Cum putem reduce incidentele de securitate cu 60-70%

 

Protectia datelor personale este un proces continuu. Pastrarea unui nivel optim de conformitate GDPR presupune  o instruire temeinica a tuturor oamenilor din organizatie care au de-a face cu prelucrarea de date personale.

Statisticile arata ca intre 60-70% dintre vulnerabilitatile sistemelor informatice au cauze interne. Asta inseamna ca cea mai mare parte dintre pericole pot fi reduse. Sta in puterea noastra. Singura conditie este ca oamenii sa fie instruiti, sa stie ce au voie si ce nu au voie sa faca. V-ati educat oamenii in spiritul GDPR?

GDPR Ready ofera servicii de instruire la sediul clientilor, perfect adaptate cerintelor oricarei organizatii. 

Advertisements

A APĂRUT CATALOGUL GDPR PRACTIC: PREMIERĂ PENTRU ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloudmania anunță publicarea Catalogului GDPR PRACTIC  – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Practic este al doilea Catalog GDPR după cel apărut în Octombrie 2017 și se înscrie în seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 8-a ediție.  

 

Regulamentul EU 2016 – 679 reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem operatori și procesatori de date și toți ne vom supune acelorași reguli.

Cu șase luni înainte de intrarea în vigoare a GDPR piața românească era destul de conștientă de importanța momentului. Peste 64% dintre operatorii de date nu făcuseră un plan de implementare,  72% nu organizaseră instructaje GDPR interne, iar 89% nu începuseră reevaluarea contractelor cu furnizorii și clienții.

Pornind de la această realitate și văzând succesul cu care a fost primit primul Catalog GDPR Ready în octombrie 2017, am decis să continăm susținerea operatorilor de date din România, făcând ceva mai mult decât o simplă sensibilizare și conștientizare. În acest spirit, a doua ediție a Catalogului GDPR este dedicată proceselor și soluțiilor de protecție a datelor personale, cu focalizare pe aspectele practice ale implementării procesului de conformitate GDPR.

Ca și ediția precedentă, Catalogul GDPR Practic e format din două părți:

  • GHIDUL DE IMPLEMENTARE GDPR – bazat pe o serie de recomandări de abordare practică a unui proiect de implementare GDPR;
  • Un CATALOG DE OFERTE pentru soluții compatibile GDPR, servicii de consultanță, audit și certificare disponibile la ora actuală pe piața din România.

 

Catalogul poate fi citit online la adresa: https://issuu.com/agoramedia/docs/catalog_cloud_2018_ed_8_gdpr

 

”Ghidul de implementare GDPR” conține 50 de întrebări și răspunsuri ce abordează probleme concrete ale unui proiect de implementare GDPR precum și o serie de valoroase recomandări pentru operatorii și procesatorii locali oferite de specialiști GDPR cu o bogată experiență în protecția și confidențialitatea datelor personale. Printre subiectele de larg interes care sunt discutate în acest Ghid amintim:

  • Ce este un proiect GDPR?
  • Care sunt fazele unui proces de implementare?
  • Cum alegem un DPO?
  • Cum facem maparea datelor?
  • Care sunt rolurile operatorilor și procesatorilor?
  • Avem nevoie de o analiza de impact?
  • Cît de importanță este Analiza de risc?
  • Cum gestionăm managementul incidentelor?
  • Cine, când și cui raportează?
  • Cum se face transferul internațional de date?

Ghidul este însoțit de recomandările unor specialiști din diferite domenii, precum servicii juridice – Andreea Lisievici și Dana Cristina Matache, soluții și management IT – Fernanda Velter și Yugo Neumorni sau servicii de consultanță: Tudor Galoș. Desigur că un astfel de ghid nu poate aborda în extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale.  Nu este o barieră de depășit.  Este o țintă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business.

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ASBIS, Brinel, Deloitte, ESET, Essensys Software, IBM, Ingram Micro, Kingston Technology, Privacy One, Q-EAST Software, Romsym Data, Tryamm, Veritas și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPR din Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Ready pe LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

Top cloud☁mania articles in 2017

Let’s start the new (GDPR Ready) year 2018 with the traditional review of cloudmania’s activity in 2017. The 5th year of our knowledge platform was one of the records: 96 published articles, 60% increase of views number, and 39% of visitors number, comparing 2016, and a focussed GDPR dedicated section well received by Romanian and international communities.

Despite the fact the small majority of our readers are Romanians (58%), we still have a strong international community readers, where 30% are from the US, 13% from India, 8% from the UK, 5% from Germany, and 4% from France, respectively Canada.

As usual, here are few selections of most popular articles grouped into three main categories: international articles, Romanian articles (excepting GDPR), and Romanian GDPR Articles.

Most popular international articles:

#1: “Datacenter Forum 2017 the Pole of the Modern Infrastructure Technologies” – May 2017

#2: “TOSS C3 Interview: From Underground Research to Digital Transformation” – June 2017

#3: “The first GDPR Catalog in Romania” – October 2017

#4: “What cloud providers need to focus on for GDPR compliance” – Bart van Buitenen’s contribution for GDPR Catalog – October 2017

#5: “Freight Monitoring, Industry 4.0 and Smart Grids: Main Drivers for EMEA’s IoT Spending until 2020” – January 2017

Most popular Romanian (non GDPR) articles

 #1: “About Hybrid Cloud with Mr Ravan Stoica” – original title: “Despre Cloudul hibrid cu domnul Razvan Stoica – May 2017

#2: “Ford is managing HR resources in Cloud using Oracle HCM platform” – original title: “Ford își administrează resursele umane din Cloud pe platforma Oracle HCM – February 2017

#3: “Europe’s digital future is based on the 4th Industrial Revolution” – original title: “Viitorul digital al Europei se bazeaza pe cea de-a patra revolutie industriala – August 2017

#4: “ROcS 2.0: Technologies without age and without borders” – original title: “Tehnologii fara varsta si fara frontiere” – November 2017

#5: “Cloud Conference: Let’s speak about adoption, development, migration, business continuity, and GDPR” – original title: “Conferinta de Cloud: haideti sa vorbim despre adoptie, dezvoltare, migrarem continuitate in business si GDPR – November 2017

 

Most popular Romanian GDPR articles

#1: “First Romanian GDPR Catalog was released” – original title: “A aparut primul Catalog GDPR din Romania – October 2017

#2: “GDPR: personal data security from information security perspective” – original title: “GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice” – a CERT.RO contribution to GDPR Catalog, November 2017

#3: How can I achieve DPO certification in Romania” – original title: “Cum pot obtine certificarea DPO in Romania” – November 2017

#4: “GDPR Ready! Initiative” – original title: Initiativa GDPR Ready!” – June 2017

#5: “Good practice guides released by ANSPDCP (Romanian Personal Data Processing Surveillance Authority)” – original title: “Ghiduri de bune practici puse la dispozitie de ANSPDCP” – November 2017

Happy GDPR Compliancy New Year!

Why we need to build a GDPR Corporate Culture?

 

Many times the alignment with GDPR requirements is perceived as a compliance challenge only.  What few realize from the very beginning is that GDPR does not involve a push-up effort, after which the relaxation is coming. It’s not an IT project, nor any simple modification of privacy policy on an e-commerce site. GDPR is the beginning of a process that should become irreversible, and for this, it needs a source of energy to keep it moving. The energy source for maintaining GDPR compliance for the entire lifecycle of a business is the organization’s internal capacity to maintain compatibility. And this is called Company Culture.

We are talking about GDPR more and more. And this is good because we still need awareness. Unfortunately, most of the messages are focused on the punitive value of the regulation. And that’s right, because the fines announced are scary, even for a bigger company. For the vast majority, however, a penalty of € 10,000,000 actually means getting out of business. Those who will have what they pay will face a big black spot of reputation, which will affect the trust of their clients, which creates the premises of a threat even bigger than the fines themselves.

These threats should generate a big concern at the executive levels first. Here are no longer only quick steps to modify few web pages and ad-hoc staff training. Organizations need to change their mentality and decision-makers must be an example. The success of a long-term GDPR project is based on the building of an organization-wide culture where people first think about how they would like their personal information to be processed. Companies must adopt this attitude when handling the personal data of customers, employees, and other subjects. It’s not just about the threat of financial penalties. It’s a business continuity and building a trusting attitude.

Individuals need to trust the companies to whom they provide their personal information and need to trust that these data operators have the ability to manage this information properly and safely. One of the GDPR’s novelties is the introduction of the accountability principle. The concept is not new. But for the first time, it becomes an explicitly free principle. The GDPR accountability goes beyond compliance with data protection principles, as it involves a change of culture. Any data controller or data processor has to prove not only that they are responsible for personal data protection but also to prove that they can support this responsibility. In order for this extended responsibility to be assimilated into our organization, we need a cultural and organizational change.

To create a GDPR culture, companies need to adopt a proactive, methodical and responsible approach to compliance, a privacy culture for personal data protection. If you want people to change their behaviour, you have to motivate them to want to do this; they have to understand why it is important. This change is a challenge if they cannot connect privacy risks to their own roles and private lives. Personalized training for roles or characters and the use of relevant examples is, therefore, a good practice. To effectively educate your staff, work closely with and connect with internal teams – people from HR, accounting, logistics, technical teams, but especially from internal communication teams.

Now that you have built the data privacy culture, you need to embed and support it. To do this, you will need to:

  • Define clear periodic and point assignments;
  • Create regular campaigns;
  • Build awareness of privacy in new business environments or new employees.

If it has not already been made, compliance with GDPR should be a key priority for all organizations, regardless of size, industry, or geographic location.

GDPR Explicitat (15): Penalitățile cu care vine GDPR

Iată-ne ajunși la finalul serialului de articole GDPR Explicitat. A fost o încercare de analiză și parcurgere pe orizontală a celor mai importante articole din GDPR care au egală importanță pentru toți operatorii și procesatorii de date personale. Desigur se mai pot povesti și comenta multe despre toate subiectele abordate. Vom mai avea ocazia să le reluăm când vom face analizele pe verticale, pe grupe de companii sau pe anumite industrii.

Când se dau amenzile administrative?

Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale (de exemplu, suferință).

Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare.

Conform Articolului 83 – ”Condiții generale de impunere a amenzilor administrative”, aplicarea penalităților va fi, în fiecare caz, eficace, proporțională și disuasivă (descurajantă). Amenzile administrative se acordă în funcție de:

  • Natura, gravitatea și durata încălcării;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de persoanele vizate;
  • Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile tehnice și organizatorice implementate de aceștia;
  • Orice încălcări anterioare relevante;
  • Gradul de cooperare;
  • Categoriile de date cu caracter personal afectate de încălcare;
  • Modul în care încălcarea a devenit cunoscută;
  • Existența unor cazuri anterioare în care au fost ordonate competențe corective împotriva operatorului sau a procesatorului;
  • Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate;
  • Existența unor alți factori agravanți sau atenuanți.

Care sunt situațiile în care amenda e de 2% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supraveghere constată încălcarea următoarelor Articole:

  • Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
  • Obligațiile corpului de certificare conforme cu Articolele 42 și 43;
  • Obligațiile corpului de monitorizare aferente Articolului 41 (Alineat 4)

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 8: Consimțământul copilului
  • 11: Prelucrarea care nu necesită identificare
  • 25: Protecția datelor prin design și implicit
  • 26: Operatori comuni
  • 27: Reprezentanți ai operatorilor care nu sunt stabiliți în UE
  • 26, 29 & 30: Prelucrarea
  • 31: Cooperarea cu autoritatea de supraveghere
  • 32: Securitatea datelor
  • 33: Notificarea încălcărilor autorității de supraveghere
  • 34: Comunicarea încălcărilor la persoanele vizate
  • 35: Evaluarea impactului protecției datelor
  • 36: Consultare prealabilă
  • 37-39: Protecția datelor
  • 41 (4): Monitorizarea codurilor de conduită aprobate
  • 42: Certificare
  • 43: Organisme de certificare

Care sunt situațiile în care amenda e de 4% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:

  • Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
  • Drepturile subiecților aferente Articolelor de la 12 la 22;
  • Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 5: Principii privind prelucrarea datelor cu caracter personal;
  • 6: Legalizarea procesării;
  • 7: Condiții pentru consimțământ;
  • 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
  • 12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
  • 44 -49: Transferuri către țări terțe;
  • 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
  • 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.

Norme privind sancțiunile impuse de fiecare stat membru

În Articolul 83, Alineatul 7 se mai specifică faptul că ”Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv.”

Mai departe se prevede că exercitarea de către autoritatea de supraveghere a competenţelor sale în temeiul Art.83 are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficiente şi dreptul la un proces echitabil.

Dar acestea nu sunt toate sancțiunile prevăzute de GDPR. În Articolul 84: ”Sancţiuni”, Alineatul 1  se specifică faptul că statele membre au dreptul de a stabili normele privind alte sancţiuni aplicabile în caz de încălcare a Regulamentului, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul Articolului 83, şi iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancţiunile respective trebuie să fie eficace, proporţionale şi disuasive. Totodată, până la 25 mai 2018 fiecare stat membru trebuie să informeze Comisia cu privire la dispoziţiile de drept intern pe care le adoptă în temeiul alineatului (1), precum şi, fără întârziere, cu privire la orice modificare ulterioară a acestora.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 14) ale seriei GDPR Explicitat:

 

GDPR Explicitat (14): Coduri de Conduită și Mecanisme de Certificare

GDPR recomandă utilizarea Codurilor de Conduită și a Mecanismelor de certificare pentru a demonstra că vă conformați. Trebuie luate în considerare nevoile specifice ale microîntreprinderilor, întreprinderilor mici și mijlocii.

Înscrierea pentru adoptarea unui Cod de Conduită sau la o schemă de certificare nu este obligatorie. Dar, dacă sunteți dispuși să adoptați un Cod de Conduită aprobat sau o schemă de certificare care să acopere activitatea dvs. de prelucrare, vă recomandăm să luați în considerare acest demers ca o modalitate de a demonstra conformitatea.

Respectarea Codurilor de Conduită și a schemelor de certificare aduce mai multe beneficii în plus pentru a demonstra că vă conformați. Prin adoptarea unui cod de conduită și a unui mecanism de certificare puteți să obțineți următoarele beneficii:

  • îmbunătățirea transparenței și responsabilității – care poate spori încrederea ca organizație ce îndeplinește cerințele legii și în care procesarea și păstrarea datelor personale este de încredere;
  • asigurarea de circumstanțe în situația în care ar putea exista incidente urmate de măsuri de executare;
  • îmbunătățirea standardelor de organizație prin stabilirea celor mai bune practici;
  • un criteriu de calitate și încredere în procesul de contractare a terților sau a procesatorilor.

Care sunt Codurile de Conduită recomandate?

Conform Articolului 40: ”Coduri de conduită”, Alineatul 2,”Asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente”, în ceea ce priveşte:

  • prelucrarea în mod echitabil şi transparent;
  • interesele legitime urmărite de operatori în contexte specifice;
  • colectarea datelor cu caracter personal;
  • pseudonimizarea datelor cu caracter personal;
  • informarea publicului şi a persoanelor vizate;
  • exercitarea drepturilor persoanelor vizate;
  • informarea şi protejarea copiilor şi modalitatea în care trebuie obţinut consimţământul titularilor răspunderii părinteşti asupra copiilor;
  • măsurile şi procedurile menţionate la articolele 24 şi 25 şi măsurile de asigurare a securităţii prelucrării, menţionate la articolul 32;
  • notificarea autorităţilor de supraveghere cu privire la încălcările securităţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încălcări;
  • transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale;
  • proceduri extrajudiciare şi alte proceduri de soluţionare a litigiilor.

Cine proiectează și monitorizează un Cod de Conduită?

Guvernele și autoritățile de reglementare pot încuraja elaborarea de Coduri de Conduită. Acestea pot fi create de asociații profesionale sau de organisme reprezentative. Codurile ar trebui elaborate prin consultare cu părțile interesate relevante, inclusiv cu persoanele vizate (GDPR – Considerentul 99).

Codurile trebuie aprobate de autoritatea de supraveghere competentă și în cazul în care prelucrarea este transfrontalieră, de Comitetul european pentru protecția datelor (EDPB). Codurile existente pot fi modificate sau extinse pentru a se conforma cerințelor din GDPR.

Potrivit Articolului 41: ”Monitorizarea codurilor de conduită aprobate”, Alineatul 1, monitorizarea respectării unui cod de conduită poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în legătură cu obiectul codului şi care este acreditat în acest scop de autoritatea de supraveghere competentă.

