GDPR Q&A: CELE MAI FRECVENTE ÎNTREBĂRI ȘI RĂSPUNSURI

 

Iată o pagină online interactivă care se înscrie în inițiativa GDPR Ready! Prin interactivitate înțelegem atât actualizarea periodică a conținutului cu noi întrebări și răspunsuri, cât și posibilitatea de inserare de întrebări și răspunsuri care provin de la terțe părți. Oricare dintre dvs. poate contribui prin recomandări și comentarii la continua actualizare a acestei pagini.

Fiecare răspuns va avea menționată sursa. Acolo unde avem mai multe răspunsuri pertinente la aceeași întrebare, le vom publica pe toate, cu menționarea sursei fiecăruia. Pentru o evidență arbitrară, întrebările și răspunsurile vor fi numerotate descendent, astfel încât întotdeauna informația ”cea mai proaspătă” să se regăsească în partea superioară a paginii GDPR Ready Q&A.

Continuăm cu o serie de 13 întrebări legate de DPO, care au ca sursă Anexa documentului Guidelines on Data Protection Officers (‘DPOs’) elaborată de Grupul de lucru Articolul 29 (WP ART29.)

Q23. Care este rolul DPO în legătură cu DPIA și păstrarea evidenței operațiunilor de prelucrare?

În ceea ce privește evaluarea impactului operațiunilor de prelucrare (DPIA), operatorul sau persoana împuternicită de operator solicită avizul DPO în legătură cu următoarele aspecte, printre care:
• dacă să efectueze sau nu DPIA
• ce metodologie să fie folosită la efectuarea DPIA
• dacă să efectueze DPIA intern sau să externalizeze
• ce garanții (inclusiv măsuri tehnice și organizaționale) să pună în aplicare pentru reducerea oricăror riscuri la adresa drepturilor și intereselor persoanelor vizate
• dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă să continue sau nu prelucrarea și ce garanții să pună în aplicare) respectă GDPR.

În ceea ce privește păstrarea unei evidențe a operațiunilor de prelucrare, operatorul sau persoana împuternicită de operator, și nu DPO, are obligația de a păstra o evidență a operațiunilor de prelucrare. Cu toate acestea, nimic nu împiedică operatorul sau persoana împuternicită de operator să atribuie DPO sarcina de a păstra o evidență a operațiunilor de prelucrare în numele operatorului sau persoanei împuternicite de operator. O astfel de evidență trebuie să fie considerată ca fiind unul dintre instrumentele care permit DPO să-și îndeplinească sarcinile de monitorizare a conformității, informare și consiliere a operatorului sau persoanei împuternicite de operator.
Sursa: Art.39,(1)c) și Art. 30 din GDPR

Q22. DPO este personal responsabil pentru nerespectarea cerințelor de protecție a datelor?

Nu. DPO nu este personal responsabil în situația în care există un caz de nerespectare a cerințelor de protecție a datelor. Operatorul sau persoana împuternicită de operator are obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul Regulament. Respectarea normelor de protecție a datelor este o responsabilitate a operatorului sau a persoanei împuternicite de operator.

Q21. Ce înseamnă „monitorizarea conformității”?

Ca parte a acestor sarcini de monitorizare a conformității, DPO poate, în special:

  • să colecteze informații pentru a identifica operațiunilor de prelucrare
  • să analizeze și să verifice conformitatea operațiunilor prelucrare
  • să informeze, să consilieze și să emită recomandări operatorului sau persoanei împuternicite de operator.
    Sursa: Articolul 39(1) b) din GDPR

Q20. Care sunt garanțiile ce-i permit DPO să-și îndeplinească sarcinile în mod independent? Ce înseamnă „conflict de interese”?

Există anumite garanții ce-i permit DPO să acționeze în mod independent:

  • nu primește instrucțiuni de la operator sau persoana împuternicită de operator în ceea ce privește îndeplinirea sarcinilor sale
  • nu este demis sau sancționat de operator pentru îndeplinirea sarcinilor sale
  • nu există conflict de interese cu alte posibile sarcini sau atribuții.

Celelalte sarcini sau atribuții ale DPO nu trebuie să genereze un conflict de interese. Acest lucru
presupune, în special, faptul că DPO nu poate deține o poziție în cadrul organizației care ar conduce la posibilitatea ca DPO să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter
personale. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura
organizațională specifică fiecărei organizații.

Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de
conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului
medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful
departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea
de a stabili scopurile și mijloacelor de prelucrare. În plus, un conflict de interese poate apărea, de
asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau
persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.
Sursa: Art. 38(3) și 38(6) din GDPR

Q19. Care sunt resursele ce trebuie prevăzute de operator sau persoana împuternicită pentru DPO?

DPO trebuie să beneficieze de resursele necesare pentru îndeplinirea sarcinilor sale. În funcție de natura operațiunilor de prelucrare și a activităților și dimensiunii organizației, trebuie asigurate următoarele resurse pentru DPO:
• sprijin activ al funcției DPO din partea managementului superior
• timp suficient pentru DPO în vederea îndeplinirii atribuțiilor sale
• sprijin corespunzător în ceea ce privește resursele financiare, infrastructură (sediu, facilități, echipament) și personal, după caz
• comunicare oficială către toți angajații cu privire la desemnarea DPO
• accesul necesar la alte servicii precum resurse umane, juridic, IT, securitate etc. astfel încât DPO să beneficieze de un sprijin esențial, reacții și informații din partea altor servicii
• pregătire continuă
Sursa: Art. 38(2) din GDPR

Q18. Care sunt calitățile profesionale pe care trebuie să le posede un DPO?

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile.

Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:
• experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a GDPR
• înțelegerea operațiunilor de prelucrare efectuate
• înțelegerea tehnologiilor de informații și de securitate a datelor
• cunoașterea sectorului de afaceri și a organizației
• abilitatea de a promova protecția datelor în cadrul organizației
Sursa: Art. 37(5) din GDPR

Q17. Există posibilitatea desemnării unui DPO extern?

Da. DPO poate fi membru al personalului operatorului sau persoanei împuternicite de operator (DPO intern) sau își poate îndeplini sarcinile în baza unui contract de prestări servicii. Acest lucru înseamnă că DPO poate fi extern și, în acest caz, funcția sa poate fi exercitată în baza unui contract de prestări servicii încheiat cu o persoană fizică sau o organizație.

În situația în care funcția DPO este exercitată de un furnizor de servicii extern, o echipă de persoane fizice angajate ale respectivei entități poate îndeplini eficient sarcinile DPO ca o echipă, sub responsabilitatea unei singure persoane desemnate ca persoană de contact principală și „persoană responsabilă” pentru client. În această situație, este esențial ca fiecare membru al organizației care exercită funcțiile unui DPO să îndeplinească toate cerințele aplicabile potrivit GDPR.

Din motive de claritate juridică și o bună organizare și pentru a preveni conflictele de interes pentru membrii echipei, Ghidul recomandă existența unei alocări clare a sarcinilor în cadrul echipei DPO și desemnarea unei singure persoane ca persoană de contact principală și persoană „responsabilă” pentru fiecare client.
Sursa: Art. 37(6) din GDPR

Q16. Unde poate fi localizat DPO?

Pentru a se asigura că DPO este accesibil, WP29 recomandă ca DPO să fie localizat pe teritoriul UE, chiar dacă operatorul sau persoana împuternicită de operator nu este stabilită pe teritoriul UE. Cu toate acestea, nu poate fi exclus faptul că, în anumite situații în care operatorul sau persoana împuternicită de operator nu are sediul în UE, un DPO își poate îndeplini sarcinile într-un mod mai eficient dacă este localizat în afara UE.

Q15. Mai multe organizații pot numi un DPO comun? Daca da, în ce condiții?

Da. Un grup de întreprinderi poate numi DPO unic, cu condiția ca aceasta să fie „ușor accesibil din fiecare întreprindere”. Noțiunea de accesibilitate se referă la sarcinile DPO ca punct de contact în ceea ce privește persoanele vizate, autoritatea de supraveghere, dar și pe plan intern în cadrul organizației. Pentru a se asigura că DPO, intern sau extern, este accesibil, este important să se asigure că datele de contact ale acestuia sunt disponibile.

DPO, cu ajutorul unei echipe, dacă este necesar, trebuie să fie în măsură să comunice eficient cu persoanele vizate și să coopereze cu autoritățile de supraveghere implicate. Acest lucru înseamnă că respectiva comunicare trebuie să aibă loc în limba sau limbile utilizate de autoritățile de supraveghere și persoanele vizate. Disponibilitatea unui DPO (fie fizică în același sediu cu angajații, prin intermediul unei linii telefonice sau prin alte mijloace sigure de comunicare) este esențială pentru a garanta că persoanele vizate vor fi în măsură să contacteze DPO.

Se poate desemna un singur DPO pentru mai multe autorități sau organisme publice, luând în considerare structura organizatorică și dimensiunea acestora. Sunt aplicabile aceleași considerente cu privire la resurse și comunicare. Având în vedere că DPO este responsabil pentru o varietate de atribuții, operatorul sau persoana împuternicită de operator trebuie să se asigure că un DPO unic, cu ajutorul unei echipe, poate efectua aceste competențe în mod eficient în ciuda faptul că este desemnat pentru mai multe autorități și organisme publice.
Sursa: Art. 37(2) și (3) din GDPR

Q14. Ce înseamnă „monitorizare periodică și sistematică”?

Noțiunea de monitorizare periodică și sistematică nu este definită în GDPR, dar include în mod clar toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restricționată în mediul online.

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; e-mail de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:
• în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
• recurente sau repetate la perioade fixe
• constante sau care au loc periodic

WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:
• apărut conform sistemului
• prearanjat, organizat sau metodic
• luând loc ca parte a unui plan general de colectare a datelor
• efectuat ca parte a unei strategii
Sursa: Art.37(1)b) din GDPR

Q13. Ce înseamnă „pe scară largă”?

GDPR nu definește ce constituie prelucrarea pe scară largă. WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă:
• numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
• volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
• durata sau permanența activității de prelucrare a datelor
• suprafața geografică a activității de prelucrare

Exemple de prelucrări pe scară largă includ:
• prelucrarea datelor pacienților în activitatea regulată a unui spital
• prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
• prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în
• furnizarea serviciilor de acest tip prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
• prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
• prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau servicii de Internet

Exemple ce nu constituie de prelucrări pe scară largă includ:
• prelucrarea datelor pacientului de către un medic individual
• prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un avocat individual
Sursa: Art. 37(1) b și c) din GDPR

Q12. Ce înseamnă „activitate principală”?

„Activitățile principale” pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Acestea includ, de asemenea, toate activitățile în care prelucrarea de date reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator. De exemplu, prelucrarea datelor privind starea de sănătate, cum ar fi dosarele medicale ale pacientului ar trebui să fie considerată a fi una dintre activitățile principale în orice spital și, prin urmare, spitalele trebuie să desemneze un DPO.
Pe de altă parte, toate organizații efectuează anumite activități, spre exemplu, plata angajaților lor sau deținerea de activități standard de suport IT. Acestea sunt exemple de funcții de sprijin necesare pentru activitatea de bază sau principală a organizației. Chiar dacă aceste activități sunt necesare sau esențiale, acestea sunt de obicei considerate mai degrabă funcții auxiliare decât activitate principală.
Sursa: GDPR Art. 37(1) b și c)

Q11. Ce organizații trebuie să numească un DPO?

Numirea unui DPO este o obligație dacă:
• prelucrarea este efectuată de o autoritatea publică sau un organism public (indiferent de datele prelucrate)
• activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă
• activități principale ale operatorului sau persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.

