Ghid poc imbunatatirea continutului digital si a infrastructurii TIC sistemic...
One-IT - prezentare GDPR-ul si Protectia datelor personale
1. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Nicolae Onțiu
Business Manager, One-IT
GDPR-ul și PROTECȚIA DATELOR
– pe înțelesul tuturor -
2. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
1. Regulamentul nr. 679 din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal
Ce este GRPR-ul?
2. Aplicare din: 25 mai 2018
3. Aplicare DIRECTĂ în statele membre UE
4. Abroga Directiva 95/46/CE
3. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
5. Un nou regulament al Uniunii Europene care sporește nivelul de
protecție a datelor cu caracter personal ale rezidenților UE.
Se aplică oricărei organizații - indiferent unde își are sediul
- care gestionează datele cu caracter personal ale cetățenilor Uniunii
Europene
Ce este GRPR-ul?
6. Permite și încurajează autoritățile de reglementare
să perceapă amenzi remarcabil de mari:
4% din cifra de afaceri globală anuală sau
20 de milioane de Euro - oricare este mai mare.
4. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Protejarea cu strictețe a modului în care sunt culese, folosite,
transmise și arhivate datele personale ale cetățenilor Uniunii
Europene
Obiectivul GDPR
5. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Termeni și definiții
Date cu caracter personal Date cu caracter special
Orice informații
privind o persoana fizică identificată sau
identificabilă (persoana vizată),
direct sau indirect, cum ar fi nume,
prenume, număr de identificare, date de
geolocalizare, identificator online (adresa
IP, cookie IP) și orice elemente specifice
identității sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale.
date privind originea etnică sau rasială
date privind opiniile politice
date privind confesiunea religioasă sau
convingerile filozofice
apartenența la sindicate
date genetice, data biometrice
date privind sănătatea
date privind viața sexuală sau orientarea
sexuală
6. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Termeni și definiții
Operațiuni cu date
Colectarea, inregistrarea ,organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea,
divulgarea prin transmitere,
diseminarea sau punerea la dispoziție prin orice alt mod,
alinierea sau combinarea,
restricționarea,
ștergerea sau distrugerea.
7. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Termeni și definiții
DPO -- Responsabilul cu protecția datelor
Obligatoriu în cadrul:
- autoritățile publice
- operatorii care realizează o monitorizare pe scară largă a persoanelor fizice
- operatorii care prelucrează pe scară largă unele categorii speciale de date
Nu poate fi o persoană din conducerea organizației
Din cadrul operatorului/împuternicitului, în subordinea directă a conducătorului –
statut special
Obligații și responsabilități DPO
Informarea și consilierea în organizație cu privire la GDPR
Monitorizarea respectării legislației
Furnizarea de consiliere (evaluarea de impact)
Cooperarea cu ANSPDCP
9. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Condiții – consimțământ valabil
Directiva 95/46 GDPR
Consimțământ:
Orice indicație liberă, specifică, în
cunoștință de cauză și clară;
Liber exprimat:
Directiva nu oferă informații cu privire
la această semnificație, sintagma
rezultă din Opiniile Grupului de Lucru
Articolul 29
Consimțământ:
Orice indicație liber exprimată,
specifică, în cunoștință de cauza și
clară acordată printr-o declarație sau
o acțiune fără echivoc;
Liber exprimat:
Consimțământul nu este valabil dacă
persoana vizată nu are o alegere
reală sau este în imposibilitatea de a
refuza sau de a-și retrage
consimțământul când există un
dezechilibru între operator și
persoana vizată.
Comparație
10. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Condiții – consimțământ valabil
Directiva 95/46 GDPR
În cunoștință de cauza (informat):
Nu sunt informații cu privire la
această semnificație;
În cunoștință de cauza (informat):
Operatorul se asigura că:
Folosește o manieră inteligibilă și ușor
accesibilă, utilizând un limbaj clar și
simplu;
Informează persoana vizată cel puțin
cu privire la identitatea operatorului,
datele de contact ale responsabilului
cu protecția datelor, după caz,
scopul(urile) prelucrării, destinatării
datelor, statele către care sunt
transferate datele, după caz.
Comparație
11. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Condiții – consimțământ valabil
Directiva 95/46 GDPR
Tăcerea nu reprezintă consimțământ:
Nedefinit clar
Metode de obținere a consimțământului:
Orice metoda care asigură un
consimțământ valabil;
Tăcerea nu reprezintă consimțământ:
Absența unui răspuns, căsuța bifată în
prealabil, acceptare tacita;
Metode de obtinere a
consimtamantului:
Regulamentul recunoaste validitatea
unor metode general utilizate;
Exemplu: bifarea unor casuțe,
alegerea unor caracteristici ale unor
aplicații sau orice altă declarație care
indică în mod clar acordul;
Comparație
12. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Condiții – consimțământ valabil
Directiva 95/46 GDPR
Dovada consimțământului:
Directiva nu impune în mod expres
operatorului obligația de a dovedi
obținerea consimțământului;
Dreptul persoanei vizate de a-și retrage
consimțământul:
Nedefinit
Dovada consimțământului:
Regulamentul prevede în mod expres
că operatorul trebuie să fie capabil să
dovedească obținerea
consimțământului.
Dreptul persoanei vizate de a-și retrage
consimțământul:
Regulamentul recunoaște în mod
expres acest drept;
persoana vizată trebuie informată cu
privire la dreptul de retragere
anterior obținerii consimțământului;
dreptul de retragere trebuie să poată
fi exercitat ușor
Comparație
14. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
1. Informare și conștientizare - toți cei care vor prelucra date personale și
care vor fi implicați în proiect: angajații trebuie să înțeleagă „de ce? , cum?”
Pași pentru alinierea la GDPR
2. GAP analysis – Evaluați sistemele deținute și modurile de
prelucrare a datelor în momentul actual
Unde sunt prelucrate datele? De către cine? Respectă regulile de consimțământ?
3. Actualizare Politicile de confidențialitate
4. Revizuiți acordurile de prelucrare a datelor cu alte organizații
(inclusiv furnizorii de servicii cloud) și evaluați conformitatea
acestora cu prevederile GDPR
15. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
5. Adoptați mecanisme de certificare sau coduri de conduită pentru
protecția datelor de către organizații terțe – contracte refăcute.
Pași pentru alinierea la GDPR
6. Evaluați standardele actuale și certificările care ofera un cadru
structurat pentru GDPR
Exemplu: ISO 27001: standard internațional de securitate a informațiilor care certifică
respectarea inițiala și continuă a conformității cu GDPR (Nu garantează 100% conformitatea )
7. Desfășurați un inventar și un audit al datelor/procedurilor interne
8. Ștergeți date care nu mai sunt necesare pentru a minimiza
expunerea
9. Limitați accesul la date - acces cu parolă individuală a angajatilor
16. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
10. Verificare:
Sistemele de date aflate sub controlul organizației dvs: sistemele de e-mail, bazele
de date și aplicațiile, serverele, programe facturare/ CRM, alte sisteme de
colaborare și arhivele de e-mail
Datele stocate în back-up –uri , (inclusiv date stocate pe dispozitive mobile)
Fluxurile de date care circula în organizație și către alte organizații
Pași pentru alinierea la GDPR
11. Asigurare că persoanele imputernicite au definite procedurile de
lucru și de raportare
12. Măsurile organizatorice și tehnice care fac datele personale
inaccesibile:
Limitarea accesului la datele personale - parolare cu nivele de acces
Criptarea datelor
Pseudonimizare - metodă de anonimizare a datelor personale! Este o tehnică prin care se
restrange legătura dintre un set de date personale și identitatea subiectului.
17. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
13. Managementul consimțământului:
Dezvoltare de proces care să asigure atât colectarea cât și retragerea acestuia.
(inclusiv pe site-ul propriu)
Informarea persoanelore vizate cu privire la consimțământ.
Pași pentru alinierea la GDPR
14. Incălcarea Securității Datelor
Asigurare că aveți sistemele potrivite pentru a detecta, raporta și a investiga o
încalcare a politicilor GDPR.
Raportare bresa securitate către organele competente în maxim 72 ore
( în notificare trebuie descris în amănunt incidentul, consecințele probabile și măsurile luate pentru remedierea problemei )
15. Obligația de a numi un responsabil cu protecția datelor (DPO) , dacă sunt
indeplinite condițiile prevăzute de regulile GDPR
18. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Se impune în cazul prelucrărilor susceptibile să genereze un risc
ridicat precum:
Evaluarea sistematică și cuprinzătoare prin mijloace automate care stau la baza
unei decizii care produce efecte juridice asupra persoanei fizice
Prelucrarea pe scară largă a unor categorii speciale de date cu caracter personal
(ex. date biometrice, date genetice) sau date privind condamnările penale și
infracțiuni
Monitorizarea sistematică pe scară largă a unei zone accesibile publicului (ex.
CCTV).
Privește persoane vulnerabile (angajați, minori);
Evaluarea impactului asupra protecției datelor
19. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Se impune in cazul prelucrarilor susceptibile sa genereze un risc
ridicat precum:
Evaluarea sistematica si cuprinzatoare prin mijloace automate care stau la baza
unei decizii care produce efecte juridice asupra persoanei fiziceInformarea
persoanelore vizate cu privire la consimțământ.
Prelucrarea pe scara larga a unor categorii speciale de date cu caracter personal
(ex. date biometrice, date genetice) sau date privind condamnarile penale si
infractiuni
Monitorizarea sistematica pe scara larga a unei zone accesibile publicului (ex.
CCTV).
Priveste persoane vulnerabile (angajati, minori);
Evaluarea impactului asupra protecției datelor
20. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Exemple pentru care evaluarea de impact este necesară:
Prelucrarea de către un spital de date medicale sau genetice
Culegerea de profiluri de social media pentru a genera profiluri pentru listele de
contact.
Evaluarea impactului asupra protecției datelor
Evaluarea de impact va cuprinde:
Descrierea operațiunilor de prelucrare și a scopurilor
Evaluarea necesității și proportionalității operațiunilor de prelucrare
Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate
Măsurile avute în vedere pentru abordarea riscurilor
21. Tel: 0262 223385 / 0741 224524
www.one-it.ro/business
Intrebări:
Ce s-ar putea întîmpla dacă datele personale nu sunt protejate corespunzător?
Dar persoana vizată care este de fapt clientul tău ce va face?
Cât ar plăti concurența pentru datele tale?
Ce se intampla daca un angajat pleca cu datele clientilor?
Ce se intampla daca un virus iti sterge/fura datele? Dar daca o sa fie facute
publice?
Ce s-ar intampla daca aveti un control de la ANSPDCP?
Concluzii GDPR
- între posibilitatea de fi amendat și „o limitare temporară sau definitivă,
inclusiv o interdicție asupra prelucrării„ este posibil ca unii
operatori/persoane împuternicite să prefere prima variantă…..
Observatii: - aceste informatii nu acoperă în totalitate situațiile care se pot ivi în practică.
- recomandăm apelarea la consultanță specializată în vederea implementării.
* Prezentul material este protejat de drepturi de autor în temeiul Legii nr. 8/1996 și orice copiere, distribuire, reproducere,
republicare fara acordul in scris al autorului reprezintă contravenție.