Un astfel de organism poate fi acreditat pentru monitorizarea respectării unui Cod de Conduită dacă:

  • Demonstrează autorităţii de supraveghere competente independenţa şi expertiza sa în legătură cu obiectul Codului;
  • Are proceduri care îi permit să evalueze eligibilitatea operatorilor şi a procesatorilor în vederea aplicării Codului, să monitorizeze respectarea de către aceştia a dispoziţiilor Codului şi să revizuiască periodic funcţionarea acestuia;
  • Vine cu proceduri pentru tratarea plângerilor privind încălcări ale Codului sau privind modul în care Codul a fost sau este pus în aplicare, precum şi pentru asigurarea transparenţei acestor proceduri pentru persoanele vizate şi pentru public;
  • Demonstrează autorităţii de supraveghere că sarcinile şi atribuţiile sale nu creează conflicte de interese.

Care sunt implicațiile practice ale adoptării unui Cod de Conduită?

Dacă vă înscrieți în regulile statuate printr-un Cod de Conduită, veți fi supus unei monitorizări obligatorii de către un organism acreditat de autoritatea de supraveghere. Dacă încălcați cerințele codului de practică, puteți fi suspendat sau exclus și autoritatea de supraveghere va fi informată. De asemenea, riscați să fiți supus unei amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Pe de altă parte, aderarea la un Cod de Conduită poate servi drept factor atenuant atunci când o autoritate de supraveghere are în vedere o acțiune de executare printr-o amendă administrativă.

De reținut faptul că la Codurile de Conduită specifice unei anumite industrii verticale pot adera organizații care nu se află pe teritoriul UE în scopul de a oferi garanţii adecvate în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale în condiţiile menţionate la Articolul 46. Aceşti operatori sau procesatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Ce sunt mecanismele de certificare?

Statele membre, autoritățile naționale de supraveghere, forul de supraveghere european sau Comisia Europeană trebuie să încurajeze instituirea unor mecanisme de certificare pentru a spori transparența și conformitatea cu regulamentul. Certificarea va fi emisă de autoritățile de supraveghere sau de organismele de certificare acreditate.

Potrivit Articolului 42: ”Certificare”, Alineatul 2, Mecanismele de certificare din domeniul protecţiei datelor, sigiliile sau mărcile sunt instituite nu numai pentru a fi respectate de operatorii și procesatorii care fac obiectul GDPR, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau procesatorii care nu fac obiectul prezentului regulament, în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale. Aceştia  îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Care este scopul unui mecanism de certificare?

Un mecanism de certificare este o modalitate prin care demonstrați că respectați, și în special că ați pus în aplicare măsuri tehnice și organizatorice. De asemenea, poate fi instituit un mecanism de certificare care să demonstreze existența unor garanții legate de caracterul adecvat al transferurilor de date. Acestea sunt destinate să permită persoanelor fizice să evalueze rapid nivelul de protecție a datelor pentru un anumit produs sau serviciu.

Iată câteva dintre implicațiile practice ale aplicării unor mecanisme de certificare:

  • Certificarea nu vă reduce responsabilitățile legate de protecția datelor;
  • Certificarea este voluntară şi disponibilă prin intermediul unui proces transparent;
  • Trebuie să furnizați organismului de certificare toate informațiile necesare și accesul la activitățile dvs. de procesare, pentru a putea efectua procedura de certificare;
  • Orice certificare va fi valabilă pentru maximum trei ani;
  • În cazul în care nu mai sunt îndeplinite cerinţele, certificarea vă poate fi retrasă de organismele de certificare sau de autoritatea de supraveghere competentă;

Care sunt organismele care ne pot atesta o Certificare?

Conform Articolului 43: Organisme de certificare,  organismele de certificare care dispun de un nivel adecvat de competenţă în domeniul protecţiei datelor pot informa o autoritatea de supraveghere pentru a-i permite să îşi exercite competenţele de emitere și reînoire a unei Certificări, în temeiul Articolului 58.2.h. Statele membre trebuie să se asigură că aceste organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entităţi:

  • autoritatea de supraveghere care este competentă în temeiul Articolului 55 sau 56;
  • organismul naţional de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European în conformitate cu standardul ENISO/ IEC 17065/2012 şi cu cerinţele suplimentare stabilite de autoritatea de supraveghere competentă.

Un organism de certificare poate fi acreditat numai dacă:

  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul certificării;
  • s-a angajat să respecte criteriile menţionate la Articolul 42;
  • a instituit proceduri pentru emiterea, revizuirea periodică şi retragerea certificării, a sigiliilor
  • şi mărcilor din domeniul protecţiei datelor;
  • a instituit proceduri şi structuri pentru tratarea plângerilor privind încălcări ale certificării
  • sau privind modul în care certificarea a fost sau este pusă în aplicare de un operator sau un procesator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public;
  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, că sarcinile
  • şi atribuţiile sale nu creează conflicte de interese.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 12) ale seriei GDPR Explicitat:

GDPR Explicitat (13): Notificarea breșelor de securitate

Continuăm seria de articole dedicate analizei orizontale a prevederilor GDPR cu o problematică esențială pentru GDPR. Am constatat sau am fost anunțați că în sistemul nostru în care deținem date cu caracter personal a apărut o breșă de securitate. Ce avem de făcut mai întâi și mai întâi? Pe cine trebuie să anunțăm, când și cum? Ce măsuri trebuie să luam pentru limitarea eventualelor daune?

Sunt câteva întrebări foarte importante pentru luarea primelor măsuri. Haideți să vedem despre ce e vorba.

 Cum notificăm apariția unei breșe de securitate?

Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS).

Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație cu rol de operator să raporteze autorității sale de supraveghere orice breșă de securitate a datelor personale în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare.

În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate – în esență, criptare – pentru a elimina pericolul pentru persoanele vizate.

În Articolul 33 – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că:

  • Raportarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale;
  • Operatorii trebuie să raporteze către autorităților de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate;
  • Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare;
  • Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii;
  • Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate;
  • Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.

Ce informații trebuie să conțină notificarea unei breșe de securitate?

Elementele esențiale care trebuie să se regăsească într-o notificare se referă la:

  • natura încălcării datelor cu caracter personal;
  • categoriile și numărul aproximativ al persoanelor implicate;
  • categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  • numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau orice alt punct de contact de unde pot fi obținute mai multe informații;
  • descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
  • descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse.

Ce trebuie să pregătim pentru raportarea breșelor?

Nimeni nu își dorește asta, dar o bună pregătire pentru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai bine pentru raportarea încălcărilor de securitate?

  • În primul rând ar trebui să vă asigurați că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal;
  • Apoi, ar trebui să vă asigurați că aveți o procedură de raportare internă a breșelor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a persoanelor vizate;
  • Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să existe proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.

Când nu suntem obligați să notificăm persoanele vizate?

În Articolul 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Alineatul 3 regulamentul stipulează că informarea persoanei vizate nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

  • operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar acestea au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
  • operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
  • informarea ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Ghidul recomandărilor legate de anunțarea breșelor de Securitate

De pe site-ul oficial al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi descărcat Ghidul privind notificarea încălcărilor de securitate”, un instrument deosebit de util în implementarea condițiilor impuse de GDPR elaborate de Grupul de Lucru Articolul 29.

Tot de pe site-ul Autorității Naționale pot fi accesate și consultate formularele utilizate deja în notificarea breșelor de securitate conform legislației actuale.

Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 12) ale seriei GDPR Explicitat:

GDPR Explicitat (12): Transferul internațional de date

După o pauză mai mare de o lună în care s-au întâmplat fel de fel de lucruri legate de evenimente, cursuri, preluări de articole apărute în Catalogul GDPR Ready, reiau seria de articole dedicate analizei orizontale a prevederilor GDPR.

Mai sunt câteva lucruri de discutat la modul general, precum Transferul internațional de date, notificarea breșelor de Securitate, aplicabilitatea regulilor corporative și demitizarea unei amenințări cu care mulți încearcă să vă sperie: penalitățile care se aplică pentru nerespectarea regulilor GDPR. Pentru început, să aruncăm o privire către ce înseamnă transferul internațional de date.

Ce spune principiul transferului de date?

GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR nu este subminat.

În Articolul 44 – ”Principiul general al transferurilor” se specifică faptul că: „Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

Ce este important să reținem este că orice transfer internațional de date cu caracter personal de către un operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții:

  • Transferuri pe baza adecvării;
  • Transferuri supuse garanțiilor adecvate
  • Aplicabilitatea unor reguli corporative obligatorii.

Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată.

Când se poate face transferul de date în afara Uniunii Europene?

Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respective și angajamentele internaționale ale acesteia.

În Articolul 45 – ”Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie”, Alineatul 1 se spune că: ”Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.”

Conform Considerentului 103 din GDPR, Comisia poate decide că o ţară terţă oferă un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sau organizaţia internaţională care este considerată a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare.

În prezent, pe listă țărilor considerate de UE că pot oferi un nivel adecvat de protecție a datelor personale putem întâlni următoarele 11 state, clasificate pe zone geografice.

  • Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey
  • Orientul Mijlociu: Israel
  • America de Nord: Canada
  • America de Sud: Argentina și Uruguay
  • Asia-Pacific: Noua Zeelandă.

Sursa: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Pentru transferurile de date dintre UE și Statele Unite există acordul internațional bine cunoscut sub denumirea de EU-US Privacy Shield. Un acord de cooperare cunoscut ca EU-US Safe Harbor exista încă din anul 2000. După o evoluție destul de controversată, cu o scurtă perioadă de întrerupere datorată unor litigii internaționale, în 12 iulie 2016 Comisia Europeană recunoaște caracterul adecvat de protecție asigurat de acest acord prin Decizia 1250/ 2016.

Dar ce ne facem cu transferurile de date către orice țară care nu este pe listă? În principiu, fiecare transfer de date către o țară care nu beneficiază în mod explicit de aprobarea UE pe bază de acorduri internaționale sau condiții de adecvare se poate realiza numai după solicitarea acordului pentru transfer. Ţara terţă ar trebui să ofere garanții care să asigure un nivel adecvat de protecţie, echivalent cu cel asigurat în cadrul Uniunii. Țara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autoritățile statelor membre, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.

Conform Considerentului 108 din GDPR: ”În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau procesatorul ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor.”

Care sunt condițiile unui transfer în siguranță?

Conform Articolului 46 ”Transferuri în baza unor garanții adecvate” puteți transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice.

Se pot asigura garanții adecvate prin:

  • un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice;
  • reguli corporatiste obligatorii în conformitate cu articolul 47;
  • clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate;
  • un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate la Alineatul (1) pot fi furnizate de asemenea, în special, prin:

  • clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională;
  • dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.

Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind adecvarea protecției? GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al protecției acordate datelor cu caracter personal. Conform Articolului 84.5.c orice altă încercare de transfer, care nu se încadrează în prevederile Articolelor 44-49 este pasibilă de pedeapsa administrativa maximă.

Care sunt excepțiile aprobate?

Dar ne-am obișnuit ca orice reglementare strictă să vină și cu o serie de excepții. Care sunt excepțiile acceptate pentru transferul internațional de date? Potrivit Articolului 49 ”Derogări pentru situații specifice”, se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:

  • făcut cu consimțământul informat al persoanei;
  • necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei;
  • necesare pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană;
  • necesare din motive importante de interes public;
  • necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
  • necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;
  • făcut dintr-un registru care are drept scop furnizarea de informații publicului

De reținut că primele trei derogări nu sunt valabile pentru activitățile autorităților publice în exercitarea puterilor lor publice.

În fine, în cazul transferurilor de date neautorizate de dreptul Uniunii Europene, Articolul 48 din GDPR specifică faptul că orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau procesator de operator să transfere sau să divulge date cu caracter personal ”poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru”.

Celor care nu le-au citit încă, le recomand precedentele articole ale seriei GDPR Explicitat:

ondițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

Ghiduri de bune practici GDPR puse la dispoziție de ANSPDCP

Acest articol a  fost publicat în Catalogul GDPR Ready, Octombrie 2017.

Autoritatea națională de supraveghere este o autoritate publică cu personalitate juridică, autonomă şi independentă față de orice alte autoritate a administrației publice, ca şi față de orice persoană fizică sau juridică din domeniul privat, care exercită atribuțiile ce îi sunt date în competență prin dispozițiile legale din domeniul prelucrării datelor cu caracter personal şi al liberei circulații a acestor date.

Atribuția principală a Autorității este aceea de garantare şi protejare a drepturilor şi libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal. Autoritatea monitorizează şi controlează sub aspectul legalității prelucrările de date cu caracter personal care cad sub incidența Legii nr. 677/2001.

Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cadrul secțiunii speciale dedicată RGPD, poate fi găsit un important volum de informații dedicate Regulamentului 2016/679, precum pliante, broșuri și ghiduri ale Grupului de Lucru Art. 29. Informații complete pe site-ul oficial al ANSPDCP

Ghid privind Responsabilul cu protecția datelor (DPO)

Acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor (DPO – Data Protection Officer), precum și principalele atribuții ale acestora. Ghidul a fost publicat în decembrie 2016 și a fost revizuit și adoptat în aprilie 2017.

Potrivit Regulamentului General de Protecție a Datelor (RGPD), este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO. Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care au ca activitate principală monitorizarea sistematică și pe scară largă a persoanelor fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care RGPD nu impune în mod expres numirea unui DPO, organizațiile pot opta pentru desemnarea unui DPO în mod voluntar.

Cu toate că Directiva 95/46/CE3 nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor

Lansat în septembrie 2017, acest Ghid este destinat să constituie un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecția datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenta păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecția Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcție de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

GDPR deschide mari oportunități în distribuția IT

Alinierea la GDPR vine cu multe teme de îngrijorare pentru companiile dintr-un ecosistem de distribuție, dar și cu un imens potențial de vânzare a soluțiilor din portofoliu. Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale.

Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale.

Keep Calm and Prepare for GDPR

Nu vă pierdeți cu firea. Totul trebuie privit cu optimism. Pentru o companie IT orice procedură și demers de obținere a unui nivel de confort echivalent cu conformitatea noului Regulament nu ar trebi să fie o problemă. La urma urmelor, implementarea GDPR este un proces de project management, similar cu procedurile de obținere a conformității cu diferite standarde.

Avantajul imens oferit de aderarea la GDPR reprezintă o uriașa oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve gap-urile tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

Canalul de distribuție ca ecosistem de informații

Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Și nu în cele din urmă, clienții.

Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date.

Colectarea datelor personale este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare – în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware.

Din punctul de vedere al atribuțiilor  GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesator față de fiecare dintre distribuitorii cu care lucrează. De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități.

Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri.

5 oportunități oferite de GDPR pentru canalele de distribuție

Iată câteva idei care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de aliniere la conformitatea GDPR:

Piața – un sondaj recent arată că 69% dintre companiile europene  nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea, stocarea, arhivarea sau recuperarea datelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor.

Tehnologia – GDPR nu prescrie tehnologii de protecție a datelor – precum un anumit algoritm de criptare, de exemplu – și, prin urmare, nu le exclude automat pe altele. În schimb, se fac recomandări și se prescriu procese, ceea ce oferă mai multă libertate de a alege dintr-o paletă de soluții provenite de la o varietate de furnizori.

Depozite comune de date – nevoia de operativitate și eliminarea duplicatelor ridică oportunitatea consolidării unor depozite comune, unice de date, la care să aibă acces pe bază de protocoale securizate toți jucătorii din sistem, inclusiv posesorii datelor personale.

Marketing și PR – devine vitală pentru creșterea gradului de conștientizare a reglementărilor. Resellerii proactivi se pot adresa clienților înainte de termenul limită, prezentându-le riscurile  și promovându-și propria compatibilitate.

Încrederea  – demonstrați-vă vitalitatea GDPR și veți câștiga în primul rând încrederea clienților. Ajutații să înțeleagă că orice investiție în tehnologie nu îi va ajuta doar la reducerea riscului de, dar și să își asigure continuitatea în business.

Intrarea în vigoare a noului Regulament european poate fi o mare oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve handicapurile operaționale și tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

What cloud providers need to focus on for GDPR compliance

Bart van BUITENEN

Bart van BUITENEN – GDPR, DPO, data protection, CISO, ISO27k – is managing partner of White Wire. Bart is very active in the fascinating world of data protection and privacy, specialized in guiding GDPR implementation projects, GDPR audits, DPIAs, ISO27001 implementations and all things data protection and privacy. White Wire is a boutique consultancy firm specialized in assisting healthcare organizations, SMEs and technology firms all over the EU with their data protection needs.

 

 

If you are a cloud provider, whether or not based in the EU, it is very likely you are processing personal data on European soil or concerning EU-based persons which means the GDPR applies to you. There is even a specific term to indicate a provider that processes personal data on behalf of an organization: the processor.