În cele din urmă, chiar și în cazul în care desemnarea unui DPO nu este obligatorie, organizațiile pot considera, uneori, ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 în domeniul protecției datelor („WP29“) încurajează aceste eforturi voluntare. Atunci când o organizație desemnează un DPO în mod voluntar, sunt aplicabile aceleași cerințe privind numirea, poziția și sarcinile ca și cum desemnarea ar fi obligatorie.
Sursa: Art. 37(1) din GDPR

Q10: Care sunt penalitățile pentru ne-conformitate?

Organizațiile pot fi penalizate cu până la 4% din veniturile globale anuale sau cu suma de 20 Milioane Euro. Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, precum de exemplu, lipsa unui consimțământ clar al clientului pentru procesarea datelor sau încălcarea elementelor esențiale ale conceptului Confidențialitate prin design. Există totuși o abordare graduată a amenzilor, de exemplu unei societăți i se poate aplica o amendă de 2% (din venitul global anual – nn) dacă nu are înregistrările în ordine (Articolul 28), dacă nu notifică autoritatea de supraveghere și persoana vizată despre o încălcare sau dacă nu efectuează o evaluare a impactului. Este important să rețineți că aceste reguli se aplică atât controlorilor (operatorilor de date – nn), cât și procesatorilor – adică furnizorii de Cloud nu vor fi scutiți de aplicarea GDPR.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

 

Q9: Care este structura GDPR?

Noul Regulament este structurat pe 9 Capitole și 91 de Articole dispuse astfel:

  • Capitolul I Dispoziții generale: Articolele 1-4;
  • Capitolul II Principii: Articolele 5-11;
  • Capitolul III Drepturile subiectului de date: Articolele 12-23;
  • Capitolul IV Controlor și procesor: Articolele 24-43;
  • Capitolul V Transferul datelor cu caracter personal către țări terțe: Articolele 44-50;
  • Capitolul VI Autorități independente de supraveghere: Articolele 51-59;
  • Capitolul VII Cooperarea și coerența: Articolele 60-76;
  • Capitolul VIII Restituiri Obligații și sancțiuni: Articolele 77-84;
  • Capitolul IX Dispoziții referitoare la situațiile specifice de prelucrare: Articolele 85-91.

Sursa: cloudmania*

 

Q8: Sunt operator de date cu caracter personal?

Operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de drept privat care stabilește scopul şi mijloacele prelucrării. Aceasta înseamnă că operatorul a decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace automate, precum şi prin alte mijloace decât cele automate. De asemenea, persoana fizică sau juridică poate fi desemnată ca operator printr-un act normativ sau în baza unui act normativ care determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o prelucrare să intre sub incidenţa prevederilor Legii nr. 677/2001 este necesar ca ea să se desfăşoare în cadrul unui sistem de evidenţă. Prin sistem de evidenţă se înţelege o bază de date, structurată potrivit unor criterii, criterii pe baza cărora datele pot fi accesate (de exemplu, pe criteriul alfabetic).     

Sursa: Site ANSPDCP http://www.dataprotection.ro/?page=IntrebariFrecvente1

 

Q7: Rolul de Data Protection Officer (DPO) e mai potrivit pentru o persoană tehnică sau una non-tehnică?

Un DPO trebuie să înțeleagă un mare număr de probleme tehnice, dar nu trebuie să fie neapărat o persoană tehnică. Acesta ar trebui să fie de fapt o persoană cu o largă orientare, deoarece trebuie să înțeleagă implicațiile afacerii și cum să vorbească și să comunice cu persoane externe, cum ar fi autoritățile de supraveghere. În organizațiile mai mari, în jurul unui DPO se constituie practic un grup, un număr de persoane pe care poate să-i ajute. Sunt companii care au echipe de 2 sau 3 persoane cu responsabilități asemănătoare DPO și care formează biroul responsabilului cu protecția datelor.

Sursa: cloudmania*

 

Q6: Ce înseamnă ”Pseudonimizarea”?

“Pseudonimizarea” este un termen întâlnit în cadrul conceptului ”Privacy by design” și se referă la prelucrarea datelor cu caracter personal în așa fel încât datele personale nu mai pot fi atribuite unui anumit subiect de date fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și măsuri organizatorice pentru a se asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Cu alte cuvinte, datele personale utilizate pentru diferite procesări de business nu mai pot fi atribuite unei persoane identificabile, ci au ca echivalent un pseudonim, fie că pentru aceasta se folosesc denumiri, coduri numerice sau altfel de identificatori. Important este ca listele care fac asocierea între peroanele vizate și pseudonimele acestora să fie accesibile unui număr restrâns de persoane din cadrul operatorilor de date și a partenerilor de procesare. Listele de pseudonime trebuie de asemenea să facă obiectul unor măsuri tehnice și măsuri organizatorice speciale, pentru a ne asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile.

Sursa: cloudmania*

 

Q5: Care este diferența dintre un procesator de date și un controlor de date?

Controlorul (operatorul – nn) este o entitate care determină scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, în timp ce procesatorul este o entitate care prelucrează date cu caracter personal în numele controlorului.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

 

Q4: Pe cine va afecta GDPR?

A1: GDPR se aplică nu numai organizațiilor cu sediul în statele membre ale Uniunii Europene, ci va fi valabilă și pentru organizațiile din afara UE dacă acestea oferă bunuri sau servicii, sau monitorizează comportamentul unor persoane vizate localizate în UE. Se aplică tuturor companiilor care procesează și stochează datele personale ale subiecților care au locuința de bază în Uniunea Europeană, indiferent de locația companiei
Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: Regulamentul se aplică controlorilor (operatorilor) și procesatorilor din UE, indiferent de locul în care au loc prelucrările de date.

Regulamentul se aplică în cazul activităților de prelucrare care au legătură cu:

  • Oferirea de bunuri sau servicii, indiferent dacă se solicită o plată a acestor oferte;
  • Monitorizarea comportamentului persoanelor vizate în cadrul UE, atâta vreme cât elementele comportamentului se referă la activitățile derulate de subiecți pe teritoriul Uniunii Europene.

