arhivă – totalitatea documentelor, indiferent de forma, suportul şi metoda de inscripţionare, create şi deţinute de-a lungul timpului de către orice persoană juridică de drept public sau privat, în exerciţiul activităţii sale, precum şi de orice persoană fizică, în decursul existenţei acesteia; o arhivă poate fi formată din unul sau mai multe fonduri arhivistice; arhivar – angajat care administrează, prelucrează şi gestionează documentele unui creator/deţinător de arhivă, ce deţine o diplomă de bacalaureat şi un atestat/certificat specific activităţilor pe care le desfăşoară; arhivist – specialist care îşi desfăşoară activitatea la un creator/deţinător de arhivă având ca sarcină prelucrarea, administrarea, păstrarea, utilizarea şi protejarea arhivelor, care deţine o diplomă de studii universitare prevăzute în standardul ocupaţional; legator manual – angajat care se ocupa de ansamblarea mecanica, manuala si speciala a documentelor in vederea obtinerii unei unitati arhivistice.. autorizaţie de funcţionare – act emis de Arhivele Naţionale care dă dreptul unui operator economic să presteze servicii de păstrare, conservare, restaurare, legătorie, prelucrare arhivistică şi utilizare a documentelor; creator de arhivă – persoana fizică ori persoana juridică de drept public sau privat care, în decursul existenţei sale sau, după caz, a activităţii sale, a creat sau creează arhivă; depozit de arhivă – spaţiu special amenajat pentru păstrarea, conservarea şi protejarea arhivelor; deţinător de arhivă – persoană juridică de drept public sau privat, precum şi persoană fizică care are în păstrare documente rezultate din activitatea proprie sau preluate prin desfiinţarea, comasarea sau reprofilarea unor creatori de arhive; document – informaţie înregistrată pe orice fel de suport, creată sau primită şi păstrată de către un creator/deţinător de arhive; fond arhivistic – ansamblul documentelor de orice natură create şi primite de către un creator de arhive pe parcursul existenţei sale; fondare – operaţiune de stabilire a apartenenţei documentelor la un fond arhivistic; nomenclator arhivistic – instrument de lucru utilizat la constituirea unităţilor arhivistice pe structuri organizatorice, pe probleme şi termene de păstrare; ordonare – operaţiune de grupare a unităţilor arhivistice din cadrul unui fond arhivistic după un anumit criteriu: cronologic, cronologic-structural, structural-cronologic, alfabetic, pe probleme; ani extremi – data celui mai vechi şi a celui mai nou document din cadrul unui fond arhivistic/dosar; inventariere – operaţiune de luare în evidenţă a documentelor şi unităţilor arhivistice dintr-un fond arhivistic, după ordonarea lor conform unor criterii stabilite prin nomenclatorul arhivistic; metru liniar – unitate etalon definită prin cantitatea de arhivă de pe o poliţă raft cu lungimea de un metru care serveşte la aprecierea cantităţii de arhivă existentă într-un depozit, la dimensionarea spaţiilor de depozitare, la calcularea necesităţilor de rafturi şi mijloacelor de transport; prelucrare arhivistică – ansamblul operaţiunilor efectuate asupra unei arhive sau unei părţi a acesteia, în ceea ce priveşte fondarea, ordonarea, inventarierea şi selecţionarea, cu scopul de a asigura evidenţa şi utilizarea documentelor; operator economic autorizat – persoană fizică sau persoană juridică care deţine o autorizaţie de funcţionare valabilă; t) selecţionare – operaţiunea de eliminare a unităţilor arhivistice/documentelor dintr-un fond arhivistic, atunci când termenele de păstrare au expirat; unitate arhivistică (u.a.) – element component al unui fond arhivistic care se individualizează prin conţinutul şi forma sa şi care ocupă o poziţie distinctă într-un instrument de evidenţă.
Impactul GDPR asupra companiilor din întreaga lume
În scopul creării unei mai mari coerențe în întreaga Uniune Europeană (UE), care oferă mai mult control reglementar și cetățenesc asupra propriilor date cu caracter personal, UE a introdus Regulamentul general privind protecția datelor (GDPR) în 27 aprilie 2016 pentru a înlocui Directiva europeană privind protecția datelor. Așa cum se afirmă pe site-ul web al Comisiei Europene: “Obiectivul acestui nou set de reguli este de a oferi cetățenilor controlul asupra datelor lor personale și de a simplifica mediul de reglementare pentru afaceri”. Organizațiile afectate de GDPR au primit doi ani pentru a formula și a pune în aplicare politicile, procedurile și tehnologiile necesare pentru crearea și menținerea conformității. Având în vedere că sancțiunile pentru nerespectarea normelor sunt fără precedent, organizațiile trebuie să profite cât mai mult de timpul acordat pentru a fi pregătiți. Este important de reținut faptul că GDPR se aplică tuturor celor 28 de state membre ale UE și are forța deplină a legii. Reglementările se aplică datelor personale ale rezidenților UE, indiferent de locul în care sunt colectate, stocate sau prelucrate – fie în interiorul, fie în exteriorul UE, chiar dacă organizația nu are o prezență oficială în zona UE. Există și excepții, GDPR nu se aplică prelucrării datelor cu caracter personal în cazuri care implică securitata națională sau “activități pur personale sau casnice”.
Toate companiile care colectează și întrețin datele cu caracter personal referitoare la rezidenții din UE sunt supuse cerințelor GDPR și pot fi expuse la sancțiunile care pot apărea în cazul nerespectării. Datele personale, în scopul GDPR, includ date despre clienți, furnizori, furnizori de servicii și alte persoane cu care organizația interacționează, inclusiv modul în care schimbă date cu lanțul de aprovizionare sau rețelele de parteneri comerciali. Este esențial să ne amintim că organizațiile din afara UE sunt, de asemenea, supuse GDPR și amenzilor aferente pentru neconformitate. Orice organizație care colectează informații personale despre rezidenții UE trebuie să respecte regulile stabilite de GDPR.
Ce se califică drept informații personale sub GDPR?
Așa cum se specifică în regulament, informațiile personale “înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (” persoana vizată “); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice.” GDPR este menită să acopere toate informațiile personale pe care rezidenții le împărtășesc în mod obișnuit în cursul relațiilor cu orice entitate.
Cea mai puternică pârghie în GDPR este legată de problema consimțământului. Cei care doresc să colecteze date personale se vor confrunta cu cerințe stricte pentru obținerea consimțământului de colectare și prelucrare a informațiilor de la parteneri/ clienți. Aceasta include cerința ca cererea de aprobare să fie pe deplin explicită, pe deplin informată și pe deplin transparentă cu privire la utilizarea intenționată a datelor. Regulamentul definește “acordul” persoanei vizate – care înseamnă orice indicație liberă, specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care aceasta, printr-o declarație sau printr-o acțiune clară afirmativă, exprimă acordul pentru prelucrarea datelor personale. GDPR completează de asemenea cercul, cerând ca procesul de retragere a consimțământului să fie la fel de ușor de efectuat ca și acordarea acestuia.
Care sunt drepturile cetățeanului UE în cadrul GDPR?
GDPR aduce mai multe drepturi cetățenilor UE. În orice moment, aceștia au dreptul de a accesa informații despre datele lor personale gestionate de “procesatori de date”, ceea ce înseamnă pur și simplu orice companie care le păstrează sau utilizează datele. Aceștia au, de asemenea, dreptul de a solicita ca datele lor să fie transferate către un alt procesor de date. Poate cel mai important, și cu siguranță cel mai des citat, este dreptul la ștergere, adică dreptul de a șterge date la cerere, precum și dreptul la rectificare, dreptul de a corecta datele incorecte. Rezidenții din UE își pot invoca, de asemenea, dreptul de a limita utilizarea datelor lor personale, de exemplu pentru a evita contactul cu marketingul digital.
UE se așteaptă ca orice încălcare care ar putea duce la un prejudiciu potențial adus unei persoane să fie raportată autorității de supraveghere. Se specifică “fără întârzieri nejustificate”, lăsând “cauza” întârzierii deschisă interpretării, și apoi spune “unde este posibil nu mai târziu de 72 de ore de la conștientizarea acesteia”, ceea ce lasă atît “posibilitatea de realizare”, cît și timpul real de conștientizare deschis la interpretare. Organizațiile sunt, de asemenea, obligate să țină un jurnal al tuturor evenimentelor de încălcare a securității. Notificarea trebuie să includă natura încălcării, numărul subiecților implicați și categoriile și numărul aproximativ de înregistrări de date expuse. De asemenea, trebuie furnizată o descriere a consecințelor probabile, împreună cu măsurile propuse sau luate pentru a atenua expunerea și posibilele efecte adverse ale acesteia.
Care sunt consecințele potențiale ale neconformității?
Sancțiunile pentru nerespectarea GDPR nu se limitează la daune financiare și amenzi. Cu toate acestea, consecințele financiare pentru neconformitate sunt cu siguranță semnificative. Prin proiect, amenzile pentru nerespectarea GDPR sunt menite să fie “eficiente și descurajante”. Puțini antreprenori și manageri de companii vor asuma impactul potențial al unei astfel de cheltuieli semnificative. Companiile care nu au fost citate anterior pentru încălcări pot fi supuse unui nivel de amendă redus de două procente (2%) din venitul lor anual la nivel mondial sau 10 milioane euro, oricare dintre acestea este mai mare. Cei care au săvârșit infracțiuni anterioare, în funcție de natura încălcării lor, pot fi taxați cu până la patru procente (4%) din veniturile lor anuale globale sau 20 de milioane de euro, oricare dintre acestea este mai mare.
Departamentele juridice trebuie să studieze în profunzime GDPR pentru a-și înțelege pe deplin toate obligațiile, inclusiv procesele noi sau modificate, politicile, rolurile, responsabilitățile și necesitatea de instruire. Aceasta nu este doar o chestiune legală și de conformitate. Mai degrabă, va fi nevoie de un efort concertat al tuturor entităților care fac parte din organizație și care se ocupă de datele cu caracter personal. În cele din urmă, toată responsabilitatea va deveni o preocupare juridică, însă majoritatea departamentelor vor fi afectate și vor avea responsabilități în ceea ce privește conformitatea. Sancțiunile, așa cum au fost discutate mai devreme, sunt ridicate. Aveți de-a face cu o reglementare care oferă persoanelor dreptul de a fi uitat. Dacă vă asigurați că ați îndeplinit acest drept, dar totuși aveți în evidență acel individ, vor fi mulți agenți de executare care doresc să vă prindă. Toate organizațiile trebuie să revizuiască cu atenție fiecare politică, procedură sau proces care implică date personale pentru a se asigura că toate cerințele privind confidențialitatea sunt îndeplinite sau depășite. Cel mai bun sfat pentru avocatul intern este de a asigura implicarea reprezentanților din toate departamentele și domeniile implicate în efortul de conformitate. Aceasta va necesita o planificare riguroasă din partea multora și trebuie să vă asigurați că toate celelalte departamente pe care le discutăm aici vi se vor alătura în alocarea investițiilor potrivite, a resurselor și a experților pentru programul de conformitate GDPR.
Cum influențează GDPR activitatea de Marketing?
Gândind pe termen mai lung, oamenii de marketing ar trebui să vadă GDPR ca pe o veste bună, o mișcare în direcția reducerii zgomotului excesiv pe care îl suportă consumatorii și o oportunitate de a transmite mesaje bine direcționate care se vor face auzite. Brandurile vor trebui să colecteze în mod activ consimțământul de la clienții și prospecții lor pentru a putea continua promovarea și comunicarea către aceștia. Acest consimțământ trebuie să fie “dat în mod liber, specific, informat și lipsit de ambiguitate” pentru a fi conform cu GDPR. Agențiile și oamenii de marketing vor trebui să găsească și să dezvolte modalități adecvate de a se conforma GDPR, continuând să furnizeze produsele, serviciile și experiențele personalizate pe care le cer consumatorii. Practica clasică de a “colecta acum cât mai multe date despre clienți și de a vedea pe urmă ce se face cu ele” va deveni o strategie cu risc ridicat, dat fiind că minimizarea datelor devine noua paradigmă. GDPR încearcă să reducă sau să elimine o mare parte din strategiile de confidențialitate “opt-in”, “opt-out” și alte strategii de consimțământ mascate pe care marketingul le folosește pentru a spori pur și simplu numărul de contacte obținute. În schimb, agenții de marketing sunt încurajați să folosească “opt-in”, “opt-out” corect pentru a avea ca rezultat transmiterea mesajelor către persoanele cu șanse mai mari de a le primi cu interes. Implementat corespunzător, GDPR va aduce o reducere a numărului de leaduri de vânzări eronate, o reducere a fraudelor automate făcute cu roboți și va elimina în cele din urmă abordarea “lovești sau ratezi” a multora dintre aceia care au folosit-o în targetare. Scopul este acela de a crește eficiența în comunicarea de marketing prin folosirea unui target grup calificat.
Cum influențează GDPR stocarea și managementul informațiilor?
Ca și în cazul altor reglementări, cu GDPR există obligații legate de stocarea și managementul informațiilor pentru ca organizațiile să raporteze în mod eficient și să demonstreze practicile de conformitate. Echipele care se ocupă de înregistrarea, stocarea și gestionarea informațiilor vor trebui să stabilească și să aplice o politică clară de păstrare a înregistrărilor pentru informațiile personale, dacă nu există, sau să actualizeze politica existentă pentru a reflecta cerințele GDPR. Actualizarea schemelor de clasificare a informațiilor, a metodelor de stocare a datelor și a programelor de păstrare a înregistrărilor va fi probabil necesară pentru a se asigura că transferabilitatea, îndepărtarea sau corectarea datelor nu sunt doar posibile, ci și eficiente. GDPR prevede, de asemenea, păstrarea unor înregistrări precum: evaluări ale impactului protecției datelor, înregistrări ale consimțământului, înregistrări ale activității de prelucrare a datelor și eventualele breșe de securitate a datelor. Echipele care se ocupă de înregistrarea, stocarea și gestionarea informațiilor vor trebui să revizuiască, să actualizeze și să creeze politicile solicitate de GDPR și, probabil, vor trebui să-și sporească vigilența pentru a asigura conformitatea permanentă.
Cum modifică GDPR tehnologia informației (IT)?
La origini, GDPR a avut legătură aproape exclusive cu funcțiile tehnologiei informațiilor (IT). Acestea reglementează fluxul de date în întreaga organizație de la momentul colectării până la ștergerea înregistrării unui client și la fiecare prelucrare intermediară a datelor respective. În conformitate cu GDPR, trebuie să fie implementate procese și sisteme eficiente pentru a facilita executarea corectă și precisă a portabilității, ștergerii sau corectării datelor ori de câte ori este necesar. Principiile protecției datelor, din proiectare și implicite, sunt acum puncte obligatorii de discuție cu partenerii și furnizorii de tehnologie și servicii IT atunci când se evaluează noi achiziții de tehnologie. Factorii de decizie în IT trebuie să caute furnizori de cloud care să ofere asigurarea clară și specifica cu privire la îndeplinirea cerințelor GDPR, cum ar fi capacitatea acestora de a răspunde solicitărilor de ștergere, rectificare și portabilitatea datelor, precum și de a preciza unde sunt localizate centrele de date și dacă datele cu caracter personal sunt transferate în afara granițelor regionale. O provocare semnificativă cu care se confruntă organizațiile IT de pretutindeni este necesitatea de a documenta toate activitățile de prelucrare a datelor și de a le compila cu ușurință atunci când este necesar. În cele din urmă, securitatea informatică și IT vor juca un rol principal în asigurarea faptului că procedurile de notificare cu privire la breșele de securitate a datelor există și sunt urmate.
Una dintre dispozițiile din GDPR prevede dreptul statelor membre ale UE de a adopta mai multe legi specifice privind operarea datelor angajaților. Aceasta contribuie la o administrare mult mai complexa în cadrul GDPR a informațiilor despre angajați decât cea a administrării datelor despre clienți. În relația angajator / angajat, angajatorul poate fi văzut ca având o poziție de superioritate, prin urmare, tehnic vorbind, consimțământul angajatului nu este “dat în mod liber”. Este posibil ca angajatorii să nu fie nevoiți să colecteze consimțământul din partea angajaților pentru GDPR (ca și pentru clienți), deoarece angajatorii au opțiunea de a se baza pe “interes legitim de afaceri” sau așa cum este specificat în regulamentul “alte legi legale”, cum ar fi operațiunile de resurse umane. Totuși, consimțământul ar fi necesar dacă prelucrarea depășește operațiunile legitime de resurse umane. GDPR cere consimțământul liber și deschis pentru datele despre clienți, dar efectul de levier al unui angajat care dorește să-și păstreze dreptul la opțiune cu privire la acordarea consimțământului de folosire a datelor sale personale complică libertatea dorinței acestuia. În plus, caracterul confidențial al datelor fiecărui angajat îi va face considerabil mai anevoios accesul la propriile sale date. Lucruri precum controalele criminale, examenele de droguri și alte date de investigare vor prezenta și alte provocări noi, precum și prevederile privind transferabilitatea care ar putea permite angajaților să solicite transferarea datelor lor colectate unui nou angajator după terminarea contractului de muncă. Organizațiile de resurse umane vor trebui să caute consilier juridic pentru a înțelege pe deplin modul de a operaționaliza conformitatea cu GDPR în ceea ce privește gestionarea datelor angajaților și candidaților.
ECM prin OpenText
Tehnologiile de gestionare a informațiilor pentru întreprinderi (ECM – Enterprise Content Management/ EIM – Enterprise Information Management) sunt cheia unei strategii eficiente și corecte de conformitate și de protecție a datelor GDPR. În calitate de partener local OpenText, Digital Archiving Solutions vă oferă consiliere pentru conformarea la noile norme și vă este alături în găsirea soluțiilor și serviciilor care vă pot ajuta să protejați informațiile personale, confidențialitatea datelor și să dobândiți un control mai mare al informațiilor.
OpenText, The Information Company ™, permite organizațiilor să obțină o perspectivă asupra soluțiilor de management al informațiilor, local sau în cloud.
Pentru mai multe informații despre OpenText, vizitați www.opentext.com