A lot of the focus has been put on the role of the ‘controller’, the organization responsible for determining the means and purposes for processing, and not enough emphasis is put on the role of the processor. And yet the GDPR changes many things for processors compared to previous data protection legislation, for example with regards to liability, responsibility and several new obligations. Below you will find what I believe to be the most important aspects for cloud providers (assuming they are indeed processors) to work on for GDPR compliance by the 25th of May 2018.

1 Data processing agreements

Controllers provide specific instructions to processors, and such instructions need to be documented in so-called “data processing agreements”. Such agreements are not new: they were also required under the previous European data protection legislation (Directive 95/46, and consequently the applicable member state law) but in practice correct and complete processing agreements are rare finds indeed.

Most organizations were not aware of the requirement for processing agreements, and for cloud providers, this usually meant more work and responsibilities while getting little in return. This has changed in the GDPR: article 28 specifically mentions data processing agreements and details what they should include. Unlike before, cloud providers now have a clear incentive to create processing agreements: the agreement should include the instructions for the cloud provider, and as such will become a very important part in determining liability. (Art. 82(2)).

Tip:

  • be proactive, don’t wait for the controller to mention the agreement first! This way you have an opportunity to propose your own template and at the same time show to your client that you are on top of this GDPR thing.

2 Subcontractors

Data processing agreements need to be in place for your clients, but cloud providers will often have their own subcontractors. In the world of IT, the use of subcontractors is prevalent and many subcontractors will indeed be processors for the cloud provider. From the perspective of the clients using the cloud (the controllers), these subcontractors are then sub-processors. A cloud provider needs to ask the permission of the controller to use sub-processors, something that should be addressed in your processing agreement (see section 1.). Working with sub-processors can be handled in a generic permission or a specific permission per sub-processor. The processor remains liable, so rock-solid agreements with sub-processors should be high on any cloud provider’s list.

Tip:

  • Asking specific permission can be a hassle, ask for a generic permission and offer clients the opportunity to consult (and object to) a complete list of sub-processors at any time, e.g. by providing that list on a specific web page on your site.

3 Record of processing activities

Every controller should maintain a record of processing activities: a tool or document that details the different personal data processing activities within the organization. A lighter version also needs to be maintained by the processor and should involve all the processing activities carried out for its clients.

Tips:

  • Creating such a record or processing activities will provide valuable insight in finding which data you process and should be one of the first actions in a GDPR implementation plan.
  • Organizations sometimes lose themselves in the details, keep in mind GDPR does not require you to map every single data field, and it’s about processing activities which often map very closely with the services being offered to clients.
  • Don’t keep a register per client, just make sure you can link clients to processing activities by including the services you offer per client in your CRM or client database.

4 Transfers outside the EU

When EU personal data is transferred to countries outside the EU, it is important that the data receives the same protections and safeguards as within EU borders. To ensure this, the GDPR includes several mechanisms that make this possible, of which the most prevalent ones are:

  • Adequacy decisions: when the EU has determined that a country outside the EU (or a specific agreement with such a country, e.g. Privacy Shield with the US) offers adequate protection it will take an adequacy decision. Link to current adequacy decisions: http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.htm
  • Binding Corporate Rules (BCR): many multinationals will have establishments in countries outside the EU. BCR document which measures an organization takes to ensure that a transfer of personal data outside the EU, but within the same organization, still offers adequate protection. Data Protection Authorities need to validate BCR before they can be applied
  • Standard Contractual Clauses (SCC): template contracts, validated by the European Commission, that once again contain safeguards that should guarantee adequate protection when personal data are transferred outside the EU. Link to SCC:

http://ec.europa.eu/justice/data-protection/internationaltransfers/transfer/index_en.htm

Tip:

  • Privacy Shield and SCC are under scrutiny and may well be invalidated in the not too distant future. If at all possible, keep data within the EU.

5 Information Security vs data protection

Information security and the protection are not the same. Information security concerns all information, which includes personal data. Data protection concerns all aspects regarding the processing of personal data, which includes securing the information. So there is a clear overlap, but also a significant difference.

That being said, securing the information against unauthorized access, loss or destruction is a very important aspect within GDPR. In short, this aspect of the GDPR can be summarized as maintaining the confidentiality, integrity and availability (also known as CIA) of personal data that a cloud provider processes. Keep in mind that any violation of these CIA principles (e.g. data breaches) will need to result in a notification to the controller, who in turn may need to notify data protection authorities and data subjects if the potential risks of the breach are high enough.

Tip:

  • Align GDPR initiatives to information security governance. For example, the ISO27001 norm can be combined with data protection principles to provide a framework that addresses both information security and data protection.
  • Think about and document a notification procedure BEFORE you actually need it.
  • Review your need to apply a data protection officer (DPO). Even when clients individually don’t need to appoint one, a cloud provider may still need to appoint one.

6 Obligation to assist and notify

Processors are obliged to assist or notify controllers when they have information that a controller needs to fulfil GDPR requirements, such as performing DPIA’s or the before mentioned data breach notifications.

Tip:

  • Document (e.g. in the processing agreement or another contract) how the assistance should take place: how should a request be made, within what timeframe will the cloud provider respond, are there any costs associated with the assistance…?

7 Every processor is also a controller

Keep in mind, it is extremely likely that cloud providers are controllers in their own right. Processes in departments such as HR, Suppliers, Clients all include the processing of personal data and will need to follow GDPR principles.

Tip:

  • Keep separate records of processing activities (see section 3) for controller and processor activities.

Romanian version of this article is part of first GDPR Ready catalogue published in Romania in October 2017. You can view the online version of the catalogue HERE. GDPR Ready Catalogue, pag. 50-53, Agora Group & cloud☁mania, Bucharest, October 2017,

 

A APĂRUT PRIMUL CATALOG GDPR DIN ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloud☁mania anunță publicarea Catalogului GDPR Ready – primul proiect editorial din România dedicat prezentării ofertelor de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Ready face parte din seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 7-a ediție și este o componentă esențială a inițiativei ”GDPR Ready!”

Faceți click pe coperta pentru a citi Catalogul GDPR online!

Din mai 2016 când Parlamentul European a aprobat Regulamentul EU 2016 – 679, GDPR a devenit cuvântul de ordine în toate mediile de business, tehnologice și sociale. Noul Regulament reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem procesatori de date și toți ne vom supune acelorași reguli.

Deși este prin excelență tehnologică, industria IT este unul dintre domeniile în care realizarea conformității cu noul Regulament poate ridica cele mai mari probleme. Marea majoritate a companiilor sunt conștiente de importanța strategică a alinierii la prevederile GDPR, dar foarte puține sunt cu adevărat pregătite de acțiune. Ce au de făcut furnizorii de Cloud pentru a oferi servicii conforme cu GDPR? Dar operatorii de centre de date? Dar companiile de eCommerce și procesatorii de plăți online? Dar firmele de distribuție, canalele de reselleri și retailerii IT? Dar casele de software și ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Există desigur multe lucruri comune pentru toate aceste domenii IT, dar și o multitudine de aspecte particulare.

Pe asta ne-am bazat când ne-am decis ca cea de-a 7 ediție a Catalogului Cloud Computing România să fie dedicată GDPR. Plecând de la vidul de cunoaștere și de coordonare din industria IT, am simțit nevoia editării unui Catalog GDPR Ready care să deservească și să ofere recomandări generale pentru operatorii de date din orice industrie. Catalogul GDPR Ready, este structurat în două părți:

  • Ghidul de orientare rapidă
  • Catalogul recomandărilor de soluții și servicii pentru asigurarea conformității GDPR.

”Ghidul de orientare rapidă” conține 60 de întrebări și răspunsuri structurate astfel încât să asigure o imagine de ansamblu asupra principalelor modificări prezentate de regulament, precum și a zonelor critice pe care trebuie să le cunoaștem în momentul pregătirii conformității, dar vine și cu o serie de recomandări oferite de experți internaționali, asociații guvernamentale și profesionale, precum și firme de analiză și cercetare.  Principalele Capitole acoperite de seria de întrebări despre conformitate se referă la:

  • Importanța GDPR
  • Scurt istoric al protecției datelor personale
  • Principiile GDPR
  • Drepturile persoanelor vizate
  • Protecția datelor personale
  • Evaluarea impactului
  • Transferul internațional de date
  • Asigurarea conformității
  • Notificarea breșelor de securitate și penalitățile aplicate

Ghidul este însoțit de recomandările unor experți care s-au referit la principalele direcții de acțiune pentru furnizorii de Cloud: Bart von Buitenen – managing partner White Wire, Ian Moyse – sales director Natterbox și Board member Cloud Industry Forum, Lucia Ștefan – manager consultant Archiva Ltd (UK) și Attle Skjekkeland – vicepreședinte AIIM Europe, precum și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), CERT.RO, ANSII + câțiva dintre membrii săi și IDC Romania.

A doua secțiune este Catalogul recomandările concrete legate de asigurarea conformității GDPR oferite de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Provision, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire
  • Recomandări și consiliere companii de IT

GDPR zice că organizațiile trebuie să fie conforme chiar începând cu data 25 mai 2018. Dacă vă gândiți că până atunci mai este suficient tip pentru a demara activitățile de implementare a măsurilor necesare pentru asigurarea conformității GDPR, trebuie să țineți cont de faptul că durata medie a unui proces poate fi de PATRU – CINCI luni, în funcție de mărimea organizației și a tipului de date personale procesat. E TIMPUL SĂ TRECEM LA ACȚIUNE CHIAR ACUM! Au mai rămas 215 zile!

 

GDPR Q&A: CELE MAI FRECVENTE ÎNTREBĂRI ȘI RĂSPUNSURI

 

Iată o pagină online interactivă care se înscrie în inițiativa GDPR Ready! Prin interactivitate înțelegem atât actualizarea periodică a conținutului cu noi întrebări și răspunsuri, cât și posibilitatea de inserare de întrebări și răspunsuri care provin de la terțe părți. Oricare dintre dvs. poate contribui prin recomandări și comentarii la continua actualizare a acestei pagini.

Fiecare răspuns va avea menționată sursa. Acolo unde avem mai multe răspunsuri pertinente la aceeași întrebare, le vom publica pe toate, cu menționarea sursei fiecăruia. Pentru o evidență arbitrară, întrebările și răspunsurile vor fi numerotate descendent, astfel încât întotdeauna informația ”cea mai proaspătă” să se regăsească în partea superioară a paginii GDPR Ready Q&A.

Continuăm cu o serie de 13 întrebări legate de DPO, care au ca sursă Anexa documentului Guidelines on Data Protection Officers (‘DPOs’) elaborată de Grupul de lucru Articolul 29 (WP ART29.)

Q23. Care este rolul DPO în legătură cu DPIA și păstrarea evidenței operațiunilor de prelucrare?

În ceea ce privește evaluarea impactului operațiunilor de prelucrare (DPIA), operatorul sau persoana împuternicită de operator solicită avizul DPO în legătură cu următoarele aspecte, printre care:
• dacă să efectueze sau nu DPIA
• ce metodologie să fie folosită la efectuarea DPIA
• dacă să efectueze DPIA intern sau să externalizeze
• ce garanții (inclusiv măsuri tehnice și organizaționale) să pună în aplicare pentru reducerea oricăror riscuri la adresa drepturilor și intereselor persoanelor vizate
• dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă să continue sau nu prelucrarea și ce garanții să pună în aplicare) respectă GDPR.

În ceea ce privește păstrarea unei evidențe a operațiunilor de prelucrare, operatorul sau persoana împuternicită de operator, și nu DPO, are obligația de a păstra o evidență a operațiunilor de prelucrare. Cu toate acestea, nimic nu împiedică operatorul sau persoana împuternicită de operator să atribuie DPO sarcina de a păstra o evidență a operațiunilor de prelucrare în numele operatorului sau persoanei împuternicite de operator. O astfel de evidență trebuie să fie considerată ca fiind unul dintre instrumentele care permit DPO să-și îndeplinească sarcinile de monitorizare a conformității, informare și consiliere a operatorului sau persoanei împuternicite de operator.
Sursa: Art.39,(1)c) și Art. 30 din GDPR

Q22. DPO este personal responsabil pentru nerespectarea cerințelor de protecție a datelor?

Nu. DPO nu este personal responsabil în situația în care există un caz de nerespectare a cerințelor de protecție a datelor. Operatorul sau persoana împuternicită de operator are obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul Regulament. Respectarea normelor de protecție a datelor este o responsabilitate a operatorului sau a persoanei împuternicite de operator.

Q21. Ce înseamnă „monitorizarea conformității”?

Ca parte a acestor sarcini de monitorizare a conformității, DPO poate, în special:

  • să colecteze informații pentru a identifica operațiunilor de prelucrare
  • să analizeze și să verifice conformitatea operațiunilor prelucrare
  • să informeze, să consilieze și să emită recomandări operatorului sau persoanei împuternicite de operator.
    Sursa: Articolul 39(1) b) din GDPR

Q20. Care sunt garanțiile ce-i permit DPO să-și îndeplinească sarcinile în mod independent? Ce înseamnă „conflict de interese”?

Există anumite garanții ce-i permit DPO să acționeze în mod independent:

  • nu primește instrucțiuni de la operator sau persoana împuternicită de operator în ceea ce privește îndeplinirea sarcinilor sale
  • nu este demis sau sancționat de operator pentru îndeplinirea sarcinilor sale
  • nu există conflict de interese cu alte posibile sarcini sau atribuții.

Celelalte sarcini sau atribuții ale DPO nu trebuie să genereze un conflict de interese. Acest lucru
presupune, în special, faptul că DPO nu poate deține o poziție în cadrul organizației care ar conduce la posibilitatea ca DPO să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter
personale. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura
organizațională specifică fiecărei organizații.

Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de
conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului
medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful
departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea
de a stabili scopurile și mijloacelor de prelucrare. În plus, un conflict de interese poate apărea, de
asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau
persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.
Sursa: Art. 38(3) și 38(6) din GDPR

Q19. Care sunt resursele ce trebuie prevăzute de operator sau persoana împuternicită pentru DPO?

DPO trebuie să beneficieze de resursele necesare pentru îndeplinirea sarcinilor sale. În funcție de natura operațiunilor de prelucrare și a activităților și dimensiunii organizației, trebuie asigurate următoarele resurse pentru DPO:
• sprijin activ al funcției DPO din partea managementului superior
• timp suficient pentru DPO în vederea îndeplinirii atribuțiilor sale
• sprijin corespunzător în ceea ce privește resursele financiare, infrastructură (sediu, facilități, echipament) și personal, după caz
• comunicare oficială către toți angajații cu privire la desemnarea DPO
• accesul necesar la alte servicii precum resurse umane, juridic, IT, securitate etc. astfel încât DPO să beneficieze de un sprijin esențial, reacții și informații din partea altor servicii
• pregătire continuă
Sursa: Art. 38(2) din GDPR

Q18. Care sunt calitățile profesionale pe care trebuie să le posede un DPO?

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile.

Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:
• experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a GDPR
• înțelegerea operațiunilor de prelucrare efectuate
• înțelegerea tehnologiilor de informații și de securitate a datelor
• cunoașterea sectorului de afaceri și a organizației
• abilitatea de a promova protecția datelor în cadrul organizației
Sursa: Art. 37(5) din GDPR

Q17. Există posibilitatea desemnării unui DPO extern?

Da. DPO poate fi membru al personalului operatorului sau persoanei împuternicite de operator (DPO intern) sau își poate îndeplini sarcinile în baza unui contract de prestări servicii. Acest lucru înseamnă că DPO poate fi extern și, în acest caz, funcția sa poate fi exercitată în baza unui contract de prestări servicii încheiat cu o persoană fizică sau o organizație.

În situația în care funcția DPO este exercitată de un furnizor de servicii extern, o echipă de persoane fizice angajate ale respectivei entități poate îndeplini eficient sarcinile DPO ca o echipă, sub responsabilitatea unei singure persoane desemnate ca persoană de contact principală și „persoană responsabilă” pentru client. În această situație, este esențial ca fiecare membru al organizației care exercită funcțiile unui DPO să îndeplinească toate cerințele aplicabile potrivit GDPR.

Din motive de claritate juridică și o bună organizare și pentru a preveni conflictele de interes pentru membrii echipei, Ghidul recomandă existența unei alocări clare a sarcinilor în cadrul echipei DPO și desemnarea unei singure persoane ca persoană de contact principală și persoană „responsabilă” pentru fiecare client.
Sursa: Art. 37(6) din GDPR

Q16. Unde poate fi localizat DPO?

Pentru a se asigura că DPO este accesibil, WP29 recomandă ca DPO să fie localizat pe teritoriul UE, chiar dacă operatorul sau persoana împuternicită de operator nu este stabilită pe teritoriul UE. Cu toate acestea, nu poate fi exclus faptul că, în anumite situații în care operatorul sau persoana împuternicită de operator nu are sediul în UE, un DPO își poate îndeplini sarcinile într-un mod mai eficient dacă este localizat în afara UE.

Q15. Mai multe organizații pot numi un DPO comun? Daca da, în ce condiții?

Da. Un grup de întreprinderi poate numi DPO unic, cu condiția ca aceasta să fie „ușor accesibil din fiecare întreprindere”. Noțiunea de accesibilitate se referă la sarcinile DPO ca punct de contact în ceea ce privește persoanele vizate, autoritatea de supraveghere, dar și pe plan intern în cadrul organizației. Pentru a se asigura că DPO, intern sau extern, este accesibil, este important să se asigure că datele de contact ale acestuia sunt disponibile.

DPO, cu ajutorul unei echipe, dacă este necesar, trebuie să fie în măsură să comunice eficient cu persoanele vizate și să coopereze cu autoritățile de supraveghere implicate. Acest lucru înseamnă că respectiva comunicare trebuie să aibă loc în limba sau limbile utilizate de autoritățile de supraveghere și persoanele vizate. Disponibilitatea unui DPO (fie fizică în același sediu cu angajații, prin intermediul unei linii telefonice sau prin alte mijloace sigure de comunicare) este esențială pentru a garanta că persoanele vizate vor fi în măsură să contacteze DPO.

Se poate desemna un singur DPO pentru mai multe autorități sau organisme publice, luând în considerare structura organizatorică și dimensiunea acestora. Sunt aplicabile aceleași considerente cu privire la resurse și comunicare. Având în vedere că DPO este responsabil pentru o varietate de atribuții, operatorul sau persoana împuternicită de operator trebuie să se asigure că un DPO unic, cu ajutorul unei echipe, poate efectua aceste competențe în mod eficient în ciuda faptul că este desemnat pentru mai multe autorități și organisme publice.
Sursa: Art. 37(2) și (3) din GDPR

Q14. Ce înseamnă „monitorizare periodică și sistematică”?

Noțiunea de monitorizare periodică și sistematică nu este definită în GDPR, dar include în mod clar toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restricționată în mediul online.

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; e-mail de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:
• în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
• recurente sau repetate la perioade fixe
• constante sau care au loc periodic

WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:
• apărut conform sistemului
• prearanjat, organizat sau metodic
• luând loc ca parte a unui plan general de colectare a datelor
• efectuat ca parte a unei strategii
Sursa: Art.37(1)b) din GDPR

Q13. Ce înseamnă „pe scară largă”?

GDPR nu definește ce constituie prelucrarea pe scară largă. WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă:
• numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
• volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
• durata sau permanența activității de prelucrare a datelor
• suprafața geografică a activității de prelucrare

Exemple de prelucrări pe scară largă includ:
• prelucrarea datelor pacienților în activitatea regulată a unui spital
• prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
• prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în
• furnizarea serviciilor de acest tip prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
• prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
• prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau servicii de Internet

Exemple ce nu constituie de prelucrări pe scară largă includ:
• prelucrarea datelor pacientului de către un medic individual
• prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un avocat individual
Sursa: Art. 37(1) b și c) din GDPR

Q12. Ce înseamnă „activitate principală”?

„Activitățile principale” pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Acestea includ, de asemenea, toate activitățile în care prelucrarea de date reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator. De exemplu, prelucrarea datelor privind starea de sănătate, cum ar fi dosarele medicale ale pacientului ar trebui să fie considerată a fi una dintre activitățile principale în orice spital și, prin urmare, spitalele trebuie să desemneze un DPO.
Pe de altă parte, toate organizații efectuează anumite activități, spre exemplu, plata angajaților lor sau deținerea de activități standard de suport IT. Acestea sunt exemple de funcții de sprijin necesare pentru activitatea de bază sau principală a organizației. Chiar dacă aceste activități sunt necesare sau esențiale, acestea sunt de obicei considerate mai degrabă funcții auxiliare decât activitate principală.
Sursa: GDPR Art. 37(1) b și c)

Q11. Ce organizații trebuie să numească un DPO?

Numirea unui DPO este o obligație dacă:
• prelucrarea este efectuată de o autoritatea publică sau un organism public (indiferent de datele prelucrate)
• activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă
• activități principale ale operatorului sau persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.

În cele din urmă, chiar și în cazul în care desemnarea unui DPO nu este obligatorie, organizațiile pot considera, uneori, ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 în domeniul protecției datelor („WP29“) încurajează aceste eforturi voluntare. Atunci când o organizație desemnează un DPO în mod voluntar, sunt aplicabile aceleași cerințe privind numirea, poziția și sarcinile ca și cum desemnarea ar fi obligatorie.
Sursa: Art. 37(1) din GDPR

Q10: Care sunt penalitățile pentru ne-conformitate?

Organizațiile pot fi penalizate cu până la 4% din veniturile globale anuale sau cu suma de 20 Milioane Euro. Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, precum de exemplu, lipsa unui consimțământ clar al clientului pentru procesarea datelor sau încălcarea elementelor esențiale ale conceptului Confidențialitate prin design. Există totuși o abordare graduată a amenzilor, de exemplu unei societăți i se poate aplica o amendă de 2% (din venitul global anual – nn) dacă nu are înregistrările în ordine (Articolul 28), dacă nu notifică autoritatea de supraveghere și persoana vizată despre o încălcare sau dacă nu efectuează o evaluare a impactului. Este important să rețineți că aceste reguli se aplică atât controlorilor (operatorilor de date – nn), cât și procesatorilor – adică furnizorii de Cloud nu vor fi scutiți de aplicarea GDPR.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

 

Q9: Care este structura GDPR?

Noul Regulament este structurat pe 9 Capitole și 91 de Articole dispuse astfel:

  • Capitolul I Dispoziții generale: Articolele 1-4;
  • Capitolul II Principii: Articolele 5-11;
  • Capitolul III Drepturile subiectului de date: Articolele 12-23;
  • Capitolul IV Controlor și procesor: Articolele 24-43;
  • Capitolul V Transferul datelor cu caracter personal către țări terțe: Articolele 44-50;
  • Capitolul VI Autorități independente de supraveghere: Articolele 51-59;
  • Capitolul VII Cooperarea și coerența: Articolele 60-76;
  • Capitolul VIII Restituiri Obligații și sancțiuni: Articolele 77-84;
  • Capitolul IX Dispoziții referitoare la situațiile specifice de prelucrare: Articolele 85-91.

Sursa: cloudmania*

 

Q8: Sunt operator de date cu caracter personal?

Operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de drept privat care stabilește scopul şi mijloacele prelucrării. Aceasta înseamnă că operatorul a decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace automate, precum şi prin alte mijloace decât cele automate. De asemenea, persoana fizică sau juridică poate fi desemnată ca operator printr-un act normativ sau în baza unui act normativ care determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o prelucrare să intre sub incidenţa prevederilor Legii nr. 677/2001 este necesar ca ea să se desfăşoare în cadrul unui sistem de evidenţă. Prin sistem de evidenţă se înţelege o bază de date, structurată potrivit unor criterii, criterii pe baza cărora datele pot fi accesate (de exemplu, pe criteriul alfabetic).     

Sursa: Site ANSPDCP http://www.dataprotection.ro/?page=IntrebariFrecvente1

 

Q7: Rolul de Data Protection Officer (DPO) e mai potrivit pentru o persoană tehnică sau una non-tehnică?

Un DPO trebuie să înțeleagă un mare număr de probleme tehnice, dar nu trebuie să fie neapărat o persoană tehnică. Acesta ar trebui să fie de fapt o persoană cu o largă orientare, deoarece trebuie să înțeleagă implicațiile afacerii și cum să vorbească și să comunice cu persoane externe, cum ar fi autoritățile de supraveghere. În organizațiile mai mari, în jurul unui DPO se constituie practic un grup, un număr de persoane pe care poate să-i ajute. Sunt companii care au echipe de 2 sau 3 persoane cu responsabilități asemănătoare DPO și care formează biroul responsabilului cu protecția datelor.

Sursa: cloudmania*

 

Q6: Ce înseamnă ”Pseudonimizarea”?

“Pseudonimizarea” este un termen întâlnit în cadrul conceptului ”Privacy by design” și se referă la prelucrarea datelor cu caracter personal în așa fel încât datele personale nu mai pot fi atribuite unui anumit subiect de date fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și măsuri organizatorice pentru a se asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Cu alte cuvinte, datele personale utilizate pentru diferite procesări de business nu mai pot fi atribuite unei persoane identificabile, ci au ca echivalent un pseudonim, fie că pentru aceasta se folosesc denumiri, coduri numerice sau altfel de identificatori. Important este ca listele care fac asocierea între peroanele vizate și pseudonimele acestora să fie accesibile unui număr restrâns de persoane din cadrul operatorilor de date și a partenerilor de procesare. Listele de pseudonime trebuie de asemenea să facă obiectul unor măsuri tehnice și măsuri organizatorice speciale, pentru a ne asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile.

Sursa: cloudmania*

 

Q5: Care este diferența dintre un procesator de date și un controlor de date?

Controlorul (operatorul – nn) este o entitate care determină scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, în timp ce procesatorul este o entitate care prelucrează date cu caracter personal în numele controlorului.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

 

Q4: Pe cine va afecta GDPR?

A1: GDPR se aplică nu numai organizațiilor cu sediul în statele membre ale Uniunii Europene, ci va fi valabilă și pentru organizațiile din afara UE dacă acestea oferă bunuri sau servicii, sau monitorizează comportamentul unor persoane vizate localizate în UE. Se aplică tuturor companiilor care procesează și stochează datele personale ale subiecților care au locuința de bază în Uniunea Europeană, indiferent de locația companiei
Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: Regulamentul se aplică controlorilor (operatorilor) și procesatorilor din UE, indiferent de locul în care au loc prelucrările de date.

Regulamentul se aplică în cazul activităților de prelucrare care au legătură cu:

  • Oferirea de bunuri sau servicii, indiferent dacă se solicită o plată a acestor oferte;
  • Monitorizarea comportamentului persoanelor vizate în cadrul UE, atâta vreme cât elementele comportamentului se referă la activitățile derulate de subiecți pe teritoriul Uniunii Europene.

Se aplică operatorilor care nu se află în UE, dar într-un teritoriu în care se aplică legislația statelor membre, în virtutea dreptului public internațional.

Sursa: GDPR, Article 3: Territorial scope

 

Q3: Ce reprezintă date personale?

A1: Orice informație referitoare la o persoană fizică sau la o “persoană vizată”, care poate fi utilizată pentru identificarea directă sau indirectă a persoanei (…constituie date personale –nn). Poate fi orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri de socializare, informații medicale sau o adresă IP a computerului.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: “date cu caracter personal”- înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

Sursa: GDPR, Article 4: Definitions

Q2: Care este diferența dintre un regulament și o directivă?

A1: Un regulament este un act legislativ obligatoriu. Acesta trebuie aplicat în întregime în întreaga UE, în timp ce o directivă este un act legislativ care stabilește un obiectiv pe care toate țările UE trebuie să-l atingă. Cu toate acestea, depinde de fiecare țară să decidă cum. Este important de menționat că GDPR este un regulament, spre deosebire de legislația anterioară, care este o directivă.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: În dreptul european există două tipuri principale de legislație:

Directive:

  • Implementarea individuală în fiecare stat membru;
  • Implementat prin crearea de legi naționale aprobate de parlamentele fiecărui stat membru;
  • Directiva europeană 95/46 / CE este o directivă;
  • Legea 677 din 2001 este echivalentul Directivei 95/46 cu aplicabilitate pe teritoriul României.

 Regulamente:

  • Cu aplicabilitate imediată în fiecare stat membru
  • Nu impune nicio legislație locală de punere în aplicare
  • UE 2016-679 este un Regulament care va intra în vigoare în data de 25 Mai 2018.

Sursa: cloudmania*

Q1: Când va intra în vigoare GDPR?

Noul Regulament european privitor la protecția datelor personale și la libera circulație a acestora este discutat de noi sub denumirea generică internatională de GDPR (General Data Protection Regulation). GDPR a fost aprobat de Parlamentul European în aprilie 2016 și va intra în vigoare după doi ani de tranziție de la publicarea oficială, începând cu data de 25 mai 2018.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

Notă: Răspunsurile care au menționată ca sursă CloudMania* reprezintă fie propriile nostre răspunsuri, fie conținut preluat de pe site-uri publice neutre sau de la parteneri care prin acordurile de confidențialitate nu pot fi menționați în aceste condiții. Vom încerca să păstrăm aceste infomații cât mai exacte, prin respectarea sursei de  informare.

 

Un nou ghid orientativ publicat de ANSPDCP

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat acum câteva zile lansarea unui nou ghid practic destinat operatorilor de date.

Ghidul a fost anunțat și a fost postat pe site-ul Autorității cu ocazia unei Mese Rotunde, intitulată “Aplicarea Noului Regulament General privind Protecția Datelor în sectorul public – obligații și responsabilități”, organizată pe 22 septembrie 2017 la Palatul Parlamentului. Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor poate fi consultat în cadrul secțiunii speciale dedicată Regulamentului General privind Protecția Datelor, pe site-ul ANSPDCP.

Acest Ghid este oferit ca un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Noul regulament va intra în vigoare începând cu 25 mai 2018, dată la care se abrogă Directiva 95/46/CE (Regulamentul General privind Protecția Datelor) în toate statele membre ale Uniunii Europene.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecţia datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenţa păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecţia Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

Iată o listă succintă a materialelor care pot fi consultate și descărcate de pe site-ul Autorității:

Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

Drepturile persoanelor vizate – Extras din Regulamentul nr. 679/2016

Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (pliant)

Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (broșură)

Responsabilul cu protecția datelor

Ghidului orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor

Ghiduri finale ale Grupului de Lucru Art. 29

Informații complete pe site-ul ANSPDCP

 

GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune

AU MAI RĂMAS 251 zile!

Noul regulament pe care îl discutam sub titulatura generica de GDPR vine cu o nouă viziune asupra responsabilității pe care trebuie să și-o asume operatorii de date personale. În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabiltatea pe care și-o asumă, dar trebie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate. 

Iată-ne ajunși la cel de-al 8-lea articol din seria GDPR Explicitat. După ce în articolul precedent am prezentat și comentat dreptul la portabilitatea datelor, dreptul la obiecție și drepturile legate de luarea automată a deciziilor și profilare,  continuăm cu prezentarea de informații privitoare la noul model de responsabilitate și guvernanță  în viziunea GDPR.

În esență, GDPR include prevederi care promovează responsabilitatea și guvernanța. Acestea completează cerințele de transparență ale GDPR discutate de noi încă din articolul: ”GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților” https://cloudmania2013.com/2017/07/10/gdpr-explicitat-respectati-principiile-si-demonstrati-va-conformitatea-activitatilor/

Am facut acolo un prim comentariu despre principiul responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Dar, în opinia mea, noțiunea de ”accountability”, introdusă în textul original al GDPR  înseamnă puțin mai mult decât o simplă ”responsabilitate”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabilitatea pe care și-o asumă, dar trebuie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate.  Se așteaptă să se instituie măsuri de guvernanță cuprinzătoare, dar proporționale.

Instrumentele de bună practică pe care organismele europene de reglementare le-au susținut de mult timp, cum ar fi evaluările impactului asupra vieții private și viața privată după proiectarea procesarii datelor, sunt acum cerute din punct de vedere legal în anumite circumstanțe.

În cele din urmă, aceste măsuri ar trebui să minimizeze riscul de încălcare și să susțină protecția datelor cu caracter personal. Practic, acest lucru ar însemna mai multe politici și proceduri pentru organizații, deși multe organizații vor avea deja măsuri de bună guvernanță.

În ce constă principiul responsabilității?

Noul principiu de responsabilitate prevăzut la Articolul 5, Alineatul (2) impune să demonstrați că respectați principiile și să menționați în mod explicit că aceasta este responsabilitatea dvs.

Cum pot să îmi demonstrez responsabilitatea? Lucrurile nu trebuie sa fie foarte complicate, atâta timp cât se respectă o serie de proceduri de implementare a măsurilor tehnice și organizatorice adecvate care să asigure și să demonstreze că vă conformați. Acestea pot include politici interne de protecție a datelor, cum ar fi formarea personalului, audituri interne ale activităților de prelucrare și revizuiri ale politicilor interne în materie de resurse umane.