Se aplică operatorilor care nu se află în UE, dar într-un teritoriu în care se aplică legislația statelor membre, în virtutea dreptului public internațional.

Sursa: GDPR, Article 3: Territorial scope

 

Q3: Ce reprezintă date personale?

A1: Orice informație referitoare la o persoană fizică sau la o “persoană vizată”, care poate fi utilizată pentru identificarea directă sau indirectă a persoanei (…constituie date personale –nn). Poate fi orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri de socializare, informații medicale sau o adresă IP a computerului.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: “date cu caracter personal”- înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

Sursa: GDPR, Article 4: Definitions

Q2: Care este diferența dintre un regulament și o directivă?

A1: Un regulament este un act legislativ obligatoriu. Acesta trebuie aplicat în întregime în întreaga UE, în timp ce o directivă este un act legislativ care stabilește un obiectiv pe care toate țările UE trebuie să-l atingă. Cu toate acestea, depinde de fiecare țară să decidă cum. Este important de menționat că GDPR este un regulament, spre deosebire de legislația anterioară, care este o directivă.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: În dreptul european există două tipuri principale de legislație:

Directive:

  • Implementarea individuală în fiecare stat membru;
  • Implementat prin crearea de legi naționale aprobate de parlamentele fiecărui stat membru;
  • Directiva europeană 95/46 / CE este o directivă;
  • Legea 677 din 2001 este echivalentul Directivei 95/46 cu aplicabilitate pe teritoriul României.

 Regulamente:

  • Cu aplicabilitate imediată în fiecare stat membru
  • Nu impune nicio legislație locală de punere în aplicare
  • UE 2016-679 este un Regulament care va intra în vigoare în data de 25 Mai 2018.

Sursa: cloudmania*

Q1: Când va intra în vigoare GDPR?

Noul Regulament european privitor la protecția datelor personale și la libera circulație a acestora este discutat de noi sub denumirea generică internatională de GDPR (General Data Protection Regulation). GDPR a fost aprobat de Parlamentul European în aprilie 2016 și va intra în vigoare după doi ani de tranziție de la publicarea oficială, începând cu data de 25 mai 2018.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

Notă: Răspunsurile care au menționată ca sursă CloudMania* reprezintă fie propriile nostre răspunsuri, fie conținut preluat de pe site-uri publice neutre sau de la parteneri care prin acordurile de confidențialitate nu pot fi menționați în aceste condiții. Vom încerca să păstrăm aceste infomații cât mai exacte, prin respectarea sursei de  informare.

 

Advertisements

Un nou ghid orientativ publicat de ANSPDCP

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat acum câteva zile lansarea unui nou ghid practic destinat operatorilor de date.

Ghidul a fost anunțat și a fost postat pe site-ul Autorității cu ocazia unei Mese Rotunde, intitulată “Aplicarea Noului Regulament General privind Protecția Datelor în sectorul public – obligații și responsabilități”, organizată pe 22 septembrie 2017 la Palatul Parlamentului. Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor poate fi consultat în cadrul secțiunii speciale dedicată Regulamentului General privind Protecția Datelor, pe site-ul ANSPDCP.

Acest Ghid este oferit ca un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Noul regulament va intra în vigoare începând cu 25 mai 2018, dată la care se abrogă Directiva 95/46/CE (Regulamentul General privind Protecția Datelor) în toate statele membre ale Uniunii Europene.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecţia datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenţa păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecţia Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

Iată o listă succintă a materialelor care pot fi consultate și descărcate de pe site-ul Autorității:

Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

Drepturile persoanelor vizate – Extras din Regulamentul nr. 679/2016

Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (pliant)

Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (broșură)

Responsabilul cu protecția datelor

Ghidului orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor

Ghiduri finale ale Grupului de Lucru Art. 29

Informații complete pe site-ul ANSPDCP

 

GDPR explicitat (9): Data protection by design and by default

AU MAI RĂMAS 246 de zile!

În cadrul GDPR, aveți obligația generală de a implementa măsuri tehnice și organizatorice care să arate că ați luat în considerare și că integrați protecția datelor în activitățile dvs. de procesare. Confidențialitatea prin design este o abordare care a fost de mult timp și va fi întotdeauna o cerință implicită a principiilor pe care toți operatorii de date personale și le asumă în mod constant.  

“Design is a funny word. Some people think design is how it looks. But of course, if you dig deeper, it’s really how it works.”  Steve Jobs

Ce este “confidențialitatea prin design”?

Confidențialitatea prin design este o abordare a proiectelor care promovează respectarea vieții private și protecția datelor încă de la început, de la proiectarea bazelor de date și a sistemelor de calcul. Din nefericire, în practică s-a văzut că aceste  aspecte sunt de cele mai multe ori asumate ca o gândire ulterioară sau ignorate cu totul. Deși această abordare nu a fost o cerință esențială a Legii privind protecția datelor, prin includerea sa distinctă în noul Regulament, ea va ajuta organizațiile să își respecte obligațiile care le revin în temeiul legislației.

GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor reprezintă un element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață. Iată câteva exemple:

  • crearea de noi sisteme IT pentru stocarea sau accesarea datelor cu caracter personal;
  • elaborarea de reguli, politici sau strategii care au implicații asupra vieții private;
  • lansarea unei inițiative de partajare a datelor;
  • folosirea seturilor de date pentru alte scopuri, decât cele avute în vedere inițial.

Beneficiile adoptării unei abordări “confidențialitate prin design”

O abordare privind confidențialitatea prin design este în primul rând un instrument esențial în reducerea riscurilor de confidențialitate și de construire a încrederii. Designul proiectelor, proceselor, produselor sau sistemelor plecând de la premisa asigurării confidențialității încă de la început poate aduce beneficii care includ:

  • Problemele potențiale sunt identificate într-un stadiu incipient, când abordarea acestora va fi adesea mai simplă și mai puțin costisitoare;
  • Creșterea gradului de conștientizare a vieții private și a protecției datelor într-o organizație;
  • Organizațiile sunt mult mai probabil să-și îndeplinească obligațiile legale și mai puțin susceptibile de a încălca Legea privind protecția datelor;
  • Este puțin probabil ca acțiunile să fie invazive și să aibă un impact negativ asupra persoanelor.

”Ținând seama de stadiul actual al tehnicii, costul implementării și natura, scopul, contextul și scopurile prelucrării, precum și riscurile de variație a probabilității și gravității drepturilor și libertăților persoanelor fizice create de procesare, controlorul atât în momentul determinării mijloacelor de procesare, cât și în momentul procesării propriu-zise, pun în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt concepute pentru a pune în aplicare principiile de protecție a datelor, cum ar fi minimizarea datelor, o manieră eficientă și integrarea garanțiilor necesare în prelucrare pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate.” GDPR, Articolul 25, Alineatul 1.

Conform Articolului 25, operatorii trebuie să adopte măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Această obligație se aplică:

  • cantității de date cu caracter personal colectate
  • amplorii prelucrării acestora;
  • perioadei de stocare asumate;
  • accesibilității datelor personale.

Astfel de măsuri trebuie să garanteze în mod special faptul că, în mod prestabilit, datele cu caracter personal nu sunt accesibile fără intervenția unei persoanei fizice unui număr nedeterminat de persoane fizice. Cu alte cuvinte, toți operatorii trebuie să adopte reguli clare, bazate pe politici  de acces la datele cu caracter personal.

Nimic nou sub soare

Ceea ce se știe destul de puțin este că ”Privacy by Design” este un concept care a fost dezvoltat încă de la sfârșitul anilor ’90 de către dr. Ann Cavoukian – comisar pentru informare și protecția vieții private din Ontario, Canada. Confidențialitatea prin design avansează opinia că viitorul vieții private nu poate fi asigurat numai prin respectarea legislației și a cadrelor de reglementare. Asigurarea confidențialității trebuie să devină un mod de funcționare implicit al unei organizații. Cadrul “Confidențialitatea prin design” folosește o abordare caracterizată prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce au avut loc. Ci are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după.

Seriozitatea, claritatea și mai ales larga capacitate de adopție a programului Privacy by Design a determinat Comisia Europeană să îl încorporeze ca abordare în Regulamentul general privind protecția datelor. Respectând această abordare, procesatorii de date și proiectanții de sisteme informatice pot să își elaboreze ofertele prin minimizarea datelor colectate și alegerea celor mai eficiente setări de protecție a datelor. Prin respectarea puternicului principiu al limitării scopului. Se garantează faptul că vor fi prelucrate numai datele necesare pentru furnizarea unui serviciu.

Cele 7 principii fundamentale ale confidențialității prin design

De la adoptarea acestei rezoluții internaționale, cele 7 principii fundamentale ale confidențialității prin design au fost traduse în 31 de limbi oficiale și s-au dovedit  o resursă valoroasă pentru organizații din întreaga lume..  Obiectivele de confidențialitate prin design – asigurarea protecției vieții private și obținerea controlului personal asupra informațiilor proprii și, pentru organizații, obținerea unui avantaj competitiv durabil – pot fi realizate prin respectarea celor 7 Principii Fundamentale:

  1. Proactiv nu Reactiv – Adică prevenire, nu remediu. Abordarea privind confidențialitatea prin design se caracterizează prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate, înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce acestea au avut loc. Are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după;
  2. Confidențialitatea ca setare implicită – Singurele care ne pot face să putem fi siguri de un lucru sunt regulile implicite! Confidențialitatea prin design urmărește să asigure un nivel maxim de confidențialitate, asigurând protecția automată a datelor cu caracter personal în orice sistem IT sau practică de afaceri. Dacă un individ nu face nimic, intimitatea lui rămâne în continuare intactă. Nu este necesară nicio acțiune din partea individului pentru a-și proteja confidențialitatea – aceasta este implicit protejată de sistem;
  3. Confidențialitatea încorporată în design – Astfel confidențialitatea este încorporată în designul și arhitectura sistemelor informatice și a practicilor de afaceri. Nu este poziționată ca un add-on. Doar așa confidențialitatea devine o componentă esențială a funcțiilor de bază furnizate. Confidențialitatea este parte integrantă a sistemului, fără a diminua funcționalitatea;
  4. Funcționalitatea completă – Se urmărește o adaptare a tuturor intereselor și obiectivelor legitime într-o manieră profitabilă de tip ”sumă pozitivă”, nu printr-o abordare de tip ”rezultat cumulat zero”, în cazul în care sunt adoptate compromisuri inutile. Confidențialitatea prin design evită pretenția unor dihotomii false, cum ar fi confidențialitatea vs. securitatea – demonstrând că este posibil să obținem
  5. Securitatea end-to-end – protecția completă, pe toată durata ciclului de viață. Confidențialitatea prin proiect, care a fost încorporată în sistem înainte de primirea primului element de informație, se extinde în mod sigur pe întreaga durată de viață a datelor implicate – garantând intimitate, de la început până la sfârșit. Acest lucru ne asigură că toate datele sunt păstrate în siguranță și apoi distruse în siguranță la sfârșitul procesului, în timp util.
  6. Vizibilitate și transparență – Confidențialitatea prin design urmărește să asigure toate părțile interesate că, indiferent de practica comercială sau tehnologia implicată, funcționează în conformitate cu promisiunile și obiectivele menționate, supuse verificării independente. Componentele și operațiunile sale rămân vizibile și transparente, atât pentru utilizatori, cât și pentru furnizori. Cu alte cuvinte ”Crede și ține minte, dar nu uita să și verifici…”
  7. Respectarea confidențialității utilizatorilor – Mai presus de toate, confidențialitatea prin proiectare cere arhitecților și operatorilor să protejeze interesele individului, oferind astfel de măsuri care susțin implicațiile puternice de confidențialitate, recomandă notificarea corespunzătoare și respectarea opțiunilor cele mai prietenoase pentru utilizator. Țineți-l pe utilizator de partea voastră.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de instrumentele de autoevaluare privitoare la conformitatea cu GDPR

Articole anterioare:

 

Invitație la un eveniment dezbatere: Noua ordine europeană pentru protecția datelor personale

 

Suntem pregătiți pentru asigurarea conformității cu nou Regulament european?  Este o întrebare care apare tot mai des, în cele mai diferite medii, de la marile case de avocatură, la companiile de consultanta și la furnizorii de soluții de optimizare operațională și securitate IT.

Studiile de piață arată clar că NU. Peste 70% dintre operatorii europeni de date nu au încă un program clar de asigurare a compatibilității cu noile reglementari ale Uniunii Europene. Mai grav este că mai mult de jumătate dintre cei care au afirmat că sunt pregătiți, nu au baze reale pentru obținerea conformității GDPR.

Pe măsură ce trece timpul, ideile principale care se desprind sunt legate de faptul că obținerea conformității cu prevederile GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm: material, moral, dar mai ales eficiența în business.

Pentru a putea fi cu adevărat pregătiți pentru GDPR trebuie să înțelegem în primul rând importanța majoră a Regulamentului și responsabilitățile pe care le vom avea ca operatori de date personale. Iată câteva elemente definitorii, esențiale pentru schițarea unei bune strategii de conformitate.

Toți cei care au neclarități legate de aspecte legale, operaționale sau tehnologice vor avea ocazia să participe la un eveniment dedicat unei largi audiențe, unde pot adresa direct întrebările esențiale celor mai avizați specialiști.

Înregistrați-vă la evenimentul dezbatere

“Noua ordine europeană pentru PROTECŢIA DATELOR PERSONALE”

12 Octombrie 2017, București, sediul Muşat & Asociaţii

 

Aflat deja la cea de-a treia ediție, evenimentul este organizat de agenția de PR Concord Communication și are ca parteneri principali companiile Mușat și Asociatii, Clico Romania și Power Net Consulting.

Printre principalele teme abordate se numără problematici de mare interes, precum  ghiduri practice de implementare a măsurilor de conformitate GDPR, diverse aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date cu caracter personal către țări terțe sau organizații internaționale, precum și reguli corporative legate de răspunderea angajaților pentru încălcarea obligațiilor GDPR în Romania și în alte state membre.

Evenimentul “Noua ordine europeană pentru PROTECŢIA DATELOR PERSONALE” se adresează companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Evenimentul este gândit într-o manieră transparentă și interactivă, fiind structurat sub formă de întrebări și răspunsuri. Pentru detalii despre eveniment, agenda și specialiștii care vor răspunde la întrebări nu trebuie decât să vă înregistrați la adresa: https://concordcom.ro/evenimente/protectia-datelor-personale/

Prin intermediul Fomularului de înscriere pot fi adresate întrebările esențiale la care doriți să primiți răspunsuri din partea specialiștilor prezenți în panel.

Image source: Concord Communications

GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune

AU MAI RĂMAS 251 zile!

Noul regulament pe care îl discutam sub titulatura generica de GDPR vine cu o nouă viziune asupra responsabilității pe care trebuie să și-o asume operatorii de date personale. În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabiltatea pe care și-o asumă, dar trebie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate. 

Iată-ne ajunși la cel de-al 8-lea articol din seria GDPR Explicitat. După ce în articolul precedent am prezentat și comentat dreptul la portabilitatea datelor, dreptul la obiecție și drepturile legate de luarea automată a deciziilor și profilare,  continuăm cu prezentarea de informații privitoare la noul model de responsabilitate și guvernanță  în viziunea GDPR.

În esență, GDPR include prevederi care promovează responsabilitatea și guvernanța. Acestea completează cerințele de transparență ale GDPR discutate de noi încă din articolul: ”GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților” https://cloudmania2013.com/2017/07/10/gdpr-explicitat-respectati-principiile-si-demonstrati-va-conformitatea-activitatilor/

Am facut acolo un prim comentariu despre principiul responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Dar, în opinia mea, noțiunea de ”accountability”, introdusă în textul original al GDPR  înseamnă puțin mai mult decât o simplă ”responsabilitate”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabilitatea pe care și-o asumă, dar trebuie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate.  Se așteaptă să se instituie măsuri de guvernanță cuprinzătoare, dar proporționale.

Instrumentele de bună practică pe care organismele europene de reglementare le-au susținut de mult timp, cum ar fi evaluările impactului asupra vieții private și viața privată după proiectarea procesarii datelor, sunt acum cerute din punct de vedere legal în anumite circumstanțe.

În cele din urmă, aceste măsuri ar trebui să minimizeze riscul de încălcare și să susțină protecția datelor cu caracter personal. Practic, acest lucru ar însemna mai multe politici și proceduri pentru organizații, deși multe organizații vor avea deja măsuri de bună guvernanță.

În ce constă principiul responsabilității?

Noul principiu de responsabilitate prevăzut la Articolul 5, Alineatul (2) impune să demonstrați că respectați principiile și să menționați în mod explicit că aceasta este responsabilitatea dvs.

Cum pot să îmi demonstrez responsabilitatea? Lucrurile nu trebuie sa fie foarte complicate, atâta timp cât se respectă o serie de proceduri de implementare a măsurilor tehnice și organizatorice adecvate care să asigure și să demonstreze că vă conformați. Acestea pot include politici interne de protecție a datelor, cum ar fi formarea personalului, audituri interne ale activităților de prelucrare și revizuiri ale politicilor interne în materie de resurse umane.

Iată o serie de recomandări:

  • Mențineți o documentația relevantă privind activitățile de procesare a datelor cu caracter persoanal;
  • Dacă este cazul, numiți un ofițer de protecție a datelor – vom discuta într-un articol viitor despre situațiile în care se recomandă numirea unui DPO.
  • Implementați măsurile care respectă principiile protecției datelor prin proiectare și protecția datelor în mod implicit (data protection by design and by defaut)

Aceste măsuri ar trebui să includă:

  • Minimizarea datelor;
  • Pseudonimizarea;
  • Transparență;
  • Transparență în monitorizarea procesării;
  • Crearea și îmbunătățirea funcțiilor de securitate în mod continuu;
  • Evaluări de impact privind protecția datelor;
  • Respectarea codurilor de conduită aprobate și / sau sistemele de certificare.

 

Evidența activităților de prelucrare

Aceasta este prima procedură care trebuie inițiată, indiferent de profilul dvs de activitate sau natura datelor personale și scopul prelucrării acestora. În oricare dintre situații aveți obligația de a furniza politici de confidențialitate complete, clare și transparente. Dacă organizația dvs. are mai mult de 250 de angajați, trebuie să păstrați înregistrări interne suplimentare ale activităților de procesare.

În cazul în care organizația dvs. are mai puțin de 250 de angajați, sunteți obligat să păstrați doar evidența activităților legate de prelucrarea datelor cu risc sporit, cum ar fi:

  • prelucrarea datelor cu caracter personal care ar putea duce la un risc pentru drepturile și libertățile individului;
  • procesarea unor categorii speciale de date, precum condamnări și infracțiuni penale.

De ce trebuie să înregistrăm tot ceea ce prelucrăm?

Cea mai elementară procedură internă este  înregistrarea și păstrarea evidenței oricărei activități de procesare. Conform Articolului 30, Alineatul 1 trebuie să înregistrați și să aveți o evidență clară a următoarele informații:

  • numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
  • scopurile prelucrării;
  • descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
  • acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

După intrarea în vigoare a noului Regulament este posibil să vi se solicite ca aceste înregistrări să fie puse la dispoziția autorității de supraveghere competente în cazul unei investigații. În vederea demonstrării conformităţii cu prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate în responsabilitatea sa.

Fiecare operator şi fiecare persoană împuternicită de operator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective. Conform Articolului 30, Alineatul 2, aceste evidențe trebuie să includă:

  • numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane), precum şi ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
  • categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în format electronic. Operatorul sau persoana împuternicită de acesta, precum şi, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.

De reținut că obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau organizaţii cu mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la Articolul 9, Alineatul 1, sau date cu caracter personal referitoare la condamnări penale şi infracţiuni, cum se menţionează la Articolul 10.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de destul de controversata prevedere cunoscută ca ”Data protection by design and by default

Articole anterioare:

GDPR explicitat (7): Dreptul la portabilitatea datelor, obiecții și luarea automată a deciziilor

AU MAI RĂMAS 259 zile!

Noul regulament pe care îl discutam sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana. GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat, de acces, de rectificare, de ștergere,  de a restricționa procesarea, dreptul la portabilitatea datelor,  la obiecții, precum și drepturi legate de luarea automatizată de decizii și profilare.

Iată-ne ajunși la cel de-al 7-lea articol din seria GDPR Explicitat. După ce în articolul precedent am prezentat și comentat dreptul de acces, rectificare, ștergere sau restricționare, continuăm cu prezentarea drepturilor și a excepțiilor legate de dreptul la portabilitatea datelor, dreptul la obiecție și dreptul de a decide dacă datele personale pot fi incluse în operațiuni de prelucrare automatizată și profilare.

Dreptul la portabilitatea datelor

Dreptul la portabilitatea datelor permite persoanelor să obțină și să reutilizeze datele lor personale în scopuri proprii în cadrul diferitelor servicii. Acest drept permite mutarea, copierea sau transferul datele personale cu ușurință de la un mediu IT la altul, într-un mod sigur. Multe organizații europene oferă deja servicii de portabilitate a datelor, care permit persoanelor interesate să  vizualizeze, să acceseze și să utilizeze datele personale de consum și tranzacții într-un mod portabil și sigur. Mai mult, există operatori internaționali care permit consumatorilor să profite de aplicații și servicii care pot utiliza aceste date pentru a le găsi o afacere mai bună sau pentru a le ajuta să-și înțeleagă obiceiurile de cheltuieli.

Conform Articolului 20, persoana vizată are dreptul să transmită date cu caracter personal altui operator de date. Operatorul de date trebuie să furnizeze persoanei vizate o copie a datelor cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. Mai mult, operatorul de date nu trebuie să împiedice transmiterea datelor cu caracter personal unui nou operator de date.

Dreptul de portabilitate a datelor se aplică numai în cazul în care:

  • datele sunt procesate prin mijloace automate;
  • persoana vizată a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru a îndeplini condițiile stipulate printr-un contract.

Ce trebuie să facem pentru a asigura conformitatea cu acest drept? La solicitarea explicită a persoanei vizate trebuie să furnizăm datele personale într-o formă structurată, utilizată frecvent și care poate fi citită în mod automatizat.  Formatele deschise includ fișierele CSV. Prin intermediul unei mașini de citire se înțelege că informațiile sunt structurate astfel încât software-ul să poată extrage elemente specifice ale datelor. Acest lucru permite altor organizații să utilizeze datele. Informațiile trebuie furnizate gratuit.

Este posibil să ni se solicite să transmitem datele direct unei alte organizații, dacă acest lucru este fezabil din punct de vedere tehnic. Cu toate acestea, nu suntem obligați să adoptăm sau să menținem sisteme de procesare care sunt compatibile din punct de vedere tehnic cu alte organizații. Dacă datele personale se referă la mai multe persoane, trebuie să verificăm dacă furnizarea informațiilor ar aduce atingere drepturilor oricărei alte persoane.

În cât timp trebuie să răspundem solicitărilor de portare? Avem la dispoziție, fără întârzieri nejustificate, o perioadă de o lună, de la primirea solicitării. În cazul în care primim o cerere mai complexă, care include și alte tipuri de solicitări, timpul de răspuns poate ajunge la două luni. În cazul în care, din diferite motive, nu putem să furnizăm un răspuns la o cerere, trebuie să explicăm solicitantului că are dreptul de a se plânge autorității de supraveghere și de a deschide o cale de atac, fără întârzieri nejustificate și cel mult într-o lună.

Pentru o mai buna informare despre Dreptul la portabilitatea datelor, cititi si indrumarul “Guidelines on the right to data portability” realizat de Grupul de lucru ARTICLE 29 DATA PROTECTION si publicat si pe site-ul ANSPDCP la sectiunea Ghiduri ale Grupului de Lucru Art.29. 

Dreptul de a ridica obiecții

Unul dintre principalele drepturi ale persoanei vizate, stipulate de GDPR este dreptul la obiecții sau de a se opune anumitor tipuri de prelucrări.

Care sunt aceste tipuri de prelucrări ale persoanelor vizate? Conform Articolului 21 persoana vizată are dreptul de a se opune la:

  • prelucrarea datelor personale în scopuri de marketing direct;
  • prelucrarea datelor pentru realizarea de profiluri;
  • prelucrarea datelor prin mijloace automate;
  • prelucrarea în scopuri științifice sau istorice.

Situațiile de excepție care anulează dreptul la obiecții al persoanelor vizate apar atunci când, în calitatea de operator de date personale, putem să demonstrăm că există motive legitime convingătoare pentru susținerea prelucrării, care depășesc interesele, drepturile și libertățile persoanei vizate. Alte situații de excepție sunt motivate de stabilirea, exercitarea sau apărarea unor revendicări legale sau în situațiile în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public.

Haideți să discutăm puțin câteva dintre aceste situații de excepție.

Dacă scopul primar al procesării datelor personale este de natură legală sau în interesul legitim al organizației noastre – în momentul în care primim vreo obiecție legată de natura acestor procesări, trebuie să încetăm prelucrarea datelor respective numai dacă nu putem demonstra cu claritate că prelucrarea se face pentru stabilirea, exercitarea sau apărarea revendicărilor legale. Toate acestea trebuie explicate clar și concis persoanei vizate care a ridica vreo obiecție.

Dacă facem procesarea de date personale în scop de marketing direct, trebuie să încetăm orice operațiune de prelucrare de îndată ce primim o obiecție. În aceste situații nu există excepții sau motive de refuz pentru luarea în considerare a unei obiecții. Trebuie să răspundem obiecțiilor împotriva procesării în scopuri de marketing direct cât mai rapid și în mod gratuit. Chiar dacă în anumite circumstanțe a exist un consimțământ inițial pentru prelucrarea datelor, ridicarea unei obiecții explicite pentru interzicerea prelucrării datelor personale în scopuri de marketing direct trebuie acceptată fără întârziere și comunicată persoanei vizate ”în mod clar și separat de orice altă informație”. Toate aceste condiții trebuie stipulate de la bun început, chiar prin contractual de confidențialitate.

Dacă procesăm date personale în scopuri legate de cercetare științifică sau istorică, sau în scopuri statistice, persoanele fizice trebuie să aibă “motive legate de situația lor particulară” pentru a-și exercita dreptul de a se opune prelucrării în scopuri de cercetare. Dacă scopul principal al proiectului de cercetare este legat în mod direct de îndeplinirea unei sarcini de interes public, nu suntem obligați să ne conformăm unei obiecții față de prelucrarea datelor. Evident că această situație și motivarea clară și precisă a naturii cercetării trebuie comunicate în cel mai scurt timp persoanei vizate care s-a opus prelucrării.

Drepturi legate de luarea automată a deciziilor și profilare

Iată o categorie specială de drepturi, prezentă în legislația anterioară dar mult mai bine explicitată prin noul Regulament  GDPR, care oferă persoanelor fizice garanții împotriva riscului ca o decizie potențial dăunătoare să fie luată fără intervenția omului.

Ce avem de făcut pentru asigurarea conformității cu acest drept? Nu trebuie decât să identificăm  dacă oricare dintre operațiunile noastre de procesare include un proces automat de luare a deciziilor și, bineînțeles, trebuie să ne actualizăm procedurile,  pentru a răspunde cerințelor GDPR.

Când se aplică acest drept? Conform Articolului 22, persoanele fizice au dreptul de a nu face obiectul unei decizii atunci când aceasta se bazează pe prelucrarea automată și poate produce un efect juridic sau un efect semnificativ similar asupra individului.

Dreptul se aplică tuturor deciziilor automate? Nu. Dreptul nu se aplică în cazul în care decizia:

  • este necesară pentru încheierea sau executarea unui contract între dvs. și persoana fizică;
  • este autorizată prin lege (de exemplu, în scopuri de fraudă sau prevenirea evaziunii fiscale)
  • pe baza consimțământului explicit. (Articolul 9, Alineatul (2));
  • atunci când o decizie nu are un efect legal sau similar semnificativ asupra unei persoane.

Ce reprezintă profilarea, în viziunea GDPR?

GDPR definește profilarea ca orice formă de procesare automată destinată să evalueze anumite aspecte personale ale unei persoane, în special pentru a le analiza sau a prezice:

  • performanța la locul de muncă;
  • situația economică;
  • starea de sănătate;
  • preferințele personale;
  • fiabilitatea;
  • comportamentul;
  • locația
  • deplasările.

La prelucrarea datelor cu caracter personal în scopuri de realizare a unui profil, trebuie să ne asigurăm că există garanții adecvate și să respectăm o serie de proceduri:

  • Trebuie mai întâi să ne asigurăm că procesarea este corectă și transparentă prin furnizarea de informații semnificative despre logica implicată, precum și despre semnificația și consecințele avute în vedere;
  • De preferat să folosim procedurile matematice sau statistice adecvate pentru profilare;
  • Se recomandă implementarea măsurilor tehnice și organizatorice adecvate care să ne permită remedierea erorilor și minimizarea riscului de eroare;
  • Trebuie să asigurăm datele personale într-o manieră proporțională cu riscul pentru interesele și drepturile individului și să prevenim efectele discriminatorii.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de Responsabilitate și Guvernanță în viziunea GDPR.

Articole anterioare:

%d bloggers like this: