Noul regulament european este foarte dur în ceea ce privește amenzile pe care le vor primi entitățile care prelucrează date cu caracter personal dacă nu respectă principiile unei prelucrări legitime sau în cazul în care încalcă drepturile persoanelor vizate. Amenzile pot ajunge la 4% din cifra de afaceri sau 20 milioane de euro.
Ce înseamnă alinierea la GDPR pentru asociațiile și fundațiile care au scop umanitar?
În primul rând, fiecare persoană implicată în procesul de prelucrare a datelor cu caracter personal trebuie să fie instruită în sensul noului regulament. Fiecare proces funcțional al organizației trebuie evaluat din perspectiva datelor cu caracter personal cu care acel proces are legătură. Asociațiile și fundațiile trebuie să își stabilească politicile și procedurile de securitate a prelucrării și să implementeze in mod continuu aceste politici și proceduri interne.
Organizațiile își vor stabili scopul și temeiul prelucrării datelor cu caracter personal, durata prelucrării, perioada de retenție a datelor acolo unde nu există legislație specială și vor notifica persoanele vizate. De exemplu, în cazul în care organizația non-profit operează un site prin care colectează donații iar acest lucru se face în baza unui formular pe care donatorii îl completează, acel formular va conține notificarea privind politicile de securitate a datelor sau un link către o pagina care conține aceste informații. În cazul în care datele sunt folosite și pentru scopuri de publicitate sau awareness sau pentru trimiterea prin email a unui newsletter, atunci persoana vizată trebuie notificată în acest sens și trebuie să își dea acordul în mod explicit, printr-o acțiune care poate fi documentată.
De asemenea, informarea persoanelor vizate trebuie să cuprindă informații despre cookies, clasificarea celor folosite și scopul în care sunt folosite, fiecare persoană vizată putând opta în legătură cu acestea.
În multe cazuri numirea unui Responsabil cu Protecția Datelor cu Caracter Personal (DPO) nu este necesară, însă ANSPDCP recomandă numirea unui DPO chiar dacă nu este necesar. Această persoană va avea sarcina de a implementa GDPR, de a superviza procesul de implementare, de a comunica cu persoanele vizate și cu autoritatea, de a instrui personalul implicat în organizație, de a întocmi registrul operațiunilor de prelucrare a datelor cu caracter personal.
O altă îndatorire a organizațiilor umanitare este să răspundă în 30 de zile solicitărilor venite de la persoanele vizate. Aceste solicitări pot fi legate de accesul la datele cu caracter personal prelucrate sau pot fi solicitări de ștergere a datelor (dreptul de a fi uitat). De aceea este foarte important ca asociațiile și fundațiile să aibă puse la punct politicile și procedurile interne, sistemul de management al datelor cu caracter personal, modul de gestionare a comunicării cu personale vizate în legătură cu datele cu caracter personal prelucrate, sistemul de ștergere și de arhivare a datelor cu caracter personal.
Și, nu în ultimul rând, asociațiile și fundațiile cu scop umanitar trebuie să se asigure că fiecare furnizor de servicii este aliniat la GDPR și poate asigura prelucrarea datelor cu caracter personal în condiții de siguranță.
GDPR poate părea o corvoadă în plus pe lângă activitatea zilnică a unei fundații sau asociații însă, odată început procesul de aliniere, lucrurile devin mult mai clare și mai simple, procesele interne capătă elasticitate iar prelucrarea datelor este mai facilă.
Mirela Săvulescu, Expert în Capital Uman