Iată o serie de recomandări:

  • Mențineți o documentația relevantă privind activitățile de procesare a datelor cu caracter persoanal;
  • Dacă este cazul, numiți un ofițer de protecție a datelor – vom discuta într-un articol viitor despre situațiile în care se recomandă numirea unui DPO.
  • Implementați măsurile care respectă principiile protecției datelor prin proiectare și protecția datelor în mod implicit (data protection by design and by defaut)

Aceste măsuri ar trebui să includă:

  • Minimizarea datelor;
  • Pseudonimizarea;
  • Transparență;
  • Transparență în monitorizarea procesării;
  • Crearea și îmbunătățirea funcțiilor de securitate în mod continuu;
  • Evaluări de impact privind protecția datelor;
  • Respectarea codurilor de conduită aprobate și / sau sistemele de certificare.

 

Evidența activităților de prelucrare

Aceasta este prima procedură care trebuie inițiată, indiferent de profilul dvs de activitate sau natura datelor personale și scopul prelucrării acestora. În oricare dintre situații aveți obligația de a furniza politici de confidențialitate complete, clare și transparente. Dacă organizația dvs. are mai mult de 250 de angajați, trebuie să păstrați înregistrări interne suplimentare ale activităților de procesare.

În cazul în care organizația dvs. are mai puțin de 250 de angajați, sunteți obligat să păstrați doar evidența activităților legate de prelucrarea datelor cu risc sporit, cum ar fi:

  • prelucrarea datelor cu caracter personal care ar putea duce la un risc pentru drepturile și libertățile individului;
  • procesarea unor categorii speciale de date, precum condamnări și infracțiuni penale.

De ce trebuie să înregistrăm tot ceea ce prelucrăm?

Cea mai elementară procedură internă este  înregistrarea și păstrarea evidenței oricărei activități de procesare. Conform Articolului 30, Alineatul 1 trebuie să înregistrați și să aveți o evidență clară a următoarele informații:

  • numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
  • scopurile prelucrării;
  • descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
  • acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

După intrarea în vigoare a noului Regulament este posibil să vi se solicite ca aceste înregistrări să fie puse la dispoziția autorității de supraveghere competente în cazul unei investigații. În vederea demonstrării conformităţii cu prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate în responsabilitatea sa.

Fiecare operator şi fiecare persoană împuternicită de operator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective. Conform Articolului 30, Alineatul 2, aceste evidențe trebuie să includă:

  • numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane), precum şi ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
  • categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în format electronic. Operatorul sau persoana împuternicită de acesta, precum şi, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.

De reținut că obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau organizaţii cu mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la Articolul 9, Alineatul 1, sau date cu caracter personal referitoare la condamnări penale şi infracţiuni, cum se menţionează la Articolul 10.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de destul de controversata prevedere cunoscută ca ”Data protection by design and by default

Articole anterioare:

GDPR explicitat (7): Dreptul la portabilitatea datelor, obiecții și luarea automată a deciziilor

AU MAI RĂMAS 259 zile!

Noul regulament pe care îl discutam sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana. GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat, de acces, de rectificare, de ștergere,  de a restricționa procesarea, dreptul la portabilitatea datelor,  la obiecții, precum și drepturi legate de luarea automatizată de decizii și profilare.

Iată-ne ajunși la cel de-al 7-lea articol din seria GDPR Explicitat. După ce în articolul precedent am prezentat și comentat dreptul de acces, rectificare, ștergere sau restricționare, continuăm cu prezentarea drepturilor și a excepțiilor legate de dreptul la portabilitatea datelor, dreptul la obiecție și dreptul de a decide dacă datele personale pot fi incluse în operațiuni de prelucrare automatizată și profilare.

Dreptul la portabilitatea datelor

Dreptul la portabilitatea datelor permite persoanelor să obțină și să reutilizeze datele lor personale în scopuri proprii în cadrul diferitelor servicii. Acest drept permite mutarea, copierea sau transferul datele personale cu ușurință de la un mediu IT la altul, într-un mod sigur. Multe organizații europene oferă deja servicii de portabilitate a datelor, care permit persoanelor interesate să  vizualizeze, să acceseze și să utilizeze datele personale de consum și tranzacții într-un mod portabil și sigur. Mai mult, există operatori internaționali care permit consumatorilor să profite de aplicații și servicii care pot utiliza aceste date pentru a le găsi o afacere mai bună sau pentru a le ajuta să-și înțeleagă obiceiurile de cheltuieli.

Conform Articolului 20, persoana vizată are dreptul să transmită date cu caracter personal altui operator de date. Operatorul de date trebuie să furnizeze persoanei vizate o copie a datelor cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. Mai mult, operatorul de date nu trebuie să împiedice transmiterea datelor cu caracter personal unui nou operator de date.

Dreptul de portabilitate a datelor se aplică numai în cazul în care:

  • datele sunt procesate prin mijloace automate;
  • persoana vizată a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru a îndeplini condițiile stipulate printr-un contract.

Ce trebuie să facem pentru a asigura conformitatea cu acest drept? La solicitarea explicită a persoanei vizate trebuie să furnizăm datele personale într-o formă structurată, utilizată frecvent și care poate fi citită în mod automatizat.  Formatele deschise includ fișierele CSV. Prin intermediul unei mașini de citire se înțelege că informațiile sunt structurate astfel încât software-ul să poată extrage elemente specifice ale datelor. Acest lucru permite altor organizații să utilizeze datele. Informațiile trebuie furnizate gratuit.

Este posibil să ni se solicite să transmitem datele direct unei alte organizații, dacă acest lucru este fezabil din punct de vedere tehnic. Cu toate acestea, nu suntem obligați să adoptăm sau să menținem sisteme de procesare care sunt compatibile din punct de vedere tehnic cu alte organizații. Dacă datele personale se referă la mai multe persoane, trebuie să verificăm dacă furnizarea informațiilor ar aduce atingere drepturilor oricărei alte persoane.

În cât timp trebuie să răspundem solicitărilor de portare? Avem la dispoziție, fără întârzieri nejustificate, o perioadă de o lună, de la primirea solicitării. În cazul în care primim o cerere mai complexă, care include și alte tipuri de solicitări, timpul de răspuns poate ajunge la două luni. În cazul în care, din diferite motive, nu putem să furnizăm un răspuns la o cerere, trebuie să explicăm solicitantului că are dreptul de a se plânge autorității de supraveghere și de a deschide o cale de atac, fără întârzieri nejustificate și cel mult într-o lună.

Pentru o mai buna informare despre Dreptul la portabilitatea datelor, cititi si indrumarul “Guidelines on the right to data portability” realizat de Grupul de lucru ARTICLE 29 DATA PROTECTION si publicat si pe site-ul ANSPDCP la sectiunea Ghiduri ale Grupului de Lucru Art.29. 

Dreptul de a ridica obiecții

Unul dintre principalele drepturi ale persoanei vizate, stipulate de GDPR este dreptul la obiecții sau de a se opune anumitor tipuri de prelucrări.

Care sunt aceste tipuri de prelucrări ale persoanelor vizate? Conform Articolului 21 persoana vizată are dreptul de a se opune la:

  • prelucrarea datelor personale în scopuri de marketing direct;
  • prelucrarea datelor pentru realizarea de profiluri;
  • prelucrarea datelor prin mijloace automate;
  • prelucrarea în scopuri științifice sau istorice.

Situațiile de excepție care anulează dreptul la obiecții al persoanelor vizate apar atunci când, în calitatea de operator de date personale, putem să demonstrăm că există motive legitime convingătoare pentru susținerea prelucrării, care depășesc interesele, drepturile și libertățile persoanei vizate. Alte situații de excepție sunt motivate de stabilirea, exercitarea sau apărarea unor revendicări legale sau în situațiile în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public.

Haideți să discutăm puțin câteva dintre aceste situații de excepție.

Dacă scopul primar al procesării datelor personale este de natură legală sau în interesul legitim al organizației noastre – în momentul în care primim vreo obiecție legată de natura acestor procesări, trebuie să încetăm prelucrarea datelor respective numai dacă nu putem demonstra cu claritate că prelucrarea se face pentru stabilirea, exercitarea sau apărarea revendicărilor legale. Toate acestea trebuie explicate clar și concis persoanei vizate care a ridica vreo obiecție.

Dacă facem procesarea de date personale în scop de marketing direct, trebuie să încetăm orice operațiune de prelucrare de îndată ce primim o obiecție. În aceste situații nu există excepții sau motive de refuz pentru luarea în considerare a unei obiecții. Trebuie să răspundem obiecțiilor împotriva procesării în scopuri de marketing direct cât mai rapid și în mod gratuit. Chiar dacă în anumite circumstanțe a exist un consimțământ inițial pentru prelucrarea datelor, ridicarea unei obiecții explicite pentru interzicerea prelucrării datelor personale în scopuri de marketing direct trebuie acceptată fără întârziere și comunicată persoanei vizate ”în mod clar și separat de orice altă informație”. Toate aceste condiții trebuie stipulate de la bun început, chiar prin contractual de confidențialitate.

Dacă procesăm date personale în scopuri legate de cercetare științifică sau istorică, sau în scopuri statistice, persoanele fizice trebuie să aibă “motive legate de situația lor particulară” pentru a-și exercita dreptul de a se opune prelucrării în scopuri de cercetare. Dacă scopul principal al proiectului de cercetare este legat în mod direct de îndeplinirea unei sarcini de interes public, nu suntem obligați să ne conformăm unei obiecții față de prelucrarea datelor. Evident că această situație și motivarea clară și precisă a naturii cercetării trebuie comunicate în cel mai scurt timp persoanei vizate care s-a opus prelucrării.

Drepturi legate de luarea automată a deciziilor și profilare

Iată o categorie specială de drepturi, prezentă în legislația anterioară dar mult mai bine explicitată prin noul Regulament  GDPR, care oferă persoanelor fizice garanții împotriva riscului ca o decizie potențial dăunătoare să fie luată fără intervenția omului.

Ce avem de făcut pentru asigurarea conformității cu acest drept? Nu trebuie decât să identificăm  dacă oricare dintre operațiunile noastre de procesare include un proces automat de luare a deciziilor și, bineînțeles, trebuie să ne actualizăm procedurile,  pentru a răspunde cerințelor GDPR.

Când se aplică acest drept? Conform Articolului 22, persoanele fizice au dreptul de a nu face obiectul unei decizii atunci când aceasta se bazează pe prelucrarea automată și poate produce un efect juridic sau un efect semnificativ similar asupra individului.

Dreptul se aplică tuturor deciziilor automate? Nu. Dreptul nu se aplică în cazul în care decizia:

  • este necesară pentru încheierea sau executarea unui contract între dvs. și persoana fizică;
  • este autorizată prin lege (de exemplu, în scopuri de fraudă sau prevenirea evaziunii fiscale)
  • pe baza consimțământului explicit. (Articolul 9, Alineatul (2));
  • atunci când o decizie nu are un efect legal sau similar semnificativ asupra unei persoane.

Ce reprezintă profilarea, în viziunea GDPR?

GDPR definește profilarea ca orice formă de procesare automată destinată să evalueze anumite aspecte personale ale unei persoane, în special pentru a le analiza sau a prezice:

  • performanța la locul de muncă;
  • situația economică;
  • starea de sănătate;
  • preferințele personale;
  • fiabilitatea;
  • comportamentul;
  • locația
  • deplasările.

La prelucrarea datelor cu caracter personal în scopuri de realizare a unui profil, trebuie să ne asigurăm că există garanții adecvate și să respectăm o serie de proceduri:

  • Trebuie mai întâi să ne asigurăm că procesarea este corectă și transparentă prin furnizarea de informații semnificative despre logica implicată, precum și despre semnificația și consecințele avute în vedere;
  • De preferat să folosim procedurile matematice sau statistice adecvate pentru profilare;
  • Se recomandă implementarea măsurilor tehnice și organizatorice adecvate care să ne permită remedierea erorilor și minimizarea riscului de eroare;
  • Trebuie să asigurăm datele personale într-o manieră proporțională cu riscul pentru interesele și drepturile individului și să prevenim efectele discriminatorii.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de Responsabilitate și Guvernanță în viziunea GDPR.

Articole anterioare:

GDPR explicitat (6): Dreptul de acces, rectificare, ștergere sau restricționare

AU MAI RĂMAS 295 zile!

Noul regulament pe care noi îl discutam sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana.  GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat, de acces, de rectificare, de ștergere,  de a restricționa procesarea, dreptul la portabilitatea datelor,  la obiect, precum și drepturi legate de luarea de decizii automatizate și de profilare.

După ce în articolul precedent am prezentat și comentat dreptul de a fi informat și transparența comunicării, continuăm trecerea în revistă a celorlalte drepturi.

Dreptul de acces

Ce informații poate o persoană să ne solicite conform GDPR?

Conform GDPR orice persoană vizată poate solicita dreptul de acces la datele personale, în anumite condiții.  În mare aceste drepturi se regăsesc și în prevederile legislației anterioare.

Astfel, potrivit Articolului 15: ”Dreptul de acces de către persoana vizată”, pot fi solicitate următoarele tipuri de  informații:

  • care e scopul prelucrării datelor personale?
  • ce categorii de date cu caracter personal sunt în cauză;
  • care sunt destinatarii cărora le-au fost furnizate datele cu caracter personal;
  • care este perioada pentru care vor fi stocate datele cu caracter personal;
  • dreptul la rectificare, ștergere, obiecție sau restricție;
  • dreptul de a depune o plângere la o autoritate de supraveghere;
  • în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la originea lor.

Care este scopul asigurării dreptului de acces?

În noua formulare, GDPR preia în mare parte prevederile existente, în virtutea faptului că orice persoană vizată trebuie să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele privind sănătatea, de exemplu datele din registrele medicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau intervenţie efectuată.

Orice persoană vizată trebuie să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, și dacă este posibil, perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări.

Putem percepe vreo taxă pentru furnizarea datelor?

Vechile prevederi ale Legi 677/ 2001 arătau că o persoană putea solicita accesul la date în mod gratuit doar o data pe an. Actualul regulament nu specifică perceperea vreunei taxe, dar lasă libertatea fiecărui membru UE să stabilească în ce condiții pot fi percepute anumite taxe, mai ales când implică un volum considerabil de lucru din partea operatorului sau atunci când o cerere este vădit nefondată, excesivă sau repetitivă.

În cât timp trebuie să furnizăm informațiile solicitate?

Regulamentul oferă operatorilor o perioadă rezonabilă de până la o lună pentru a răspunde  solicitărilor de acces la datele personale. În anumite situații, acest termen poate fi prelungit cu încă o lună, dar suntem obligați în acest caz să anunțăm persoanele vizate de această prelungire, cu justificările de rigoare în termen de cel mult o lună de la primirea solicitării.

Cum putem furniza  informațiile?

În mod normal, trebuie să verificăm mai întâi identitatea persoanei care depune cererea, folosind „mijloace rezonabile“. În cazul în care cererea se face electronic, ar trebui să furnizăm informațiile tot într-un format electronic utilizat în mod obișnuit. Față de prevederile anterioare, GDPR vine cu o idee inovatoare: acolo unde este posibil, noi ca operatori de date ar trebui să putem furniza acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software (GDPR – Considerentul 63). Deși acest tip de acces nu este posibil în toate cazurile, există unele sectoare în care acest lucru ar fi posibil, prin integrarea în sistemele CRM.

Dreptul la rectificare

Ce este dreptul la rectificare?

Conform Articolului 16: ”Dreptul la rectificare” ”Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.”

Când pot fi rectificate datele personale?

Persoanele vizate au dreptul de a ne solicita rectificarea datelor personale, în cazul în care acestea sunt inexacte sau incomplete și în special când datele personale nu au fost colectate direct. Perioada de timp alocată de regulament pentru rectificarea datelor este de maxim o lună, cu posibilitatea extinderii la două luni, în condiții speciale. În cazul în care nu se iau măsuri ca răspuns la o cerere de rectificare, trebuie să ca persoana vizată să fie informată de cauzele speciale existente  și în cazul în care nu se ajunge la o înțelegere, trebuie să știe că are dreptul de a depune o plângere la autoritatea de supraveghere și la o cale de atac.

 

Dreptul la ștergere sau ”Dreptul de a fi uitat”

Ce este dreptul la ștergere?

Dreptul la ștergerea datelor personale face parte din noile prevederi introduse de GDPR. Cunoscut în special ca „dreptul de a fi uitat“, acesta se bazează pe principiul de a garanta oricărui individ libertatea de a  face ce vrea cu datele sale personale, inclusiv de a le șterge, dacă nu există un motiv convingător sau special pentru continuarea procesării și stocării acestora.

