexate, aflate în depozitul DAS.

Specialiștii DAS consiliază Clientul pentru triere și justificare – dacă e cazul – a păstrării documentelor dincolo de termenul legal – Justificări legitime interne ale Clientului

Timpul de stocare pentru documente este privit ca un factor important în asigurarea conformității GDPR și a respectării drepturilor persoanelor fizice la confidențialitatea informațiilor private.

Aplicația ARHIVO are integrat un sistem de avertizare a Clientilor în privința expirării timpului legal de păstrare a documentelor. În plus, consilierea pe care specialiștii DAS o pot oferi clienților prevede atenționarea acestora în privința responsabilității de a justifica păstrarea legală sau legitimă a documentelor.  Clientul, care este deținătorul legal al arhivei – trebuie să poată demonstra necesitatea stocării documentelor vizate, în termeni legali sau legitimi (în acest caz trebuie bine explicată nevoia internă a companiei pentru arhivarea și păstrarea în arhivă a respectivelor documente)

  1. Tehnic
  • utilizarea ARHIVO și OpenText care oferă conformitate GDPR
  • conexiune securizată cu Clientul
  • control tehnic al accesului la informații – conturi de utilizator individualizate pe nivel de acces, permisiuni de acces la centrele de stocare a datelor
  • certificări tehnice (ISO27001)

Organizatoric

  • fonduri arhivistice inventariate și indexate doar de personal special ales si controlat strict
  • contracte de confidențialitate cu personalul
  • controlul accesului fizic la arhivă prin camere de lucru restricționate prin cartele magnetice de acces
  • terminale securizate și puncte de lucru supravegheate video
  • eficiența si profesionalismul personalului – care este acreditat si specializat în gestionarea documentelor de arhivă
  • proceduri conforme GDPR privind fluxul de documente (orice acțiune care presupune interacțiune cu documente și informații venite de la Clienți)

Principiul “privacy by default” (“confidențialitate implicită”) a fost implementat de către specialiștii DAS prin anumite măsuri organizatorice menite să îmbunătățească și să asigure o activitate arhivistică în ton cu timpurile:

  • implementarea și îmbunătățirea conexiunilor securizate cu Clientul
  • indexarea și inventarierea documentelor venite de la Client DOAR de către personal atent selecționat și sub auspiciile unui control strict (contracte de confidențialitate, camere asigurate și monitorizate, acces restricționat în zone de lucru, etc.)
  • o gestiune mai bună a accesului la informații prin crearea de proceduri privind fluxul de documente în DAS
  • din punct de vedere tehnic, o garanție a capacității DAS este certificarea ISO 27001, care atestă sistemul de gestionare al Securității Informației

Firme lichidate

Digital Archiving Solutions este gestionar de documente pentru firme lichidate și asigură emiterea de adeverințe în baza solicitărilor primite în scris. Lista firmelor lichidate pentru care putem emite adeverințe:

  • FECNE
  • Unicom Osis
  • Woodland
  • Fairwind Securities
  • SSIF Dorinvest

Pentru a solicita o adeverință prin e-mail vă rugam să ne transmiteți la adresa office@arhivam.ro următoarele informații:

  • Nume și prenume
  • Numele companiei unde ați fost angajat
  • Funcția
  • Perioada în care ați fost angajat
  • Numar de telefon la care puteți fi contactat
  • Copie scanată după cartea de identitate
  • Copie scanată după cartea de muncă (dacă aveți)

În cazul în care doriți să transmiteți solicitarea prin poștă, completați informațiile solicitate mai sus pe o coală A4, scris citeț sau tehnoredactat, adăugați copiile documentelor și trimiteți-le într-un plic la adresa: Autostrada Bucuresti – Pitesti, Km 13.5, A1 Business Park, Aleea Martina, Hala M2, Dragomiresti Deal, Judet ILFOV, 077096 În atenția: Departament ARHIVĂ – eliberări adeverințe Pentru detalii suplimentare ne puteți contacta telefonic la numarul: 0722539248 – Nicoleta Ghebaru

Dicționar

arhivă – totalitatea documentelor, indiferent de forma, suportul şi metoda de inscripţionare, create şi deţinute de-a lungul timpului de către orice persoană juridică de drept public sau privat, în exerciţiul activităţii sale, precum şi de orice persoană fizică, în decursul existenţei acesteia; o arhivă poate fi formată din unul sau mai multe fonduri arhivistice; arhivar – angajat care administrează, prelucrează şi gestionează documentele unui creator/deţinător de arhivă, ce deţine o diplomă de bacalaureat şi un atestat/certificat specific activităţilor pe care le desfăşoară; arhivist – specialist care îşi desfăşoară activitatea la un creator/deţinător de arhivă având ca sarcină prelucrarea, administrarea, păstrarea, utilizarea şi protejarea arhivelor, care deţine o diplomă de studii universitare prevăzute în standardul ocupaţional; legator manual – angajat care se ocupa de ansamblarea mecanica, manuala si speciala a documentelor in vederea obtinerii unei unitati arhivistice.. autorizaţie de funcţionare – act emis de Arhivele Naţionale care dă dreptul unui operator economic să presteze servicii de păstrare, conservare, restaurare, legătorie, prelucrare arhivistică şi utilizare a documentelor; creator de arhivă – persoana fizică ori persoana juridică de drept public sau privat care, în decursul existenţei sale sau, după caz, a activităţii sale, a creat sau creează arhivă; depozit de arhivă – spaţiu special amenajat pentru păstrarea, conservarea şi protejarea arhivelor; deţinător de arhivă – persoană juridică de drept public sau privat, precum şi persoană fizică care are în păstrare documente rezultate din activitatea proprie sau preluate prin desfiinţarea, comasarea sau reprofilarea unor creatori de arhive; document – informaţie înregistrată pe orice fel de suport, creată sau primită şi păstrată de către un creator/deţinător de arhive; fond arhivistic – ansamblul documentelor de orice natură create şi primite de către un creator de arhive pe parcursul existenţei sale; fondare – operaţiune de stabilire a apartenenţei documentelor la un fond arhivistic; nomenclator arhivistic – instrument de lucru utilizat la constituirea unităţilor arhivistice pe structuri organizatorice, pe probleme şi termene de păstrare; ordonare – operaţiune de grupare a unităţilor arhivistice din cadrul unui fond arhivistic după un anumit criteriu: cronologic, cronologic-structural, structural-cronologic, alfabetic, pe probleme; ani extremi – data celui mai vechi şi a celui mai nou document din cadrul unui fond arhivistic/dosar; inventariere – operaţiune de luare în evidenţă a documentelor şi unităţilor arhivistice dintr-un fond arhivistic, după ordonarea lor conform unor criterii stabilite prin nomenclatorul arhivistic; metru liniar – unitate etalon definită prin cantitatea de arhivă de pe o poliţă raft cu lungimea de un metru care serveşte la aprecierea cantităţii de arhivă existentă într-un depozit, la dimensionarea spaţiilor de depozitare, la calcularea necesităţilor de rafturi şi mijloacelor de transport; prelucrare arhivistică – ansamblul operaţiunilor efectuate asupra unei arhive sau unei părţi a acesteia, în ceea ce priveşte fondarea, ordonarea, inventarierea şi selecţionarea, cu scopul de a asigura evidenţa şi utilizarea documentelor; operator economic autorizat – persoană fizică sau persoană juridică care deţine o autorizaţie de funcţionare valabilă; t) selecţionare – operaţiunea de eliminare a unităţilor arhivistice/documentelor dintr-un fond arhivistic, atunci când termenele de păstrare au expirat; unitate arhivistică (u.a.) – element component al unui fond arhivistic care se individualizează prin conţinutul şi forma sa şi care ocupă o poziţie distinctă într-un instrument de evidenţă.