fbpx

Categorie: Protectia datelor cu Caracter Personal

A aparut standardul ISO 27701, sub forma unei extensii la ISO 27001

In data de 8 august a fost publicat noul standard ISO / IEC 27701: 2019 .

Acest document specifică cerințele și oferă îndrumări pentru stabilirea, implementarea, menținerea și îmbunătățirea continuă a unui sistem de gestionare a informațiilor privind confidențialitatea (PIMS) sub forma unei extensii la ISO / IEC 27001 și ISO / IEC 27002 pentru gestionarea confidențialității în cadrul contextul organizației. Read More

Ce indatoriri are un Operator de date în relația cu Împuternicitul

Unul dintre aspectele mai dificile ale #GDPR-ului este stabilirea raportului dintre entitatile juridice, respectiv raspunsul la intrebarea “Cine sunt eu in relatia cu partenerul de afaceri si ce trebuie sa stiu/sa fac cand vine vorba despre protectia datelor cu caracter personal?”

In teorie lucrurile sunt simple, legea 679/2016 stabilind foarte clar in Capitolul 4  obligatiile operatorului si persoanei imputernicite de acesta.

 

Ce indatoriri are Operatorul? Dar Persoana Imputernicita?

Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

Esti OPERATOR daca stabilesti scopul si mijloacele prelucrarii. Esti Imputernicit cand prelucrezi datele cu caracter personal puse la dispozitie de Operator, numai in numele acestuia si conform instructiunilor operatorului ( de ex, relatia Firma – Contabil externalizat, sau Firma – Companie PayRoll )

Aderarea la coduri de conduită aprobate, menționate la articolul 40, sau la un mecanism de certificare aprobat, menționat la articolul 42 din GDPR, poate fi utilizată ca element care să demonstreze respectarea obligațiilor de către operator. ( de ex implementarea Sistemului de Management al Securităţii Informaţiei conform ISO/IEC 27001:2013  )

De RETINUT!
Dacă societatea/organizația dvs. decide „de ce” și „cum” ar trebui prelucrate datele cu caracter personal, aceasta este operatorul de date. Angajații care prelucrează date cu caracter personal în cadrul organizației dvs. fac acest lucru pentru a îndeplini sarcinile dvs. în calitate de operator de date.

Daca esti Operator de date cu caracter personal, esti obligat sa contractezi procesatori de date/imputernici care ofera dovezi clare ca au implementat cerintele GDPR si au garantii clare privind implementarea de masuri organizatorice si tehnice – securitatea datelor .

Imputernicitul, pe de alta parte, trebuie sa se asigure ca a implementat masuri de securitate, ca nu contracteaza cu un alt subimputernicit fara
a solicita, in primul rand, acordul operatorului, trebuie sa raporteze orice incident de securitate si nu trebuie sa se abata de la instructiunile pe care operatorul i le-a trasat.

Cu toate acestea, în cazul grupurilor de întreprinderi, o întreprindere poate îndeplini rolul de persoană împuternicită de operator pentru o altă întreprindere.

Atribuțiile persoanei împuternicite de operator în raport cu operatorul trebuie precizate într-un contract sau într-un alt act juridic. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele cu caracter personal în momentul încetării contractului. O activitate tipică a persoanelor împuternicite de operatori este furnizarea de soluții informatice, inclusiv de stocare în cloud. Persoana împuternicită de operator poate subcontracta o parte a sarcinii sale la o altă persoană împuternicită de operator sau poate numi o persoană asociată împuternicită de operator numai dacă a primit în prealabil o autorizație scrisă din partea operatorului de date.

Există situații în care o entitate poate fi operator de date, persoană împuternicită de operator sau ambele.

 

In cazul in care ai intrebari, ma poti contacta oricand prin chat-ul de mai jos, prin email  sau pe Facebook.

Legea 190/2018

Pe data de 31 iulie 2018, a intrat în vigoare Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

Această lege stabileşte măsurile necesare punerii în aplicare la nivel naţional, în principal, a prevederilor art. 6 alin. (2), art. 9 alin. (4), art. 37-39, 42, 43, art. 83 alin. (7), art. 85 şi ale art. 87-89 din Regulamentul general privind protecţia datelor.

Legea poate fi consultata aici – Legea_190_2018

25 mai, ZIUA Z :) – Ce trebuie să știe persoanele vizate

Suntem în 25 mai și toate persoanele implicate în implementarea GDPR-ului așteaptă.
“Ce va fi, cum va fi, am toate documentele, sunt acoperita cu procedura x sau ploitica y?”

Ce trebuie să știți despre GDPR dupa 25 mai?

– GDPR este un regulament impus de Uniunea Europeana si se aplica in toata statele din Comunitatea Europeana,

– Este un Regulament care aduce reglementari asupra modului în care sunt folosite datele cu caracter personal de catre companii și sub-contractorii acestor companii, iar unul dintre principiile pe care trebuie să le respecte acestea este TRANSPARENTA.
Lipsa ambiguități în comunicarea dintre entitățile juridice și persoanele fizice este de azi o obligație pe care companiile ( și toate entitatile juridice: asociații, ONG uri, partide politice, corporații, instituții publice, instituții de invățămant)  trebuie să o respecte. Neconformarea atrage amenzi uriașe.

Persoanele vizate, adică persoanele fizice ( eu, tu , vecina, colegul ) … AU DREPTURI. Care sunt acestea?

    1. dreptul la informare și acces;
    2. dreptul de  intervenție asupra datelor;
    3. dreptul la rectificare;
    4. dreptul la ștergerea datelor;
    5. dreptul la restricționarea prelucrarii;
    6. dreptul la portabilitatea datelor;
    7. dreptul de opoziție și procesul decizitional individual automatizat, inclusiv crearea de profiluri;
    8. dreptul de a depune o plângere în fața autorității de supraveghere  (www.dataprotection.ro).

 

Cam cât vor investi companiile pentru implementarea GDPR?

La șase luni de la data lansării liniilor directoare cu privire la Regulamentul 679/2016, PwC a analizat 200 de  companii din SUA pentru a evalua modul în care acestea planifică/bugetează implementarea GDPR.

Rezultatele au arătat că majoritatea firmelor consideră implementarea cerințelor GDPR drept principala lor prioritate în domeniul protecției datelor cu caracter personal, 76% dintre acestea fiind pregătite să cheltuiască peste 1 milion USD pentru a deveni GDPR compliant.

Acest lucru demonstrează că, datorită prezenței în UE, marile corporații se confruntă serios cu respectarea GDPR. Nici nu ma miră având în vedere riscul de a fi amendat cu 4% din cifra globală de afaceri.
Sunt curioasă care este bugetul companiilor din România pentru GDPR și cum vor profita de modul în care sunt compliant comparativ cu firmele concurente care poate nu sunt încă.

Ce mai presupune implementarea regulementului 679/2016?

Modificări la site și la sistemele interne ale firmelor. Un studiu din 2014 calculase că politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care GDPR vine să o înlocuiască) genera o cheltuială anuală de peste 2 miliarde de euro în cadrul Uniunii Europene. 
Costul investit în aducerea site-ului și a sistemelor interne în conformitate cu reglementările în vigoare fusese atunci estimat la €900/ site.

Cheltuielile pentru conformarea la GDPR

  • dpo-ul – extern sau intern,
  • programatorul/compania externalizata pentru udatarea aspectelor tehnice legate de site si baza de date,
  • consultanți legali și avocați,
  • complexitatea întregului proces,
  • costuri pentru mentenanta ulterioara implementarii GDPR.

Cât a cheltuit compania ta până acum pentru a deveni conformă GDPR?

GDPR – Despre obligațiile operatorului. Contractul dintre operator si procesator

 

  • Alegerea procesatorului – responsabilitatea operatorului
  • Stabilirea prin contract/act obligatoriu a caracteristicilor privind prelucrarea datelor
  • Formă scrisă, inclusiv electronică, pe site
  • Conținut minim:
    • obiectul și durata prelucrării,
    • natura și scopul prelucrării,
    • tipul de date cu caracter personal
    • categoriile de persoane vizate
    • drepturile și obligațiile operatorului
  • Clauze standard: certificare; emise de Comisia Europeană sau AS
  • Simpla existență a contractului cu procesatorul nu înlătură răspunderea operatorului, depinde de prevederi și de verificarea respectării

Note: 

Dacă procesatorul încalcă GDPR, determinând scopul și mijloacele de prelucrare, devine operator.
Nu se asimilează lipsei de instrucțiuni clare din partea operatorului.

Despre DPO – Responsabilul cu Protecția Datelor cu Caracter Personal

Regulamentul 679/2016, GDPR cum îl vom denumi pe scurt,  prevede în Secțiunea 4, articolele 37-39 modul in care este desemnat Responsabilul cu Protecția Datelor cu Caracter Personal – DPO-ul, funcția sa și sarcinile acestuia.

Compania mea trebuie să desemneze un Responsabil cu Protecția Datelor cu Caracter Personal? 

Regulamentul precizează că un DPO este obligatoriu pentru:

  1. toate autoritățile și organismele publice ( indiferent de specificul activității desfășurate și de tipul datelor cu caracter personal)
  2. organizațiile din sectorul privat ale caror activități principale constau în operațiuni de prelucrare a datelor cu caracter personal care implică monitorizarea periodică și sistematică a persoanelor fizice pe scară largă
  3. organizațiile din sectorul privat ale caror activități principale constau în prelucrarea pe scară largă a unor categorii speciale de date cu caracter personal, menționate în GDPR.

Sarcinile Responsabilului cu protecția datelor (DPO):

  1. Informarea organizației și persoanelor vizate cu privire la drepturile și obligatiile lor în baza legislației privind protecția datelor cu caracter personal
  2. Monitorizarea implementării legislației privind protecția datelor cu caracter personal și standardele specifice la care organizația a aderat
  3. Recomandări și  asistență de specialitate organizației cu privire la interpretarea și aplicarea prevederilor legislației privind protecția datelor cu caracter personal
  4. Gestionarea relației cu ANSPDCP – Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
  5. Respectarea principiului obiectivității în domeniul  protecția datelor cu caracter personal
  6. Asigurarea și gestionarea registrului de evidență al prelucrării datelor cu caracter personal
  7. Gestionarea și coordonarea resurselor umane, financiare, tehnice necesare realizări sarcinilor și activităților specifice domeniului protecției datelor cu caracter personal
  8. Dezvoltarea profesională continuă în domeniul protecției datelor cu caracter personal atât a sa cât si a angajaților din companie care sunt direct implicați în prelucrarea datelor cu caracter personal
  9. Monitorizarea aplicarii instrumentelor și metodelor de îmbunătățire a eficacitatii sistemului de management al securitatii informatiei
  10. Analiza si evaluarea riscurilor de prelucrare a datelor cu caracter personal.

Ca parte a acestor sarcini de monitorizare a conformității, DPO poate, în special:

  • să colecteze informații pentru identificarea operațiunilor de prelucrare
  • să analizeze și să verifice conformitatea operațiunilor de prelucrare
  • să informeze, să consilieze și să emită recomandări operatorului sau persoanei împuternicite de operator.

Monitorizarea conformității nu înseamnă că DPO este personal responsabil în situația în care există un caz de nerespectare. RGPD spune clar că operatorul, și nu DPO, are obligația de a „pune în aplicare măsuri tehnice și orgnizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul Regulament” .

Respectarea normelor de protecției a datelor este o responsabilitate corporativă a operatorului și nu a DPO.

  1. Rolul responsabilului cu protecţia datelor
  • să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter personal;
  • să monitorizeze respectarea RGPD și a legislaţiei naţionale în domeniul protecţiei datelor;
  • să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor și să verifice efectuarea acestora;
  • să coopereze cu autoritatea pentru protecţia datelor și să reprezinte punctul de contact în relaţia cu aceasta.
  1. Rolul DPO în evaluarea impactului operațiunilor de prelucrare

Operatorul și nu DPO efectuează, atunci când este necesar, o evaluare a impactului operațiunilor de prelucrare („DPIA”). Cu toate acestea, DPO are un rol foarte important și util în asistarea operatorului. Potrivit principiului protecția datelor începând cu momentul conceperii, operatorul „solicita avizul” DPO la realizarea DPIA. DPO „ofera consiliere la cerere în ceea ce privește DPIA și monitorizeaza funcționarea acesteia, în conformitate cu RGPD”.

Operatorul solicită avizul DPO în legătură cu următoarele aspecte, printre care:

  • dacă să efectueze sau nu DPIA
  • ce metodologie să fie folosită la efectuarea DPIA
  • dacă să efectueze DPIA intern sau să externalizeze
  • ce garanții (inclusiv măsuri tehnice și organizaționale) să pună în aplicare pentru reducerea oricăror riscuri la adresa drepturilor și intereselor persoanelor vizate
  • dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă să continue sau nu prelucrarea și ce garanții să pună în aplicare) respectă RGPD.

Informații complete despre Responsabilul cu protecția datelor cu caracter personal le puteți găsi si pe situl Autoritatii de Supraveghere – Ghid privind Responsabilul cu protecția datelor (‘DPOs’) 

De asemenea, Autoritatea Națională pentru Calificări a aprobat conform deciziei 74/19.03.2018 standardul ocupațional pentru educația și formare profesională a Responsabililor cu Protecția Datelor cu Caracter Personal – cod COR 242231.

 

 

6 pași pentru conformitatea la GDPR

Regulamentul (UE) 2016/679, privind protecția datelor cu caracter personal se va aplica de la 25 mai. Esti pregatit?

Pasul 1: Numirea responsabilului cu protecția datelor (“DPO”)

În Regulamentul (UE) 2016/679 ( în engleză, GDPR) , Secțiunea 4 (articolele 37 – 39) prevede cum este desemnat un DPO, funcția sa și sarcinile acestuia.

Primul pas va fi finalizat odată ce entitățile juridice au desemnat un responsabil pentru punerea în aplicare a măsurilor de conformitate cu GDPR pe baza unei decizii a administratorului prin care se oferă acestei persoane resurse (financiare, umane, etc) pentru a-și îndeplini sarcinile. Despre DPO și cum poate fi acesta numit, intern sau externalizat, precum și ce trebuie sa facă, vom reveni într-un episod al noii serii „Ask the DPO”.

Pasul 2: Cartografierea datelor

Pentru a doua etapă se recomandă identificarea tipurilor de date prelucrate prin pregătirea  unui registru al activităților de prelucrare a datelor cu caracter personal ( și întreținerea sa ulterioară ).
Regulamentul prevede că organizațiile vor trebui să păstreze o documentație internă completă a tuturor activităților lor de prelucrare a datelor.

Organizațiile pot trece la pasul 3 dacă:

  • au verificat dacă toate departamentele ( HR, Marketing, Vanzari, IT, IS)  care procesează date personale au stabilit o listă a activităților lor de prelucrare a datelor și au definit scopurile pentru care le folosesc
  • au  consimțământul persoanelor vizate pentru TOATE datele prelucrate și pentru fiecare scop ( dacă nu au atunci se trece la obținerea consimțământului sau la ștergerea datelor)
  • au identificat procesatorii de date implicați în fiecare activitate de prelucrare a datelor
  • au identificat dacă sunt transferate datele și/sau cui sunt transferate, unde sunt găzduite/stocate și pentru cât timp.

Pasul 3: Prioritizarea acțiunilor de conformitate

După pregătirea registrului de date cu caracter personal, din a doua etapă, se recomandă identificarea acțiunilor care vor trebui implementate, pentru fiecare activitate de prelucrare a datelor, pentru a respecta obligațiile actuale și viitoare privind protecția datelor.

Această priorizare trebuie realizată ținând cont de riscurile pentru drepturile și libertățile persoanelor vizate.

  Ce trebuie sa stii cu privire la activitatile din aceasta etapa:

  • te-ai asigurat că numai datele cu caracter personal care sunt strict necesare sunt colectate și prelucrate ulterior;
  • ai identificat temeiul legal pentru prelucrarea datelor, iar acolo unde nu aveati consimtamant fie ati incercat obtinerea lui fie ati sters datele
  • ai revizuit Politica de Confidentialitate existenta pentru a respecta cerințele privind notificarea persoanelor vizate in GDPR;
  • ai verificat că toți procesatorii de date de date cu care colaborati sunt conștienți de noile lor obligații si responsabilități din cadrul GDPR – Ati revizuit contractele cu procesatorii de date
  • ai introdus clauzele de confidențialitate adecvate sunt în acordurile de servicii si in contractele de munca ale angajatilor;
  • ai definit proceduri de raspuns la solicitările persoanelor vizate in ceea ce priveste drepturile lor la protecția datelor;
  • ai verificat măsurile tehnice privind de securitatea datelor

 

Al treilea pas va fi finalizat după ce organizațiile au identificat acele activități de prelucrare a datelor care implică un risc asupra drepturilor și libertăților persoanelor vizate și au implementat măsuri pentru a le proteja pe acestea în legătură cu prelucrarea datelor cu caracter personal.

Pasul 4: Gestionarea riscurilor

Dacă în etapa anterioară organizațiile au identificat activitățile de prelucrare a datelor care pot prezenta riscuri mari pentru drepturile și libertățile persoanelor vizate, acestea vor trebui să efectueze o evaluare a impactului prelucrarii datelor cu caracter personal asupra vieții private (“DPIA“) pentru fiecare din aceste activități de prelucrare a datelor.

Atentie ! DPO ul nu intocmeste aceasta evaluare, ci doar consilieaza si supravegheaza executia ei. De asemenea, DPIA este un document la care trebuie sa colaboreze reprezentantii tuturor departamentelor in care se prelucreaza date cu caracter pesonal. Rolul DPO-ului aici este de a se asigura ca obtine informatiile necesare pentru realizarea DPIA.

Pasul 5: Organizarea proceselor interne

Organizațiile trebuie să implementeze proceduri interne pentru a garanta protecția datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul unei activități de prelucrare a datelor (cum ar fi încălcarea securității datelor, gestionarea cererilor persoanelor vizate, la datele colectate, schimbarea procesatorilor sau a altor procesatori de date cu care au relatie etc.).

Ce trebuie facut

  • Respectă principiile de protecție a datelor atunci când elaborezi o aplicație sau o activitate de prelucrare a datelor: un nou serviciu, produs, oferta, etc ( Privacy by default and by design )
    Trebuie sa cresti gradul de conștientizare al angajaților și sa te asiguri că informațiile despre cum sunt gestionate/prelucrate datele cu caracter personal sunt prezentate atat pentru top management cat si pentru cei care au contact direct cu acestea, cei care le prelucreaza in mod direct, în special prin dezvoltarea unui plan de formare și comunicare – Traininguri pentru angajati sau orice masura de informare: comunicare prin intranet, webminarii, etc…
    Ai grija de managementul plângerilor/intrebarilor/solicitarilor persoanelor vizate și cererile de exercitare a drepturilor lor de protecție a datelor;
    Procedura cu privire la masurile tehnice pentru securitatea datelor: cine are acces la date, cum, cand, in ce situatii, ce face…
    In cazul breselor de securitate, sa notifici Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal în termen de 72 de ore
    Sa notifici persoanele vizate afectate fără întârzieri nejustificate – In cazul unei brese de securitate in care datele au fost pseudonimizate/criptate nu este obligatorie notificarea persoanelor vizate.

Pasul 6: Documentația privind măsurile de conformitate

Pentru etapa finală, organizațiile trebuie să intocmeasca un dosar – fizic si electronic – cu documentele necesare pentru demonstra conformitatea la cerintele GDPR. Acțiunile și documentele elaborate la fiecare pas trebuie să fie reexaminate și actualizate în mod regulat pentru a asigura protecția continuă a datelor, dup incheierea celei de-a sasea etape.

Documentația va trebui să includă:

  • registrul activităților de prelucrare a datelor (pentru controlorii de date) sau categoriile de activități de prelucrare a datelor (pentru procesatorii de date)
    DPIA – studiul de impact pentru prelucrarea datelor cu risc ridicat
  • alte mecanisme de transfer de date (de exemplu, Binding Corporate Rules, Certificări, după caz);
  • declarații de confidențialitate – Privacy Policy
  • formularele de consimțământ, precum și dovezile că persoanele vizate și-au dat consimțământul sau temeiul juridic al prelucrării datelor
  • procedurile puse în aplicare pentru exercitarea drepturilor de protecție a datelor ale persoanelor vizate;
  • contractele updatate cu clauzele privind protectia datelor cu furnizori / procesatori de date
  • procedurile interne în cazul unei încălcări a datelor.

Al șaselea pas va fi finalizat odată ce dosarul cu toata documentația demonstrează că entitatea juridică respectă obligațiile GDPR.

Urmează a doua etapă – etapa de monitorizare și raportare, etapa cea mai dificilă, care trebuie să aibe KPI pentru a se putea evalua. Însa despre etapa aceasta revenim cu un live din seria “Ask the DPO”.