Când ni se poate solicita dreptul la ștergere?

Conform Articolului 17, Alineatul 1: Dreptul la ștergerea datelor (“dreptul de a fi uitat”), persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal, fără întârzieri nejustificate, iar noi ca operatori avem obligaţia de a şterge datele cu caracter personal, în cazul în care există unul dintre motivele:

  • datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate;
  • persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea;
  • persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) dreptul la opoziție
  • există neclarități legate de legalitatea prelucrării datelor cu caracter personal;
  • datele trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului;
  • datele cu caracter personal aparțin unor copii, cu vârsta sub 16 ani.

În Articolul 17, Alineatul 2 se ia în discuție cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă. Ce trebuie să facem în acest caz? În funcție de tehnologia disponibilă şi de costul implementării, trebuie să luăm ”măsuri rezonabile”, inclusiv măsuri tehnice, pentru a informa toți procesatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

Trebuie să mai reținem faptul că dreptul la ștergere nu asigură și o aplicare absolută a „dreptului de a fi uitat“. Persoanele fizice au dreptul de a dispune cum doresc de datele cu caracter personal șterse, le pot încredința unui alt operator, le pot actualiza și pregăti pentru alte tipuri de prelucrări.

Când putem refuza să dăm curs unei cereri de ștergere a datelor?

Situațiile în care prevederile de la Alineatele 1 și 2 nu se aplică sunt explicitate la Alineatul 3, unde se consideră ca situații de excepție cele în care prelucrarea este necesară pentru:

  • exercitarea dreptului la liberă exprimare şi la informare;
  • respectarea unei obligaţii legale;
  • motive de interes public în domeniul sănătăţii publice (Articolul 9, Alineatul 2, Literele h şi i și Articolul 9, Alineatul 3);
  • scopuri de arhivare în interes public, cercetare ştiinţifică sau istorică ori în scopuri statistice (Articolul 89, Alineatul 1);
  • constatarea, exercitarea sau apărarea unui drept în instanţă.

Dreptul la restricționare

Când ni se poate solicita dreptul la restricționarea prelucrării?

Conform Articolului 18: Dreptul la restricţionarea prelucrării, persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării într-unul dintre cazurile:

  • se contestă exactitatea datelor, pentru o perioadă care ne permite ca operator să verificăm exactitatea datelor în cauză;
  • prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
  • ca operatori nu mai avem nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată ni le solicită pentru o acțiune în instanţă;
  • persoana vizată s-a opus prelucrării (Articolul 21, Alineatul 1) pentru intervalul de timp în care se verifică dacă drepturile noastre legitime ca operatori prevalează asupra celor ale persoanei vizate.

Dacă prelucrarea a fost restricţionată în temeiul Alineatului 1, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimțământul persoanei vizate. De asemenea, conform Alineatului 3, avem datoria ca o persoană vizată care a obţinut restricţionarea prelucrării în temeiul Alineatului 1, să fie informată din timp, înainte de ridicarea restricţiei de prelucrare.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de Articolul 20 din GDPR: ”Dreptul la portabilitatea datelor”.

Articole anterioare:

GDPR explicitat (5): Dreptul de a fi informat si Ce informații trebuie trimise

 

AU MAI RĂMAS 300 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. 

Noul regulament pe care noi îl abordăm aici sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana.

Astfel, GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale:

  1. Dreptul de a fi informat
  2. Dreptul de acces
  3. Dreptul la rectificare
  4. Dreptul de ștergere
  5. Dreptul de a restricționa procesarea
  6. Dreptul la portabilitatea datelor
  7. Dreptul la obiect
  8. Drepturi legate de luarea de decizii automatizate și de profilare

 

Dreptul de a fi informat

 

Ce este Dreptul de a fi informat?

Dreptul de a fi informat se refera la obligația  de a furniza “informații corecte de procesare”, de obicei printr-o notificare privind confidențialitatea. Acesta subliniază nevoia de transparență în ceea ce privește modul în care utilizați datele cu caracter personal.

 

Ce informații trebuie furnizate subiecților prelucrării?

Să presupunem că sunt un operator de date personale.  Prin dreptul de a fi informat, GDPR îmi stabilește informațiile pe care trebuie să le furnizez și când trebuie subiecții prelucrării datelor personale să fie informați de către mine ( în mod implicit, firma mea, prin persoana autorizată).

Principalul atribut al datelor ce trebuie furnizate este Transparența. Conform GDPR Articolul 12: ”Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, informațiile pe care trebuie sa le furnizez trebuie să fie:

  • Concise
  • Transparente,
  • Inteligibile
  • Accesibile;
  • Scrise într-un limbaj clar și simplu
  • În special dacă este mă adresez unui copil
  • Oferite gratuit

 Informațiile pe care le furnizez sunt dependente de modul în care am obținut datele personale pe care vreau să le prelucrez:

  • direct de la persoane fizice care fac obiectul prelucrării datelor personale
  • indirect, pentru cazurile în care informațiile mi-au venit din altă sursă.

O mare parte din informațiile pe care trebuie să le furnizăm sunt deja  în concordanță cu obligațiile mele actuale, conform legislației existente. Dar in plus,  au apărut și alte informații pe care trebuie să le furnizez  în mod explicit.

Ce informații trebuie furnizate?

Să vedem deci, care sunt principalele categorii de informații care trebuie furnizate în situația în care am obținut datele personale direct de la client. Conform Articolului 13: ”Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, Alineatul 1, trebuie să furnizez personai vizate următoarele infrmații:

  • identitatea şi datele mele de contact – ca operator, și după caz și ale mele personale – ca reprezentant al acestuia
  • datele mele de contact ca responsabil cu protecţia datelor, după caz ca ofițer de protecție a datelor personale (DPO);
  • scopurile în care vreau să prelucrez datele cu caracter personal, precum şi temeiul juridic al prelucrării (baza legală);
  • interesele legitime pe care le urmăresc (ca operator sau ca o terță parte) – cu excepțiile de la Articolul 6 alineatul (1) litera (f) – Legalitatea prelucrării;
  • care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  • intenţia mea de a transfera date cu caracter personal către o ţară terţă și care sunt garanțiile pe care le ofer că acest transfer este perfect legal și nu lezează interesele persoanei vizate;

În plus, în momentul în care am obținut deja datele cu caracter personal, conform Articolului 13, Alineatul 2, eu ca operator trebuie să furnizez persoanei vizate o serie de informaţii suplimentare, necesare pentru a asigura transparența prelucrării:

  • perioada de reținere a datelor sau criteriile folosite pentru a stabili această perioadă;
  • dreptul la rectificare, ștergere, restricționare, obiecții;
  • dreptul la portabilitatea datelor;
  • dreptul de a retrage consimțământul în orice moment, dacă este cazul;
  • dreptul de a depune o plângere la o autoritate de supraveghere;
  • dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și posibilele consecințe ale nefurnizării;
  • existența unui proces automat de luare a deciziilor ( incluzând profilarea) și modul în care sunt luate deciziile, semnificația și consecințele acestora.

Dacă eu, ca operator vreau să prelucrez datele cu caracter personal și/ sau într-un alt scop decât cel pentru care acestea au fost colectate, atunci, înainte de orice prelucrare ulterioară, sunt obligat să furnizez persoanelor vizate toate informaţiile relevante prvitoare la scopul sau scopurile secundare.

Ce se întâmplă în sitația în are datele personale nu ne-au fost furnizate în mod direct de către persoanele vizate?

În acest caz, conform Articolului 14, sunt obligat ca operator să furnizez persoanei vizate întregul set de informații descrise puțin mai sus, de la ambele Alineate ale Articolului 13, plus următoarele informații obligatorii doar pentru acest caz:

  • care sunt categoriile de date personale pe care le am la dispoziție
  • care e sursa publică de date cu caracter personal, după caz care provine de la surse accesibile publicului;

Pentru a ne descurca mai bine în acest labirint de informații, legi și paragrafe, am făcut o sinteză a informațiilor care trebuie funizate în ambele sitații discutate anterior:

 

Ce informații trebuie să dau Date venite direct de la subiect Date provenite din alte surse
Identitatea și datele de contact (operator + reprezentant)

DA

DA

Datele de contact DPO

DA

DA

Scopul în care se prelucrează datele

DA

DA

Interesele legitime urmărite

DA DA

Destinatarii sau categoriile de destinatari

DA

DA

Categoriile de date personale

NU

DA

Intențiile de transfer al datelor

DA

DA

Perioada de reținere a datelor

DA

DA

Dreptul la rectificare, ștergere, restricționare, obiecții

DA

DA

Dreptul la portabilitatea datelor

DA

DA

Dreptul de retragere a consimțământului

DA

DA

Dreptul la plângere/notificare

DA

DA

Care e sursa publică de date cu caracter personal

NU DA
Existența unei obligații legale sau contractuale

DA

NU

Existența unui proces automat de luare a deciziilor

DA

DA

  

Când trebuie furnizate informațiile?

O modificare importantă față de legislația anterioară este scurtarea perioadei în care sunt obligat să răspund solicității de informare primită de la persoana vizată. Conform Articolului 12, Alineatul 3:

  • Timpul maxim de răspuns s-a scurtat de la 40 de zile la 30 de zile. Deci eu, ca operator trebuie să furnizez persoanei vizate informaţii privind acţiunile întreprinse în urma une cereri fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii;
  • Atunci când e necesar, din motive legate de comlexitatea și volumul cererilor primate simultan, această perioadă poate fi prelungită până la două luni. Chiar și în aceste condiții de prelungire, trebuie să informez persoana vizată de această prelungire tot în intervalul de o lună;
  • Pentru cererile trimise în format electronic, informaţiile trebuie furnizate în format electronic – acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită informațiile într-un alt format.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material vom parcurge în continuare Drepturile persoanei vizate  – Capitolul IV din GDPR.

 

 

Articole anterioare:

GDPR explicitat (4): Verificați legalitatea prelucrării și obțineți Consimțământul

 

AU MAI RĂMAS 306 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Înainte de a putea procesa date personale, trebuie să identificați și să vă raportați la o bază legală. Aceste considerente sunt denumite generic “legalitatea prelucrării” și sunt specificate în Articolul 6, care se ocupă de legalitatea condițiilor de prelucrare.  Ce se înțelege prin consimțământ și cum trebuie acesta obținut și dovedit veți găsi în paragraful special dedicat.  

În cadrul proceselor aferente obținerii conformității GDPR este foarte important să determinați baza legală pentru prelucrarea datelor cu caracter personal și să documentați acest lucru. De multe ori această bază legală poate avea efect asupra drepturilor persoanelor. De exemplu, persoanele de la care primiți un consimțământ clar pentru prelucrarea datelor vor avea și drepturi mai puternice, cum ar fi dreptul de a fi uitat – adică opțiunea de ștergere a datelor.

Dar haideți să trecem în revistă prevederile de la Articolul 6 – ”Legalitatea condițiilor de prelucrare”. La Alineamentul 1 se specifică foarte clar că ”Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii”:

a. consimțământ – persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

b. contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

c. obligație legală – prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

d. interese vitale – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

e. interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;

f. interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Ce este Consimțământul?

În contextul GDPR prin consimțământ se înțelege o confirmare clară a faptului că persoana vizată a fost informată, știe și este de acord cu prelucrarea datelor sale personale de către operator, în scopurile stabilite împreună cu acesta. În plus: 

  • această dovadă trebuie să fie clară, liberă, specifică, informată și lipsită de ambiguitate; 
  • trebuie să reprezinte o formă de acțiune afirmativă clară; 
  • în cazul chestionarelor ce au ca scop obținerea consimțământului sunt excluse ambiguități legate de necompletarea sau pre-bifarea unui căsuțe de dialog; 
  • consimțământul trebuie să fie separat de alți termeni și condiții; 
  • consimțământul trebuie să fie verificabil;
  • trebuie să existe modalități simple pentru ca oamenii să-și retragă consimțământul;
  • autoritățile publice și angajatorii vor trebui să aibă grijă deosebită pentru a se asigura că acordul este acordat în mod liber.

Evident că la condițiile Articolului 6, Alineatul 1 există și o serie de excepții. Astfel, prevederile de la Litera (f) nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea atribuțiilor lor. Pentru prevederile de la Literele (c) și (e), GDPR e destul de flexibil, permițând statelor membre UE să introducă dispoziții mai specifice, aliniate legislațiilor interne.

În cazul în care prelucrarea se face în alt scop decât cel pentru care au fost colectate datele cu caracter personal și pentru care nu există consimţământul persoanei vizate, operatorii și procesatorii de date trebuie să ia în considerare prevederile de la Articolul 6, Alineatul 4. Pentru a putea stabili dacă prelucrarea în alt scop este compatibilă cu scopul inițial pentru care au fost colectate datele cu caracter personal, aceștia trebuie să ia în considerare, printre altele:

  • orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate;
  • contextul în care datele cu caracter personal au fost colectate, mai ales privind relaţia dintre persoanele vizate şi operator;
  • natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale dedate, conform Articolului 9, sau pentru date referitoare la condamnări penale şi infracţiuni, conform Articolului 10;
  • posibilele consecinţe asupra persoanelor vizate legate de prelucrările ulterioare;
  • existenţa unor garanţii adecvate, care pot include criptarea sau atribuirea de pseudonime.

Așadar, pe lângă condițiile generale, trebuie avute în vedere condițiile specifice pentru categoriile speciale de date. În Articolul 9, Alineatul 1 se stipulează clar că: ”Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.”

În Articolul 9, Alineatul 2 se enumerează situațiile de excepție în care nu se aplică prevederile de la Alineatul 1, deci cazuri speciale în care este permisă prelucrarea datelor cu caracter personal:

  • persoana vizată şi-a dat consimţământul explicit pentru prelucrarea datelor pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care legislația locală nu recunoaște consimţământul persoanei vizate;
  • prelucrarea este necesară pentru îndeplinirea unor obligaţii ale operatorului sau drepturi specifice ale persoanei vizate în domeniile ocupării forţei de muncă, securităţii sociale şi protecţiei sociale, cu aplicarea legislației locale;
  • prelucrarea vizează protejarea intereselor vitale, atunci când persoana vizată e incapabilă fizic sau juridic să îşi dea consimţământul;
  • prelucrarea este garantată de activităţile legitime ale unor fundaţii, asociaţii sau organisme nelucrative, cu specific politic, filozofic, religios sau sindical, dar numai pentru membri sau foşti membri;
  • prelucrarea se referă la date personale care sunt făcute publice în mod manifest de către persoana vizată;
  • prelucrarea e necesară la constatarea, exercitarea sau apărarea unui drept în instanţă;
  • prelucrarea se face din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern;
  • prelucrarea în scopuri legate de medicina preventivă sau a muncii, evaluarea capacităţii de muncă, stabilirea unui diagnostic medical, asistenţă medicală sau socială;
  • prelucrarea din motive de interes public în domeniul sănătăţii publice;
  • prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, conform Articolului 89, Alineatul 1.

Legat de acestea, în Articolul 9, Alineatul 4 se precizează că fiecare stat poate menţine sau introduce condiţii suplimentare sau restricţii în cazul prelucrării de date genetice, biometrice sau privind sănătatea.

O altă situație cu totul specială este prelucrarea datelor personale referitoare la condamnări penale şi infracţiuni. Articolul 10 precizează că în astfel de situații prelucrarea datelor personale precum și deținerea unor registre privind condamnările penale se face numai sub controlul unei autorităţi de stat.

Dar pot exista o mulțime de situații în care prelucrarea datelor nu are nevoie de identificare, adică de asociere a unor seturi de date cu o anumită persoană. În această situație se pot încadra multe dintre analizele de piață și cercetări de marketing care au ca scop obținerea de informații statistice generale, atribuite unor grupuri de consumatori sau categorii profesionale. În Articolul 11: ”Prelucrarea care nu necesită identificare”, Alineatul 1 se arată că ”în cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament”.

Conform Articolului 11, Alineatul 2,  dacă operatorul poate demonstra că nu este în măsură să identifice persoana vizată sau în cazul în care e posibil operatorul informează persoana vizată în mod corespunzător, Articolele 15-20 din capitolul de drepturi ale persoanei vizate, nu se aplică. Excepția care poate apărea aici atunci când persoana vizată oferă informaţii suplimentare ce permit identificarea sa, tocmai în scopul exercitării drepturilor sale prevăzute de respectivele articole. Vom relua aceste aspecte în următorul articol din seria GDPR explicitat.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de Drepturile persoanei vizate  – Capitolul IV din GDPR. 

Articole anterioare:

Efectul disruptiv al GDPR

Intrarea în vigoare a noului regulament al protecției datelor personale pe 25 Mai 2018, se anunță deja ca un eveniment major al viitorului an. Va fi ”Ziua – Z”, cu efecte apocaliptice, pentru multe companii care nu vor avea resursele și timpul să adopte toate măsurile necesare pentru îndeplini cerințele GDPR… 

Vă mai amintiți de ”Virusul Anului 2000” sau ”Problema Mileniului”? A fost o mișcare strategică nemaipomenită de înnoire a infrastructurii și echipamentelor de calcul bazată pe o provocare tehnologică a extinderii numărului de digiți. Până la urmă au fost foarte puține întreruperi ale marilor sisteme de calcul, cu pierderi minore, dar toată lumea  avut de câștigat prin boomul investițiilor în noi echipamente și infrastructură…

Noul regulament EU 2016/ 679 vine cu o forță a schimbării fără precedent, care pentru multe organizații are toate șansele să aibă un efect disturbator mult mai mare decât valul digital de care tot vorbim de o vreme încoace. Geneza nu a fost ușoară. Gândit ca o actualizare absolut necesară a Directivei 95/46/EC, GDPR s-a consolidat după 4 ani de dezbateri și 3000 de amendamente. Peste 80 de noi cerințe au apărut față de vechea directivă. Multe companii vor fi nevoite să facă schimbări radicale în modele de business. Unii spun că vom fi nevoiți să reconsiderăm radical actualele procese de marketing. Potrivit Digital Clarity Group, “GDPR ar putea fi o amenințare de moarte pentru existența multor companii și obligă la adoptarea de decizii fundamentale cu privire la colectarea, prelucrarea și stocarea datelor în probleme cheie din strategia de afaceri.”

Noul regulament EU 2016/ 679 vine cu o forță a schimbării fără precedent, care pentru multe organizații are toate șansele să aibă un efect disturbator mult mai mare decât valul digital de care tot vorbim de o vreme încoace.

 

Un vectori esențial al noului regulament este aria de aplicabilitate. Înainte existau tratate regionale precum “Safe Harbor” care oferea companiilor americane confortul necesar în procesarea datelor clienților din Europa. Principiile de confidențialitate stipulate de Safe Harbor au fost anulate de către Curtea Europeană de Justiție pe 24 Octombrie 2015, după ce un client s-a plâns că datele sale de pe Facebook au fost insuficient protejate.  GDPR a devenit brusc o mare provocare pentru toate multinaționalele.

Alte prevederi majore ale noului regulament cu posibile efecte disruptive ar mai fi:

Amenzile – Penalizările sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă servicii de hosting sau furnizorilor de Cloud.

Consimțământul – companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau cu clauze greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere, iar solicitarea inteligibilă și cu o solidă argumentare a scopului în care se procesează datele. ​

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității. Orice incident trebuie comunicat către autoritățile de raportare în maximum 72 de ore de când breșa a fost constatată. Procesatorii vor trebui să își anunțe și clienții, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora.

Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scop.

Dreptul de a fi uitat – cunoscut și ca ”dreptul de a fi șters”, asigură deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către terți.

Portabilitatea datelor – se referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date.

Confidențialitate prin design – ”
Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR.  În esență, constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic.

Data Protection Officers (DPO) Un studiu IAPP estimează un necesar de peste 28000 de ofițeri DP în toată Europa. Deținătorul acestei poziții va fi mandatarul conformității GDPR, urmând să cumuleze expertiză legală, operațională și IT.

Sunt analiști care văd în GDPR o încercare benefică pentru business. Orice companie care a depus eforturi și a investit în măsuri de asigurare a conformității, a parcurs o bună etapă în transformarea sa digitală. 

AU MAI RĂMAS 316 zile

Urmariti articolele cu logo-ul GDPR Ready!  o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Acest articol a fost publicat si in revista IT Trends din Iunie 2017 si poate fi citit si AICI

GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților

AU MAI RĂMAS 318 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Și iată-ne ajunși la partea de principii. Sub GDPR, principiile de protecție a datelor stabilesc principalele responsabilități pentru organizații. Principiile sunt similare cu cele din Legea 95/, cu detalii adăugate la  anumite puncte și o nouă cerință pentru responsabilitate. În fond, acest principiu al responsabilității este unul dintre vectorii cheie ai GDPR. Operatorii de date personale sunt obligați nu numai să respecte aceste principii, ci și să demonstreze modul în care sunt activitățile lor sunt conforme cu principiile prelucrării datelor personale.  Dar hai sa le vedem pe rând.

Care sunt principiile GDPR? Le găsim în Art.5: ”Principii legate de prelucrarea datelor cu caracter personal”:

a). Legalitate, echitate şi transparenţă – acesta este un principiu esențial, strâns asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate ”în mod legal, echitabil şi transparent faţă de persoana vizată.”

b). Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri. E important aici să reținem că prelucrarea publica prin arhivare, pentru cercetare ştiinţifică/ istorică sau pentru analize statistice nu se considera ca deviantă de la scopurile iniţiale – așa cum se arată în Art. 89, alin. 1.

c). Reducerea la minimum a datelor – prin acest principiu operatorii sunt avizați de faptul că orice colectare de date personale trebuie foarte bine analizată înainte de obținerea efectivă a datelor, care trebuie să fie cele mai relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate.

d). Exactitatea informațiilor – operatorii trebuie să se ia toate măsurile pentru a asigura validitatea datelor, iar cele dovedite inexacte trebuie actualizate rapid sau șterse.

e). Limitarea stocării – datele trebuie păstrate fix atâta timp cât sunt necesare pentru pelucrarea asumată. Perioadele mai lungi de stocare sunt excepții asociate cu activități publice de arhivare, cercetare sau statistica, conform Art. 89, alin. 1.

f). Integritate și confidențialitate – iarăși un principiu esențial. Prelucrarea datelor personale trebuie făcută în cele mai proprii condiții de siguranță, care să includă ”protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”.   Din punctul meu de vedere, acesta este un vortex al GDPR. Cine nu respectă acest principiu este direct expus la breșe de securitate și confidențialitate, fiind un candidat sigur pentru extrem de severele penalități.

Așa cum spuneam și puțin mai sus, în partea introductivă a acestui articol, aceste principii se regăsesc și în legislația actuală. Dacă luăm Directiva 95/ 46 EC la Art. 6 din Capitolul ”Principii legate de calitatea datelor” găsim că datele cu caracter personal trebuie să fie:

a). prelucrate cu bună-credință – conform dispozițiilor legale;

b). colectate în scopuri determinate, explicite şi legitime – cu același amendament legat de prelucrarea științifică și statistică, dar fără operațiunile de arhivare în interes public prezente în GDPR;

c). adecvate, pertinente şi neexcesive – prin raportare la scopul în care sunt colectate şi ulterior prelucrate;

d). exacte şi, dacă este cazul, actualizate –  cu recomandarea ca datele inexacte sau incomplete să fie şterse sau rectificate;

e). stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară – cu completarea legată de condițiile și garanțiile aferente stocării pe termen lung.

Marea diferență față de textul Directivei 95/ 47 apare la Aliniatul 2:

  • În Directiva Comisiei Europene (Art.6, Alin.2) se arată că: ”Operatorul trebuie să se asigure că se respectă alineatul (1)”
  • În GDPR (Art. 5, Alin.2) apare clar principiul responsabilității: ”Operatorul trebuie să fie responsabil de respectarea alineatului (1) şi să poată demonstra această respectare (“responsabilitate”).”

Cu alte cuvinte, cea mai importantă adăugare la GDPR este principiul responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Dar, în opinia mea, noțiunea de ”accountability”, introdusă în textul original al GDPR  înseamnă puțin mai mult decât o simplă ”responsabilitate”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

Mergând la textul legislației naționale, paragraful 2 din Art. 4 nu diferă forte mult de conținutul Art. 5 din GDPR. Astfel, în Legea 677/2001, Art.4, Alin 2. se specifică: Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare (“responsabilitate”).”

Concluzionând, iată ce am reținut ca extrem de important din capitolul despre Principii (a se vedea GDPR Considerentul 39):

  • Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă.
  • Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar.
  • Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea.
  • Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective.
  • Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate.
  • Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace.
  • Operatorul trebuie să stabilească termene pentru ștergere sau revizuirea periodică.
  • Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidențialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de Legalitatea prelucrării datelor cu caracter personal – Art. 6 din GDPR.

Articole anterioare:

GDPR explicitat (2): Ce sunt datele personale?

AU MAI RĂMAS 324 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

După o serie de articole introductive intitulate ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” și ”GDPR Prima sursa de informare Portalul UE”, am demarat publicarea unor conținuturi exploratorii în care analizăm și comentăm principalele prevederi ale noului regulament din perspectiva operatorilor de date personale.

În primul articol din această nouă serie am scris despre ”Cine și Unde se va supune noului regulament?”, prezentând definiții ale operatorilor și procesatorilor de date, precum și principalele elemente de noutate privitoare la extinderea ariei geografice de aplicare a prevederilor EU 2016/679. În continuare vom vedea care sunt datele personale care se supun prevederilor noului regulament și care sunt categoriile de date considerate sensibile.

Care sunt datele cu caracter personal?

Problema esențială a oricărei companii este felul în care se raportează la GDPR, iar prima întrebare logică în orice analiză internă este: care sunt datele cu caracter personal pe care le controlăm sau prelucrăm și în ce măsură trebuie să ne concentrăm pe aceste date.

În ”Art.2: Domeniul de aplicare material” se explicitează că ”Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidentă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidentă a datelor.”

Prima întrebare logică este ce înțelege UE prin ”date cu caracter personal”? Răspunsul îl găsim chiar la începutul ”Art.4: Definiții”: “date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă (“persoana vizată”)”. Adică, ”o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

Cu alte cuvinte, ”persoana vizată ” – poate fi definită ca elementul principal pe care este construit întregul mecanism GDPR. Este chiar persoana fizică ale căror date cu caracter personal sunt supuse prelucrării. Prin persoană fizică se înțelege orice individ în viață, care conform ”Art.1: Obiect și obiective” are dreptul la:

  • Protecția datelor cu caracter personal
  • Protecția prelucrării datelor cu caracter personal
  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Mergând mai departe, putem extrage din contextul definiției de mai sus și o descriere a datelor cu caracter personal la care se face referire în Art.1: ”Date cu caracter personal” trebuie considerate acele informații despre o persoană identificabilă care se referă la nume, un număr de identificare (CNP, Card de Identitate, Certificat de Naștere, Pașaport, Permis de conducere, Card asigurări sociale, etc), date de localizare, un identificator online (o adresă IP de exemplu), sau unul sau mai multe elemente specifice, proprii identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Nu se specifică cu claritate, dar multe legislații europene sau din SUA consideră genul (bărbat, femeie) ca informație personală confidențială pe care nu ești obligat să o declari atunci când trebuie să completezi diferite chestionare sociale sau comerciale.

Care ar fi elementele de noutate față de legislația existentă? Făcând o comparație pe texte, în Legea 677/ 2001 Art.3 (a) definiția este puțin mai simplă: ”o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale”. Noua definiție extinde aria de acoperire a ”numărului de identificare”, definit acum ca ”element de identificare” și din care pot face parte ”un nume, un număr de identificare, date de localizare sau un identificator online”.

Așa cum se arată chiar de la primele două Specificații din textul Regulamentului EU 2016/679, nu trebuie să omitem faptul că toată filosofia GDPR este construită pe drepturile fundamentale ale omului. Art.8, alin.1 din ”Carta drepturilor fundamentale a Uniunii Europene” şi Art.16, alin.1 din ”Tratatul privind funcţionarea Uniunii Europene” prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc. Mai mult de atât, principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul la protecţia datelor cu caracter personal.

”Prezentul regulament urmăreşte să contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, la consolidarea şi convergenţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice.”  Considerentul nr.2 din Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE

Am înțeles deci care pot fi datele considerate cu caracter personal care se supun GDPR. Și atunci, care sunt informațiile pentru care nu este necesară obținerea compatibilității cu noul regulament european? Tot în Art.2 ni se explică faptul că GDPR nu se aplică prelucrării datelor cu caracter personal în următoarele situații:

  • în cazul unei activități care nu intră sub incidența dreptului Uniunii Europene;
  • de către statele membre atunci când desfășoară activități care intră sub incidența Capitolului 2, Titlul V din Tratatul UE;
  • de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
  • de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice şi prevenirii acestora.

Mai rămâne să ne lămurim ce înseamnă ”prelucrarea datelor cu caracter personal”. ”Art.4 – Definiții” ne ajută și de această dată, explicându-ne: ”prelucrarea datelor înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

GDPR se aplică atât datelor cu caracter personal automatizate, cât și sistemelor de arhivare manuală în care datele personale sunt accesibile conform unor criterii specifice. Aceasta este mai largă decât definiția din Legea 677/ 2001 și ar putea include seturi de înregistrări manuale cronologice care conțin date cu caracter personal. Datele personale care au fost pseudonime – de exemplu, codificate la cheie – pot intra sub incidența GDPR în funcție de dificultatea de a atribui pseudonimul unei anumite persoane.

Tot la capitolul de definiții putem vedea și ce se înțelege prin: “restricționarea prelucrării” – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora, în timp ce “creare de profiluri” înseamnă orice formă de prelucrare automată care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanta la locul de muncă, situația economică, sănătatea, preferințele, personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.

Care sunt datele personale sensibile?

GDPR se referă la datele personale sensibile ca la “categorii speciale de date cu caracter personal“. De cele mai multe ori categoriile speciale includ în mod specific date genetice și date biometrice, în cazul în care sunt procesate pentru a identifica în mod unic o persoană. Este destul de comun faptul că datele sau categoriile de date sensibile sunt asociate unor excepții de la aplicarea GDPR sau a unor situații speciale.

În Art.9: ”Prelucrarea de categorii speciale de date cu caracter personal”, în primul alineat se spune că ”se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.”

O încadrare clară și concisă a situațiilor speciale. Totul se complică destul de mult când încep să fie enumerate excepțiile de la aceste interdicții, multe dependente de dreptul intern al statelor membre. Iată câteva dintre aceste excepții într-o trecere în revistă succintă:

  • operatorul are consimțământul explicit din partea persoanei vizate pentru unul sau mai multe scopuri specifice;
  • prelucrări autorizate în domeniul ocupării forţei de muncă, al securităţii sociale şi protecţiei sociale;
  • protejarea intereselor vitale atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
  • activităţi legitime şi garantate ale unor fundații sau asociaţii, dar numai pentru membrii organismului respectiv;
  • persoanele vizate fac publice în mod manifest date cu caracter personal;
  • constatarea, exercitarea sau apărarea unui drept în instanţă;
  • motive de interes public major;
  • scopuri legate de medicina muncii, stabilirea unui diagnostic medical, furnizarea de asistenţă medicală sau socială sau gestionarea sistemelor de sănătate sau asistenţă socială;
  • motive de interes public în domeniul sănătăţii publice;
  • scopuri de arhivare în interes public, cercetare ştiinţifică, istorică sau statistică.

O altă categorie specială de informații se referă la datele personale asociate unor condamnări penale, infracţiuni sau măsuri speciale de Securitate. Așa cum prevede Art.10: ”Prelucrarea de date cu caracter personal referitoare la condamnări penale şi infracţiuni” se face numai sub controlul unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern și se aplică garanții suplimentare.

În fine, o precizare care ține de situații destul de întâlnite în realitate. În Considerentul 27 se specifică faptul că GDPR ”nu se aplică datelor cu caracter personal referitoare la persoane decedate.” Statele membre pot să prevadă norme speciale privitoare la această categorie de date.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul articol ne vom ocupa de Principiile GDPR.

Articole anterioare:

GDPR explicitat (1): Cine se va supune noului regulament și Unde?

AU MAI RĂMAS: 328 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Inițiativa GDPR Ready! își propune să vă ofere accesul deschis la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

După o serie de articole introductive intitulate ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” și ”GDPR Prima sursa de informare Portalul UE” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolele menționate am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), respectiv o prezentare a sursei de informare primară: Portalul General Data Protection Regulation, administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Acestea au fost informațiile generale. Vom continua acum cu o serie de analize și comentarii pe textele extrase din legislația oficială, menite să clarifice acele aspecte practice și de fond pe care orice operator sau procesator de date trebuie să le ia în considerație.

Cine trebuie să fie compatibil GDPR?

Este o întrebare esențială pentru orice companie care vrea să vadă în ce măsură activitățile de prelucrare a datelor personale pe care le derulează se aliniază sau nu cu prevederile noului regulament european.

Potrivit EU 2016/ 679, noile reguli GDPR se aplică “controlorilor/ operatorilor” și “procesatorilor” de date. Cum se definesc aceste noțiuni? Potrivit Art.4, Par.7-10, părțile implicate într-un proces de prelucrare a datelor personale sunt definite astfel:

“operator sau controlor” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care – singur sau împreună cu altele – stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite print-o prevedere a Uniunii Europene sau o prevedere a legislației naționale, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul UE sau în dreptul intern;

“procesator” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului, printr-o împuterncire de partea acestuia;

“destinatar sau recipient” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate date cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul UE sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;

“parte terţă” – o persoană fizică sau juridică, autoritate publică, agenţie sau organism, altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Dar ce se înțelege prin ”persoana vizată”? Pentru acest termen nu am găsit o definiție explicită în Regulament, dar putem presupune în mod implicit că:

persoana vizată ” – este persoana fizică ale căror date personale sunt supuse prelucrării. Adică este chiar persoana pentru care a fost construit întregul mecanism GDPR. Prin persoană fizică se înțelege orice individ în viața, care conform Art.1 are dreptul la:

  • Protecția datelor cu caracter personal
  • Protecția prelucrării datelor cu caracter personal
  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Revenind la noțiunile de operator și procesator, dacă sunteți un operator de date personale GDPR preia vechile obligații legale specifice activității derulate, venind cu noi cerințe precum:

  • obligativitatea de a păstra evidența datelor cu caracter personal și a activităților de procesare
  • răspundere juridică semnificativă dacă sunteți responsabil pentru o încălcare.

Rețineți că un operator nu este scutit de obligații în cazul în care colaborează cu un procesator de date.

Care este acoperirea geografică a GDPR?

Una dintre noutățile regulamentului o constituie extinderea ariei geografice de aplicabilitate. Noile reglementări nu se aplică numai prelucrărilor efectuate de organizații care operează în cadrul UE, ci sunt extinse și asupra oricărei organizații din afara UE care oferă bunuri sau servicii persoanelor fizice din UE.

Conform Art.3 – Domeniul de aplicare teritorial, noul regulament ”se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.”

Ce fel de activități de prelucrare sunt supuse acestor reguli? GDPR se aplică ”prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată;
  • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

Totodată, regulamentul se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

O mai bună explicitare despre prevederile Art.3 pot fi găsite în considerentele publicate în prima parte a documentului oficial EU 2016/679, unde se spune că:

Considerentul 22: ”Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul unor înţelegeri stabile. Forma juridică a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privinţă.”

Considerentul 23: ”Pentru a se asigura că persoanele fizice nu sunt lipsite de protecţia la care au dreptul (…) prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenţionează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este insuficient pentru a confirma o astfel de intenţie.”

Considerentul 24: ”Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca “monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şi atitudinile acesteia.”

Considerentul 25: ”În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional

public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.”

Vom continua explicitarea GDPR în articolele următoare. Urmăriți articolele și activitățile derulate în cadrul inițiativei GDPR Ready!

Articole anterioare:

GDPR: Prima sursă de informare – Portalul UE

 

AU MAI RĂMAS: 345 zile

GDPR Ready! este o inițiativă care își propune să ofere asigure un transfer deschis de know-how către toți cei interesați de obținerea compatibilității cu Regulamentul Uniunii Europene 679/ 2016, care va intra in vigoare pe 25 mai 2018. Prin această inițiativă se dorește catalizarea eforturilor unui număr cât mai mare de organizații guvernamentale și private care oferă servicii de evaluare și consultanță tuturor celor care operează cu date personale.  

După un prim articol introductiv intitulat ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolul menționat, am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Vom continua acum cu prezentarea sursei de informare primară, Portalul General Data Protection Regulation administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Puțină istorie

După patru ani de intense dezbateri și peste 3000 de amendamente, noul regulament GDPR intră în funcțiune pe 24 Mai 2016, la 20 de zile după aprobarea de către Parlamentul European, oferind tuturor țărilor un răgaz de aplicare de 2 ani, cu dată limită de asigurare a conformității pe 25 Mai 2018. Dar preocupările legislative privitoare la protecția datelor personale au o lungă istorie în Europa. Iată câteva repere în timp:

1981/ 2 Ianuarie – În cadrul Convenției 108 a Consiliului Europei se semnează primul tratat de protecție a cetățenilor europeni referitor la procesarea automată a datelor personale, care a intrat în vigoare pe 1 Octombrie 1985.

1995/ 24 Octombrie – Este creată Directiva 95/46/EC, prima directivă europeană privitoare la procesarea și protecția datelor personale și libera circulație a acestora, ca element esențial drepturilor personale ale cetățenilor europeni. Directiva devine valabilă în 13 Decembrie 1995 și le-a oferit statelor membre un răgaz de aplicare până la 24 Octombrie 1998.

2012/ 25 Ianuarie – Comisia Europeană propune o reformare comprehensivă a Directivei EC 95/46 pe linia progresului tehnologic și a globalizării care au afectat felul în care sunt colectate, accesate și folosite datele personale.

2012/ 23 Martie – Grupul de lucru intitulat ”Article 29 Data Protection” și-a publicat Opinia 01/ 2012 ca sinteză a discuțiilor și dezbaterilor legate de noile imperative legate de protecția datelor personale în noul context al unei politici europene unitare pentru o piață unică digitală.

2012/12 Aprilie – germanul Jan Philipp Albrecht, membru al Committee for Civil Liberties, Justice and Home Affairs (LIBE) este numit oficial ca Raportor al Parlamentului European pentru GDPR.

2016/ 2 Februarie – Grupul de Lucru ”Articolul 29” lansează un plan de acțiune pentru implementarea GDPR care reanalizează un mare număr de drepturi existente și stabilește unele noi la nivel individual, precum dreptul la portabilitatea datelor și dreptul ca datele personale să nu fie procesate în alte scopuri decât cele legale sau cele prevăzute printr-un contract.

2016/ 24 Mai – Noul Regulament UE 2016/ 679 înlocuiește vechea Directivă 95/46/EC și are ca menire armonizarea legislației privitoare la protecția datelor personale din întreaga Europă.

Care sunt principalele modificări

Iată o trecere în revistă a principalelor modificări ale vechii legislații, care poate fi citită pe Portalul GDPR: Principalul scop al noului Regulament de Protecție a Datelor Personale este de a oferi cetățenilor europeni cadrul modern legal necesar pentru protejarea datelor personale într-o economie tot mai dependentă de mobilitate și tehnologii digitale.

Aplicabilitatea extra-teritorială – una dintre cele mai importante modificări legislative se referă la extinderea jurisdicției GDPR, care devine aplicabil pentru toate companiile care procesează date personale ale cetățenilor care au reședința în Uniunea Europeană, indiferent de locația geografică a companiei. În versiunea precedentă, aplicabilitatea teritorială a directivei era ambiguă și se referea la procesarea datelor doar ”în contextul unei instituții”, ceea ce a generat o serie amplă de dezbateri și numeroase cazuri nerezolvate în justiție.

Amenzile – Penalizările financiare pentru nerespectarea prevederilor Regulamentului sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală sau maximum 20 milioane de euro pentru situațiile în care operatorul de date nu are consimțământul clienților într-o proporție suficientă sau afectează elementele cheie de confidențialitate prin-o abordare eronată a conceptului. Cele mai puțin aspre penalități prevăd amenzi de 2% din cifra de afaceri anuală pentru o slabă gestionare a înregistrărilor referitoare la prelucrarea datelor (Articolul 28), pentru ne-notificarea autorității de supraveghere în situația apariției unei breșe, sau pentru neafectarea de evaluări de impact. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă servicii de hosting sau furnizorilor de Cloud.

Consimțământul – condițiile de obținere a unui consimțământ din partea clienților s-au înăsprit, iar companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau în condiții greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere și solicitat într-un format inteligibil și ușor de accesat, fiind însoțit de o explicare clară a scopului pentru care se procesează datele. Limbajul trebuie să fie simplu și clar, iar consimțământul trebuie să fie la fel de simplu de solicitat și de acordat.

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității, unde prin breșă se înțelege ”orice incident de securitate care induce un risc pentru drepturile și libertățile individuale”. Orice incident trebuie comunicat către autoritățile de raportare într-un interval de maximum 72 de ore, de la momentul în care breșa a fost constatată. Procesatorii vor trebui de asemenea să își anunțe clienții, fără nici-o întârziere, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora.

Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scopuri. Mai mult, operatorii vor trebui să furnizeze gratuit o copie a datelor personale, într-un format electronic.

Dreptul de a fi uitat – cunoscut și ca ”dreptul de a fi șters”, asigură cetățenii de posibilitatea de a își asigura deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către o terță parte. Condițiile de ștergere sunt prevăzute în Articolul 17, fiind valabile pentru situațiile în care datele devin irelevante pentru scopurile asumate inițial sau când posesorul datelor își retrage consimțământul. De notat aici, că există încă unele neclarități asupra moduli în care unii operatori de date pot considera aceste date de interes public, situații în care datele trebuie să rămână disponibile.

Portabilitatea datelorse referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date.

Confidențialitate prin design
– ”Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR.  În esență, acest concept constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic. Mai exact, un operator de date personale trebuie să adopte cerințele tehnice și operaționale într-o manieră efectivă, pentru a corespunde cerințelor regulamentului și a proteja datele personale ale clienților. Articolul 23 recomandă operatorilor să păstreze și să proceseze doar datele absolut necesare pentru îndeplinirea sarcinilor (minimizarea datelor), precum și să limiteze accesul celor interesați de prelucrarea datelor în alte scopuri.

Data Protection Officers (DPO) – în mod curent, operatorii de date erau obligați să notifice activitățile de procesare a datelor către diferite autorități, ceea ce a condus la generarea multor probleme birocratice, în special pentru companiile multinaționale, obligate să trimită multiple feluri de notificări către diferite autorități. Conform noului Regulament, nu va mai fi necesar ca o multinațională să trimită notificări către fiecare autoritate de supraveghere și nici nu va fi o cerință de notificare / obținere a aprobării transferurilor pe baza unui Model Contract Clauses (MCC). În schimb, vor exista cerințe interne de păstrare a înregistrărilor. Numirea unui responsabil Data Protection Offcier devine obligatorie doar pentru acei operatori care au ca activitate de bază operațiuni de procesare care necesită monitorizarea regulată și sistematică a datelor la scară largă, sau doar pentru anumite categorii de date legate de activitățile ce intră sub incidența legii.

 Numirea unui DPO se va face după un set riguros de criterii:

  • Alegerea DPO trebuie făcută pe baza unor calități profesionale foarte clare, ce în bună parte presupune și un nivel mediu de cunoaștere a legilor și practicilor de protecție a datelor.
  • Poate fi un angajat propriu sau un furnizor extern de servicii
  • Detaliile de contact trebuie furnizate autorității de supraveghere
  • Trebuie să raporteze direct, la cel mai înalt nivel de management
  • Nu trebuie să I se atribuie nicio altă sarcină care ar putea intra în conflict de interese cu protecția datelor personale.

Urmăriți viitoarele articole din categoria GDPR Ready!

INIȚIATIVA ”GDPR READY!”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

A trecut vremea discuțiilor. E timpul să trecem la fapte

Inițiativa ”GDPR Ready!” a fost gândită pornind în primul rând de la o nevoie reală de informare. În ciuda evenimentelor tot mai numeroase pe subiectul GDPR și a discuțiilor în social media, perceperea GDPR ca ”ceva extrem de important” pentru sănătatea de business a organizației noastre se află încă la un nivel destul de redus. Volumul care poate părea covârșitor de informații, arabescurile cadrului legal, lipsa unei culturi de project management, dar mai ales lipsa unei percepții clare asupra implicațiilor GDPR la nivel managerial sunt tot atâtea frâne în elaborarea unor planuri concrete de acțiune. Puțini înțeleg că procesul de obținere a conformității GDPR nu este un simplu proiect de IT și nici o atribuție exclusiva a departamentului de legal. Acest proces necesită o acțiune concentrată și complexă din partea tuturor celor implicați în procesarea datelor personale dintr-o organizație. Cam asta ne-am propus prin această inițiativă în Iunie 2017, plecând în primul rând de la nevoia de cunoaștere. Spre bucuria noastră, un mare număr de specialiști și organizații s-au implicat în proiectele demarate în cadrul inițiativei ”GDPR Ready!”.

Ce trebuie să știe companiile care operează cu date personale în România?

Comunitățile și industriile au nevoie să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea toate activitățile propuse și efectuate sub umbrela inițiativei ”GDPR Ready!” au ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări?
  • Care sunt sancțiunile?
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative?
  • Care sunt problemele operaționale?
  • Care sunt problemele tehnice?
  • Care sunt pașii pentru pregătirea și obținerea compatibilității?
  • Cine ne consiliază?
  • Cui alocam responsabilitatile de DPO (Data Protection Officer)?
  • Cine ne certifică ofițerii responsabili cu protecția datelor?

Ce acțiuni a inițiat și a susținut cloud☁mania în cadrul inițiativei ”GDPR Ready!”

Articole GDPR Explicitat* – o serie de 15 articole ce explică principalele problematici GDPR pe înțelesul tuturor. Iată aici lista completă  a acestora și link-urile către articolele respective:

 

Pagină dedicată GDPR Q&A  – ”Cele mai frecvente întrebări și răspunsuri despre GDPR”

Catalog GDPR Ready* – primul cataog din România dedicat ofertelor de soluții și servicii pentru alinierea la GDPR, Editat in Octombrie 2017 în parteneriat cu trustul de presă Agora Media. Disponibil in format print si online.

NOU! Catalog GDPR Practic** – o continuare firească a primului Catalog GDPR, dedicat aspectelor practice asociate cu proceduri, procese și soluții pentru protecția datelor personale. Publicare estimată la sfârșitul lunii Ianuarie 2018**.

Parteneriat Media – eveniment Noua ordine europeană pentru protecția datelor personale organizat de agenția Concord Communication în Bucuresti, 12 octombrie 2017 și având ca partener principal casa de avocatură Mușat & Asociații.

Moderare Panel GDPR în cadrul evenimentului organizat de ALEF Distribution** pentru partenerii sai, Predeal 5-7 Octombrie 2017.

Prezentări dedicate GDPR* la evenimente precum RoCS 2.0 (23 Noiembrie 2017) și conferința ”Data Centers and IT Infrasructure Management”, (12 decembrie 2017).

Grup de discuții GDPR Ready pe LinkedIn** – Grup deschis pentru toti cei interesati de conformitatea GDPR: întrebări, dezbateri, interpretări, recomandări, proceduri, standarde, soluții, evenimente, cercetări de piață, studii de caz, best practices. Până acum avem peste 100 de membri. Cei interesați se pot înregistra la adresa: https://www.linkedin.com/groups/13562247

ÎN CURÂND! Newsletter GDPR Ready!* – Serviciu săptămânal de informare a abonaților interesați de știri de ultimă oră despre GDPR, recomandări, comentarii, definiții, noi soluții și tehnologii dedicate, studii de caz, etc.

NOU! Pachet de servicii personalizate de consiliere și instruire GDPR** – O ȘEDINȚĂ GRATUITĂ DE CONSILIERE DE 3 ORE. Cei interesați sunt rugați să completeze formularul de contact din partea de jos a paginii. 

Note:

*Disclaimer

Conținutul paginii ”GDPR Ready! Initiative”, conținutul tuturor articolelor de pe siteul cloud☁mania postate la categoria ”GDPR Ready!”, precum și conținutul tuturor materialelor menționate pe această pagină reprezintă opinia personală a autorului despre GDPR la data publicării, în conformitate cu un mare volum de documente și surse publice consultate în calitate de analist de piață. Prin urmare, acest conținut este furnizat doar în scopuri informative și nu trebuie să fie asociat unor activități profesionale de consultanță juridică, operațională sau tehnologică.

Pentru a determina modul în care GDPR se poate aplica pentru dvs. și organizația dvs. vă încurajăm să colaborați cu consultanții acreditați din punct de vedere juridic sau cu specialiștii certificați DPO, singurii în măsură să vă ofere recomandări viabile despre GDPR, modul în care se aplică în mod specific organizației dvs. și cum se poate asigura cea mai bună conformitate. Orice alte activități de consiliere individuală se vor supune contractelor de prestări servicii aferente. 

**Contact request

Cei intersesați de informații suplimentare sunt rugați să ne contacteze prin completarea formularului de mai jos.  

 

%d bloggers like this: