Ghiduri de bune practici GDPR puse la dispoziție de ANSPDCP

Acest articol a  fost publicat în Catalogul GDPR Ready, Octombrie 2017.

Autoritatea națională de supraveghere este o autoritate publică cu personalitate juridică, autonomă şi independentă față de orice alte autoritate a administrației publice, ca şi față de orice persoană fizică sau juridică din domeniul privat, care exercită atribuțiile ce îi sunt date în competență prin dispozițiile legale din domeniul prelucrării datelor cu caracter personal şi al liberei circulații a acestor date.

Atribuția principală a Autorității este aceea de garantare şi protejare a drepturilor şi libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal. Autoritatea monitorizează şi controlează sub aspectul legalității prelucrările de date cu caracter personal care cad sub incidența Legii nr. 677/2001.

Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cadrul secțiunii speciale dedicată RGPD, poate fi găsit un important volum de informații dedicate Regulamentului 2016/679, precum pliante, broșuri și ghiduri ale Grupului de Lucru Art. 29. Informații complete pe site-ul oficial al ANSPDCP

Ghid privind Responsabilul cu protecția datelor (DPO)

Acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor (DPO – Data Protection Officer), precum și principalele atribuții ale acestora. Ghidul a fost publicat în decembrie 2016 și a fost revizuit și adoptat în aprilie 2017.

Potrivit Regulamentului General de Protecție a Datelor (RGPD), este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO. Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care au ca activitate principală monitorizarea sistematică și pe scară largă a persoanelor fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care RGPD nu impune în mod expres numirea unui DPO, organizațiile pot opta pentru desemnarea unui DPO în mod voluntar.

Cu toate că Directiva 95/46/CE3 nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor

Lansat în septembrie 2017, acest Ghid este destinat să constituie un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecția datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenta păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecția Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcție de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

Advertisements

GDPR Ready? AMR 1 AN!

 

Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?

Nisipul din clepsidră se efilează ireversibil. Fix peste un an (fără câteva zile deja), pe 25 mai 2018, va intra in vigoare noul regulament privitor la protecția datelor personale propus de Uniunea Europeană. Votat de Parlamentul European în aprilie anul trecut, Regulamentul 679/ 2016 privind protecția datelor personale și libera circulație a acestor date este cunoscut sub denumirea generică de GDPR, adică mai pe înțelesul nostru Regulamentul General privind protecția Datelor Personale.

Parlamentul European a acordat procesatorilor de date personale un răgaz de 2 ani, suficient pentru a se pune la punct cu noile reglementări. Pentru a sublinia importanța acestui demers, au fost anunțate penalități usturătoare pentru cei care nu vor putea deveni compatibili. Mulți analiști spun că cifrele vehiculate ”sunt așa, doar de înfricoșare”, dar cine își poate permite să riște o amendă de 10 milioane de euro sau minim 2% din cifra de afaceri pe un an?

De ce este atât de important Regulamentul 679/2016?

În primul rând pentru că reprezintă o inițiativă europeană la care vor trebui să se alinieze atât operatorii de date personale din Uniunea Europeană, cât și toți ceilalți care sunt implicați în schimburi de date cu aceștia.

Regulamentul a apărut ca o reacție firească la stabilirea unor noi cadre de reglementare unitară, nu numai pentru viitorul digital al Europei, ci și pentru a corespunde unor modele de business online, proliferării serviciilor Cloud și rețelelor sociale. Toată această cavalcadă de digitalizare, globalizare și migrare în Cloud pune într-o nouă perspectivă siguranța datelor personale.

Apariția Directivei NIS (Rețeaua și Securitatea Informației) și noul GDPR, oferă noi perspective, dar și o foarte mare responsabilitate, tuturor organizațiilor procesatoare de date personale din UE, precum și întregului ecosistem de afaceri în care acestea sunt angrenate.

Care sunt obiectivele noului regulament?

Prin date cu caracter personal se înțeleg  orice informații privind o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este aceea care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume,un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,culturale sau sociale.

În România, noul regulament înlocuiește Legea 667/ 2001. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are doua obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamentele digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

Care sunt activitățile asupra cărora GDPR va avea un impact major?

În primul rând sunt vizați toți operatorii de date. Mulți procesatori de date existenți vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor.

Apoi, orice organizație, indiferent de mărime și domeniu de activitate, care execută activități de procesare a datelor, pentru că noul regulament se aplică datelor personale ale cetățenilor UE, indiferent dacă cel care controlează sau datele are prezență fizică în UE sau nu.

Cine este vizat de noul regulament?

Iată doar câteva exemple de domenii unde există operatori de date personale:

  • financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.;
  • utilități: energie, gaze, apă, salubritate, transport public;
  • furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data centers, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW
  • organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.;
  • companii comerciale de retail, distribuție, magazine online;
  • organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de consultanță tehnică, economică sau juridică, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare;
  • autorități și instituții publice.

Care sunt direcțiile de acțiune ale operatorilor pentru a asigura implementarea noului regulament?

  • În primul rând elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea compatibilității;
  • pregătirea aplicării efective a Regulamentului;
  • obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate;
  • elaborarea unui Studiu de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor, cum ar fi cele din sănătate;
  • înființarea funcției Data Protection Officer (DPO), ca persoană care răspunde de/ coordonează siguranța datelor personale la nivelul operatorului de date;
  • conștientizarea riscurilor asociate cu penalitățile extrem de severe anunțate pentru neconformare – 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internațional.

Cum au evoluat preocupările legate de GDPR în România?

După febra inițială a anunțului legat de aprobarea Regulamentului 679/ 2016, trebuie să recunoaștem că a fost un prim an destul de liniștit. Ne-am fi așteptat la o mobilizare mai mare, încă din vara lui 2016. Cu puține excepții pe care le vom enumera mai jos, activitățile au fost destul de discrete, fără să se bucure de o reflectare adecvată în presă, pe grupurile de discuții sau în mediile sociale… Am discutat cu diferiți reprezentanți ai organismelor guvernamentale care ar trebui să manifeste o implicare mai activă în asigurarea unui bun climat pentru adoptarea noului regulament. Aproape de fiecare dată mi s-a explicat că problema e conștientizată și că va fi tratată cu toată considerația. Nici implicarea segmentului privat nu a fost prea dinamică în primul an. Puținele dezbateri publice din 2016 au vizat cu precădere discutarea textului de regulament și, foarte puțin, măsurile care s-ar impune.

Avem o Autoritate Națională

În România, organismul care coordonează problemele legate de securitatea datelor personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Citând din prezentarea generală a instituției și a obiectivului de activitate publicate pe site-ul Autorității http://www.dataprotection.ro/:

”Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.”

Din aceeași sursă reținem faptul că Autoritatea își asumă rolul extrem de important de catalizator al tuturor eforturilor de aplicare a prevederilor noului Regulament care implică ”o evaluare complexă a instrumentelor specifice asigurării protecției datelor personale, în scopul adaptării cadrului normativ național și pregătirii instituționale pentru aplicarea noilor reglementări europene, inclusiv sub aspectul realizării unei cooperării eficiente cu Comitetul european pentru protecția datelor și cu celelalte autorități în domeniu din Uniunea Europeană.”

Pe pagina de Web dedicată noului Regulament UE 679/ 2016 este publicat un abstract legat de noua legislație, cu referire specială la:

  • Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
  • Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul activităţilor specifice desfășurate de autoritățile de aplicare a legii.

precum și linkuri către o serie de documente importante:

Toate documentele la care se face referire sunt redactate în limba română, pot fi consultate și descărcate online.

O altă secțiune importantă a paginii dedicate noilor reglementări europene se referă la activitatea Grupului de Lucru Articol 29. Acest grup de lucru a fost creat în temeiul Articolului 29 din Directiva 95/46/CE și este un organ consultativ european independent care se ocupă cu protecția și confidențialitatea datelor.

Art. 20 din Regulamentul General privind Protecția Datelor (GDPR) introduce un nou drept la portabilitatea datelor. Acest drept permite persoanelor vizate să primească datele cu caracter personal pe care le-au furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și să transmită respectivele date altui operator, fără obstacole.

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate), precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

Cele mai importante documente care reprezintă activitățile specifice acestui grup de lucru sunt o serie de Ghiduri destinate asigurării unei aplicări unitare, realizate prin consultări publice care au demarat în luna decembrie a anului trecut și au fost adoptate în cadrul Plenarei din luna aprilie 2017 a Grupului de Lucru Art. 29 :

E important de menționat că în cursul aceleiași Plenare, s-a adoptat Opinia nr. 1/2017 privind propunerea de Regulament a Comisiei Europene referitor la comunicațiile electronice – Regulament ePrivacy. Acest Regulament are menirea de a defini politicile de protecție a comunicațiilor și echipamentele terminale, care au caracteristici particulare care nu sunt adresate de GDPR.

În aceeași Plenară a fost adoptată și o Declarație a Grupului de Lucru Art. 29 pentru revizuirea Regulamentului 45/2001 ce viza protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organismele comunitare și libera circulație a acestor date.

Continuând descrierea conținutului paginii de Internet a ANSPDCP, foarte importantă este prezentarea – sub formă de comunicate de presă, a principalelor activități de popularizare a Regulamentului  la care Autoritatea a participat sau pe care le-a organizat începând cu vara anului 2016.

Dar despre aceste activități de promovare și ce alte tipuri de acțiuni sunt proiectate pentru perioada următoare vom scrie într-un viitor articol.

Ce alte tipuri de acțiuni ar mai fi utile pentru operatorii de date din România?

Mai este un an și sunt încă foarte multe lucruri de făcut. Cu toate eforturile inițiate de ANSPDCP, comunitatea operatorilor de date resimte nevoia acută a unor acțiuni mai ample, care să ofere răspunsuri mai clare privitoare la ceea ce au efectiv de făcut. Din discuțiile avute cu membrii diferitelor comunități din industria IT&C, reiese că în piață există încă multe incertitudini. Mulți operatori de date nu știu încă ce au de făcut, iar furnizorii de servicii Internet și Cloud au și mai multe probleme legate de natura transmiterii, prelucrării, stocării și procesării datelor.

INIȚIATIVA ”GDPR READY”

Pornind de la importanța majoră a asigurării unei tranziții unitare, la scară națională, către îndeplinirea condițiilor de compatibilitate cu Regulamentul 679/ 2016 de către marea majoritate a operatorilor de date personale, ne-am gândit la lansarea unei inițiative ”GDPR Ready”, care să susțină și să completeze eforturile de promovare și conștientizare depuse de Autoritate și alte instituții publice și private.

Această inițiativă își propune să catalizeze interesul celor implicați în acțiuni de asigurare a compatibilității cu Regulamentul 679/ 2016: organizații guvernamentale și private, asociații profesionale, companii de consultanță, instituții de cercetare și educație, furnizori de soluții și servicii IT&C, operatori de centre de date, case de software, reselleri și distribuitori, magazine online, și alții…

Ce tipuri de acțiuni trebuie extinse și aprofundate la nivelul tuturor operatorilor de date? 

Comunitățile și industriile simt nevoia acută să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea, principalele activități care vor fi propuse și efectuate sub umbrela inițiativei ”GDPR Ready” vor avea ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări
  • Care sunt sancțiunile
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative
  • Care sunt problemele tehnice și operaționale
  • Care sunt pașii pentru pregătirea și obținerea compatibilității
  • Cine ne consiliază
  • Cine ne auditează

Ce acțiuni va iniția și susține cloud☁mania în cadrul inițiativei ”GDPR Ready”?

  • Articole și materiale de popularizare ale inițiativelor publice ANSPDCP, MCTI, ministere
  • Popularizarea inițiativelor private: vendori și furnizori IT&C, furnizori de servicii, consultanță și audit
  • Susținerea de prezentări și workshopuri la întrunirile asociațiilor profesionale și evenimente din industria IT
  • O atenție specială va fi acordată în mod firesc măsurilor speciale pe care trebuie să le aibă în vedere furnizorii de servicii Cloud, operatorii telecom și data networking, providerii de servicii Internet, producătorii independenți de software, operatorii de servicii data center, procesatorii de plăți online, magazinele online, analiștii de date, companiile de data insurance, furnizorii de servicii de securitate, etc

O serie de alte proiecte vor fi demarate în parteneriat cu diferite entități și vor fi anunțate din timp.

%d bloggers like this: