Controale referitoare la aplicarea prevederilor GDPR (6)

Controale referitoare la aplicarea prevederilor GDPR (6)

 

Având în vedere că Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (denumită în continuare „ANSPDCP” sau „Autoritatea”) a emis o decizie cu privire la procedura de efectuare a investigațiilor în domeniul protecției datelor (GDPR), continuăm seria de articole prin care vă informăm în ce constă acest control (A) și cum trebuie să procedați dacă vă aflați în această situație (B).

B. Documente pe care va trebui să le prezentați

În cazul unui astfel de control, va trebui să prezentați personalului ANSPDCP, în funcție de obiectul investigației, unul sau mai multe din documentele menționate în continuare.

  1. Comunicare DPO

Pentru a putea dovedi că că aveți un responsabilul cu protecția datelor pentru societatea dumneavoastră, este necesar să aveți contractul de asistență încheiat cu DPO și răspunsul de la Autoritate.

  1. Registru de date

Acest registru este necesar să fi fost personalizat în funcție de numele și funcțiile departamentelor interne și completat de fiecare departament al societății dumneavoastră.

  1. Acord Marketing

Documentul este necesar să fi fost implementat, în primul rând, prin transmitere către baza de clienți persoane fizice pe care dumneavoastră o aveți, prin e-mail și, în al doilea rând, prin afișarea lui pe site pentru clienții viitori. Aceste acorduri trebuie să le aveți completate și semnate de către clienți.

  1. Acord Angajați

Acest document este necesar să fi fost implementat, fiind dat spre semnare către toți angajații dumneavoastră, în parte.

  1. Acord Mandat

Acest document este necesar să fi fost implementat, fiind dat spre semnare către acele persoane fizice (mandatari) care îndeplinesc funcții în cadrul societății și pe care și le exercită în bază unui contract de mandat sau unui alt tip de împuternicire (de exemplu, director general căruia i-au fost delegate atribuții de conducere în temeiul Legii nr. 31/1990, administrator desemnat în temeiul Legii nr. 31/1990).

  1. Politică site

Acest document este necesar să fi fost completat, la finalul acestuia, de către departamentul dumneavoastră IT cu numele cookie-urilor care sunt utilizate pe site și o scurtă descriere a acestora. Acesta ar trebui să apară, la fiecare accesare a site-ului, pe pagina principală a acestuia, sub forma unei ferestrei de tip pop-up prin care utilizatorul să aibă posibilitatea de a bifa două opțiuni:

  1. Sunt de acord cu prelucrarea datelor cu caracter personal
  2. Sunt de acord cu utilizarea cookie-urilor pe acest site

Fereastra tip pop-up trebuie să aibă posibilitatea de a fi închisă și fără a se bifa una dintre opțiuni.

Sub cele două opțiuni ar trebui să se afle link-ul către politica prevăzută în documentul “Politică Site”, astfel cum a fost completat de către departamentul dumneavoastră de IT.

  1. Acord Parteneri

Acest document este necesar să fi fost implementat, fiind dat spre semnare, în original, tuturor partenerilor care nu v-au transmis ei documente similare referitoare la protecția reciprocă a datelor cu caracter personal.

  1. Politică Generală

Politicile descrise în acest document trebuiau însușite și implementate la nivelul societății.

  1. Anexa 1_Decizie Internă

Acest document reprezintă decizia organelor de conducere ale societății prin care aprobă anexarea politicii generale privind protecția datelor la Regulamentul Intern.

Acesta este necesar să fi fost completat și semnat de către administrator sau de către președintele consiliului de administrație, după caz.

10. Notă de informare acces vizitatori

Această politică trebuie să fie afișată într-un mod vizibil la intrarea în fiecare spațiu (sediu sau punct de lucru).

11. Politică potențiali angajați

Acest document reprezintă politică de prelucrare a datelor celor care sunt interesați să lucreze în societatea dumneavoastră.

Acesta este necesar să fi fost implementat, prin afișarea lui în așa fel încât cei care aplică pentru un post în instituția dumneavoastră să îl poată citi.

12. Registrul cererilor persoanelor vizate

Acest document este necesar să îl aveți completat cu toate solicitările în legătură cu protecția datelor pe care le-ați primit, dacă ați primit astfel de solicitări.

13. Registrul incidentelor de securitate

Acesta era necesar să fie completat în cazul în care v-ați fi confruntat cu un incident de securitate a datelor, în termen de maxim 24 de ore de la respectivul incident.