Voi intra direct în subiect și voi spune că, în primul rând, fiecare manager al unei companii de transport ar trebui să își pregătească întreaga echipă pentru alinierea la prevederile regulamentului.
Procesul de aliniere implică de cele mai multe ori o durată lungă de timp ce se poate întinde de la câteva luni până chiar la un an, depinzând de numărul și complexitatea prelucrărilor de date specifice. De notat de asemenea că acesta este un efort ce trebuie abordat în echipă.
Apoi, merită precizat că pașii concreți depind de punctul de la care pornește fiecare operator; spun acest lucru deoarece nu toți operatorii se află la același stadiu de aliniere, unii sunt mai avansați, alții mai puțin.
În linii mari etapele care trebuie parcurse pentru asigurarea respectării prevederilor GDPR, vor consta în:
- Maparea tuturor proceselor care implică prelucrări de date cu caracter personal, respectiv determinarea acelor activități de la nivelul operatorului în cadrul cărora operatorul folosește date cu caracter personal, fie că acestea aparțin angajaților săi sau clienților săi;
- Determinarea bazelor legale de prelucrare pentru fiecare operațiune de prelucrare, respectiv stabilirea faptului că prelucrarea se realizează pentru executarea unui contract cu persoana vizată, pentru îndeplinirea unei obligații legale a operatorului, cu consimțământul persoanei vizate sau în interesul legitim al operatorului;
- Pregătirea și transmiterea notelor de informare către persoanele vizate ale căror date cu caracter personal sunt prelucrate de către operator (online și offline, dacă este cazul);
- Crearea unor proceduri și alocarea responsabilităților aferente la nivelul echipei operatorului pentru abordarea cererilor de exercitare a drepturilor venite din partea persoanelor vizate. GDPR acordă anumite drepturi persoanelor vizate, printre care: dreptul la ștergerea datelor, dreptul la opoziție, dreptul de acces la date, dreptul la portabilitatea datelor și încă alte câteva drepturi;
- Dacă se colectează date personale și de la terți, deci nu în mod direct de la persoanele vizate, verificarea modalității de informare a persoanelor vizate cu privire la prelucrarea datelor de către compania de transport și necesitatea modificării contractelor cu acele terțe persoane în vederea conformării;
- Revizuirea și modificarea contractelor cu persoane împuternicite (care au acces la datele personale pe seama societății de transport, precum agenții de marketing, furnizori hosting sau stocare, furnizori CRM etc);
- Identificarea acelor situații în care operatorul transferă date cu caracter personal în afara Uniunii Europene sau Spațiului Economic European și implementarea garanțiilor adecvate prevăzute de către GDPR;
- Stabilirea situațiilor în care operatorul prelucrează date cu caracter personal prin intermediul unei persoane împuternicite și modificarea contractelor cu respectivele persoane, astfel încât acestea să cuprindă clauzele obligatorii prevăzute de GDPR;
- Implementarea unei proceduri de răspuns la incidente de securitate, având în vedere că anumite incidente de securitate vor trebui notificate către Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal, în termen de 72 de ore de la momentul la care operatorul ia la cunoștință de producerea incidentului. Din aceste motive, procedura este foarte importantă pentru a permite operatorului să depisteze rapid și ușor orice incident și să ia măsurile potrivite pentru diminuarea prejudiciilor;
- Numirea unui responsabil cu protecția datelor cu caracter personal la nivelului operatorului, în situațiile în care operatorul îndeplinesțe criteriile ce impun numirea unui astfel de responsabil;
- Întocmirea registrului de evidență a activităților de prelucrare, document obligatoriu pentru majoritatea operatorilor.
Aceasta ar fi, succint, lista de baza a pașilor de urmat, în calitate de manager. În următorul articol vom discuta despre cum noile regulamente vor schimba (sau nu) activitățile de marketing ale companiilor de transport.