Embed Size (px)
Citation preview
Page | 1
Cuprins Domenii de aplicare ............................................................................................................................... 2
Concepte noi ........................................................................................................................................... 2
Principii privind protectia datelor.......................................................................................................... 3
Legalitatea prelucrarilor ......................................................................................................................... 4
Consimtamantul ..................................................................................................................................... 4
Notificari ................................................................................................................................................. 5
Dreptul la acces, la rectificare si la portabilitatea datelor persoanelor vizate .................................... 6
Dreptul de a se opune ............................................................................................................................ 6
Dreptul „de a fi uitat” si dreptul de restrictie a prelucrarii ................................................................... 7
Incalcarea securitatii datelor si notificarea ........................................................................................... 7
Obligatii privind administrarea datelor ................................................................................................. 8
Remedieri si responsabilitati ................................................................................................................. 9
Amenzi .................................................................................................................................................. 10
Page | 2
Domenii de aplicare Privire de ansamblu To do:
➢ Comparativ cu Directiva 95/46 / CE (Directiva privind
protectia datelor) pe care il inlocuieste, noul
Regulament General de Protectie a Datelor (GDPR)
extinde domeniul de aplicare al legislatiei UE privind
protectia datelor.
➢ In ciuda faptului ca este un regulament, GDPR
permite statelor membre sa legifereze in multe
domenii.
➢ GDPR nu se aplica pentru anumite activitati,
incluzand prelucrarile prevazute de legislatia
sigurantei nationale sau prelucrari realizate de
persoane fizice pentru activitati personale/
domestice
➢ Regulamentul General de Protectia Datelor a intrat
in vigoare pe data de 25 mai 2016 si va fi de directa
aplicabilitate incepand cu data de 25 mai 2018.
➢ Organizatiile care nu se afla pe teritoriul
Uniunii, dar proceseaza date personale
ale persoanelor fizice aflate pe teritoriul
Uniunii ar trebui sa respecte prezentul
Regulament.
➢ Organizatiile care activeaza in domenii in
care regulile “speciale”/ sectoriale sunt
comune, trebuie sa evalueze daca
necesita legi specifice statelor membre
Concepte noi Privire de ansamblu
➢ Noul Regulament aduce schimbari majore, inclusiv prin intermediul urmatoarelor concepte noi:
• Transparenta si consimtamant – de exemplu informatiile furnizate si solicitatarea permisiunii de
la persoanele vizate pentru a justifica utilizarea datelor personale. Cerintele GDPR se refera la
faptul ca declaratia de consimtamant nu trebuie sa fie ambigua, ceea ce inseamna ca multe astfel
de declaratii vor trebui modificate.
• Copiii si consimtamantul – pentru serviciile online care solicita consimtamant pentru prelucrarea
datelor personale, in cazul datelor personale ale copiilor se verifica consimtamantul parintelui. Statele
membre sunt libere sa adopte propriile lor reguli pentru copiii cu varste intre 13-15 ani, iar daca nu
adopta astfel de reguli, atunci consimtamantul parintilor este solicitat pentru prelucrarea datelor
copiilor cu varste sub 16 ani.
• Alte date personale reglementate (inclusiv date genetice si biometrice)
• Pseudonimizarea – O noua definitie care se refera la tehnica de prelucrare a datelor personale intr-o
maniera in care acestea sa nu mai poata fi atribuite unei anumite persoane vizate fara utilizarea altor
informatii suplimentare, care trebuie stocate separat.
• Incalcarea securitatii datelor - se introduce un nou articol privind comunicarea incalcarii securitatii
datelor pentru toti operatorii de date, indiferent de domeniul lor de activitate
• Protectia datelor din momentul conceperii si responsabilitatea - organizatiile sunt obligate sa
adopte noi masuri tehnice si organizationale semnificative pentru a demonstra conformitatea cu
GDPR.
• Mai multe drepturi – persoanele vizate beneficiaza de mai multe drepturi, inclusiv dreptul de a fi
uitat, dreptul de portabilitate a datelor si dreptul de a se opune.
• Autoritatile de supraveghere - reglementarea supravegherii protectiei datelor se va schimba in mod
semnificativ, inclusiv prin introducerea unei noi autoritati de supraveghere
Page | 3
Principii privind protectia datelor
Privire de ansamblu To do:
➢ Principiile de protectie a datelor sunt revizuite, dar
sunt, in general, similare cu principiile stabilite in
Directiva 95/46 / CE ("Directiva privind protectia
datelor"): corectitudinea, legalitatea si transparenta;
limitarea scopului; minimizarea datelor; calitatea
datelor; securitate, integritate si confidentialitate.
➢ Principiul 1: Legalitate, echitate si transparenta
➢ Principiul 2: Limitari legate de scop
➢ Principiul 3: Reducerea la minimum a datelor-
adecvate, limitate si relevante
➢ Principiul 5: Limitari legate de stocare
➢ Principiul 6: Integritate si confidentialitate –
securitatea datelor
➢ Revizuiti politicile de protectie a datelor, a
codurilor de conduita si a instruirii ca sa
asigurati conformitatea cu noul GDPR
➢ Identificati mijloacele prin care puteti
"demonstra conformitatea" - de ex. respectarea
codurilor de conduita aprobate, deciziilor
adoptate privind prelucrarea datelor si, dupa
caz, evaluari ale impactului asupra
confidentialitatii datelor
➢ Solicitati persoanei vizate sa citeasca notificarea
privind prelucrarea datelor personale.
Notificarea va furniza informatii relevante
privind colectarea si prelucrarea datelor ei
personale
➢ Solicitati persoanei vizate ca Notificarea privind
prelucrarea datelor sa fie citita inainte de
colectare si prelucrare, specificand, de
asemenea, scopul pentru fiecare tip de date
personale colectat.
➢ Pentru a asigura exactitatea si actualizarea
datelor personale, fiecarei persoane vizate i se
cere sa revizuiasca si sa confirme exactitatea
datelor, periodic.
➢ Formulati si respectati politici exacte, specifice
de stocare a datelor
➢ Luati masuri tehnice si organizationale pentru a
securiza datele personale ale persoanelor
vizate impotriva prelucrarii lor neautorizate
sau ilegale, pierderi accidentale sau distrugeri
(ex. certificari ISO 27001)
Operatorul este responsabil de respectarea celor 6 Principii şi poate demonstra această
respectare ("responsabilitate")
Page | 4
Legalitatea prelucrarilor
Privire de ansamblu To do:
➢ Motivele de prelucrare a datelor cu caracter personal
in temeiul GDPR sunt in mare masura pe cele
prevazute de Directiva privind protectia datelor.
➢ Apar limitari privind utilizarea consimtamantului si
prelucrarea datelor in cazul serviciilor online pentru
copii.
➢ Exista restrictii specifice privind capacitatea de a se
baza pe "legalitatea prelucrarii" ca baza de prelucrare
si unele clarificari cu privire la momentul cand acestea
pot fi utilizate.
➢ Exista o lista de factori care trebuie luati in
considerare atunci cand se stabileste daca
prelucrarea datelor pentru un nou scop este
incompatibila cu scopurile pentru care datele au fost
initial colectate.
➢ Asigurati-va ca va sunt clare motivele pentru
care organizatia dvs prelucreza legal date si ca
aceste motive sunt conforme cu GDPR.
➢ Atunci cand e vorba de consimtamant,
asigurati-va ca acesta indeplineste noile cerinte
(a se vedea sectiunea privind consimtamantul
pentru detalii suplimentare)
➢ Evaluati daca noile norme privind datele on-line
pentru copii afecteaza in vreun fel prelucrarea
acestora, si, in caz afirmativ, ce norme interne
va trebui sa urmati (a se vedea sectiunea
privind copii pentru mai multe detalii).
➢ Asigurati-va ca procedurile interne va permit sa
demonstrati modul in care au fost luate
deciziile de utilizare a datelor in scopul
prelucrarii ulterioare si ca au fost luati in
considerare factorii relevanti.
Consimtamantul
Privire de ansamblu To do:
➢ Consimtamantul este supus unor conditii
suplimentare in cadrul GDPR.
• Consimtamantul trebuie separat de alte
acorduri scrise, prezentat in mod clar si usor
de revocat.
• Se vor aplica reguli specifice copiilor in ceea ce
priveste serviciile societatii informationale.
➢ Asigurati-va ca sunt clare motivele privind
legalitatea prelucrarii si ca aceste motive vor
fi in continuare conforme cu GDPR (a se vedea
sectiunea privind legalitatea prelucrarii).
➢ Luati in considerare daca este cazul, cum va
poate impacta procesele de business
prelucrarea datelor copiilor si, daca da, care
sunt regulile nationale pe care trebuie sa le
urmati atunci cand obtineti consimtamantul (a
se vedea sectiunea privind copiii pentru mai
multe detalii).
➢ In cazul in care organizatia dvs. se bazeaza pe
consimtamantul de a prelucra date cu caracter
personal in scopul cercetarii stiintifice, luati in
considerare posibilitatea ca persoanele vizate
sa ofere posibilitatea de a consimti numai
Page | 5
anumite domenii de cercetare sau parti ale
proiectelor de cercetare.
➢ Atunci cand va bazati pe consimtamant ca baza
de prelucrare legala, asigurati-va ca:
• consimtamantul este unul activ si nu
este dat prin absenta unui raspuns,
casute bifate in prealabil sau absenta unei
actiuni;
• consimtamantul pentru prelucrare este
distinct, clar si nu este dat cu alte acorduri
sau declaratii scrise;
• prestarea unui serviciu nu este
conditionata de consimtamantul cu
privire la prelucrarea datelor cu caracter
personal care nu este necesar pentru
executarea acestui contract.
• Persoana vizata este informata ca are
dreptul sa isi retraga in orice moment
consimtamantul. Retragerea
consimtamantului nu afecteaza legalitatea
prelucrarii efectuate pe baza
consimtamantului inainte de retragerea
acestuia
• Retragerea consimtamantului se face la
fel de simplu ca acordarea acestuia.
• Se va obtine cate un consimtamant
separat pentru fiecare operatiune de
prelucrare; si
• consimtamantul nu este invocat in cazul
in care exista un dezechilibru clar intre
persoana vizata si operator (in special
daca operatorul este o autoritate
publica).
Notificari
Privire de ansamblu To do:
➢ Operatorii trebuie sa furnizeze notificari pentru a
asigura transparenta prelucrarii.
• Trebuie furnizate notificari specifice si exista,
de asemenea, o obligatie generala privind
transparenta.
• Se pune accent pe notificari clare si concise
➢ Verificati notificarile de informare existente,
revizuiti-le si actualizati-le.
➢ Pentru datele colectate indirect, asigurati-va ca
notificarea se face la momentul potrivit.
➢ Colaborati cu partenerii relevanti care pot
colecta date in numele organizatiei dvs. pentru
a le atribui responsabilitatea pentru revizuirea,
actualizarea si aprobarea notificarilor.
Page | 6
Dreptul la acces, la rectificare si la portabilitatea datelor persoanelor vizate
Privire de ansamblu To do:
➢ Operatorii de date trebuie, la cerere:
• sa confirme daca prelucreaza date personale ale
unei persoane;
• sa furnizeze o copie a datelor (in mod obisnuit in
forma electronica); si
• sa furnizeze materiale explicative
➢ Persoanele vizate pot, de asemenea, solicita ca datele
lor personale sa fie portate catre un nou furnizor in
cazul in care datele in cauza au fost: 1) furnizate de
persoana vizata operatorului 2) sunt prelucrate
automat; si 3) pe baza consimtamantului sau a
indeplinirii unui contract
➢ Cererea trebuie sa fie indeplinita in termen de o luna
(cu prelungire pentru unele cazuri) si orice intentie de
nerespectare a termenului trebuie explicat persoanei
vizate.
➢ Dreptul la acces este destinat sa permita persoanelor
vizate sa verifice legalitatea prelucrarii, iar dreptul de
a solicita o copie nu ar trebui sa afecteze nefavorabil
alte drepturi
➢ Verificati daca exista suficiente proceduri si
daca echipa care se ocupa cu prelucrarea
datelor este suficient instruita – sunt
procedurile suficiente pentru respectarea
regulilor privind accesibilitatea si portabilitatea,
conform GDPR?
➢ Elaborati template-uri de scrisori de raspuns,
asigurati-va ca sunt furnizate informatiile
necesare
➢ Evaluati capacitatea organizatiei de a furniza
date conform noilor reglementari GDPR
➢ Daca se aplica transferabilitatea, luati in
considerare care dintre inregistrari aplica acest
drept. Verificati daca aceste date pot fi usor
transferate structurat in format electronic.
➢ Luati in considerare dezvoltarea unor portaluri
care sa permita persoanelor vizate accesul la
date pentru a permite exercitarea directa a
drepturilor de acces.
Dreptul de a se opune
Privire de ansamblu To do:
➢ Exista dreptul de a se opune al persoanelor vizate
anumitor tipuri de prelucrari de date:
• in cazul marketingului direct
• prelucrarile legate de o sarcina de interes public
al unei autoritati publice
• prelucrari legate de cercetare sau scopuri
statistice
➢ Numai dreptul de a se opune marketingului direct
este absolut (adica nu este necesara demonstrarea
motivelor pentru obiectii)
➢ Exista obligatii de notificare a acestor drepturi intr-un
stadiu incipient - clar si separat de alte informatii
➢ Serviciile online trebuie sa ofere o metoda
automata persoanelor vizate de a se opune.
➢ Asigurati-va ca persoanele vizate sunt
informate cu privire la dreptul lor de a se
opune, in mod clar, in momentul "primei
comunicari”
➢ Pentru serviciile on line, asigurati-va ca aveti o
modalitate automata pentru ca dreptul de a se
opune sa poata fi exercitat de catre persoana
vizata
➢ Revizuiti listele si procesele de eliminare din
procesele de marketing, (inclusiv cele operate
de catre partenerii si furnizorii de servicii in
numele organizatiei dvs.) pentru a va asigura ca
pot sa opereze in conformitate cu GDPR.
Page | 7
Dreptul „de a fi uitat” si dreptul de restrictie a prelucrarii
Privire de ansamblu To do:
➢ Persoanele fizice pot cere ca datele lor sa fie "sterse"
atunci cand exista o problema legata de legalitatea
prelucrarii sau de retragerea consimtamantului.
➢ Persoana vizata are dreptul de a obtine din partea
operatorului restrictionarea prelucrarii in cazul in care
aceasta contesta exactitatea datelor, pentru o
perioada care ii permite operatorului sa verifice
exactitatea datelor
➢ In cazul in care operatorul a facut publice datele cu
caracter personal si este obligat sa le stearga,
operatorul ia masuri rezonabile pentru a informa
operatorii care prelucreaza datele cu caracter
personal ca persoana vizata a solicitat stergerea de
catre acesti operatori.
➢ Asigurati-va ca personalul responsabil si
furnizorii care primesc cereri de stergere a
datelor stiu cum sa procedeze.
➢ Verificati daca sistemele sunt in masura sa
indeplineasca cerinte de marcare a datelor ca
restrictionate timp in care reclamatiile sunt
solutionate.
Incalcarea securitatii datelor si notificarea
Privire de ansamblu To do:
➢ Operatorul de date si persoana imputernicita de catre
acesta sunt acum supuse unui regim special privind
notificarea autoritatii de supraveghere in cazul
incalcarii securitatii datelor.
➢ Persoanele imputernicite de operator sunt obligate sa
anunte operatorul de date despre incalcarea
securitatii datelor
➢ Operatorii de date trebuie sa anunte autoritatile de
supraveghere de incalcarea securitatii datelor si chiar
si persoanele vizate afectate, in fiecare dintre cazuri
respectand normele GDPR
➢ Operatorii de date trebuie sa pastreze o evidenta
interna a incalcarii securitatii datelor
➢ Neconformitatea poate duce la amenzi pana la 1
milion de euro sau pana la 2% din cifra de afaceri a
anului precedent (care dintre acestea este mai mare)
➢ In conformitate cu principiul responsabilitatii
stabilit de GDPR, operatorul de date si persoana
imputernicita de catre acesta ar trebui sa
formuleze sau sa isi actualizeze procedurile
interne de notificare privind incalcarea
securitatii datelor, inclusiv sistemele de
identificarea a incidentelor si planurile de
raspuns la acestea
➢ Aceste proceduri ar trebui sa fie periodic testate
si revizuite.
➢ Lucrati cu echipe IT pentru a va asigura ca
puneti in aplicare masuri tehnice si
organizatorice corespunzatoare, iar datele sunt
incomprehensibile in caz de acces neautorizat.
➢ Revizuiti politele de asigurare evaluand gradul
de acoperire a acestora in caz de incalcari.
Page | 8
Obligatii privind administrarea datelor
Privire de ansamblu To do:
➢ GDPR solicita tuturor organizatiilor sa puna in aplicare
o gama larga de masuri pentru a reduce riscul de a
incalca GDPR si pentru a dovedi ca iau in serios
activitatile de administrare a datelor.
• Acestea includ masuri de responsabilitate
precum: evaluari ale impactului asupra
confidentialitatii, audituri, inregistrari, numirea
unui responsabil de protectie a datelor ("DPO").
• Pentru organizatiile care nu au desemnat un
responsabil privind protectia datelor se vor
impune responsabilitati majore.
➢ Alocati in cadrul organizatiei dumneavoastra un
buget si un responsabil pentru conformitatea
privind prelucrarea datelor. Indiferent daca
numiti sau nu un DPO, lista lunga de masuri
privind administrarea datelor personale
trebuie adoptate in cunostinta de cauza.
➢ Trebuie sa fie clar daca cei carora le-ati
desemnat responsabilitatea sunt sau nu
Responsabili cu Protectia Datelor (in scopuri
GDPR), avand in vedere regulile privind
conflictul de interese si statutul de angajat
protejat care se vor aplica acestor responsabili
conform GDPR
➢ Luati in considerare directia de raportare
(autoritatile de supraveghere se asteapta sa li
se raporteze direct), dar si fisele de post pentru
persoanele desemnate cu responsabilitati
privind prelucrarea datelor
➢ Asigurati-va ca a fost proiectat un program
complet de conformitate in cadrul organizatiei
dvs, care include si elemente de tipul: Evaluarea
impactului asupra protectiei datelor, audituri
periodice; politici HR revizuite si actualizate,
instruiri si constientizari.
➢ Implementati masuri pentru a pregati
inregistrarile activitatilor de prelucrare in cadrul
organizatiei dvs. Daca sunteti un furnizor,
dezvoltati-va strategia dvs. pentru a va ocupa
de cererile clientilor de asistenta in dezvoltarea
acestor inregistrari.
Page | 9
Remedieri si responsabilitati
Privire de ansamblu To do:
➢ Persoanele fizice au urmatoarele drepturi (impotriva
operatorilor si personelor imputernicite de catre
operatori):
• dreptul de a depune o plangere la autoritatile de
supraveghere in cazul in care datele lor au fost
procesate intr-un mod care nu se conformeaza
GDPR;
• dreptul la o cale de atac efectiva in cazul in care o
autoritate de supraveghere competenta nu se
ocupa in mod corespunzator de o plangere;
• dreptul la o cale de atac efectiva impotriva unui
operator sau unei persoane imputernicite de
catre operator; si
• dreptul la despagubiri de la un operator sau de la
o persoana imputernicita in cauza pentru daune
materiale sau morale care rezulta din incalcarea
GDPR.
➢ Atat persoanele fizice, cat si cele juridice au dreptul de
a sesiza instantele nationale impotriva unei decizii
obligatorii din punct de vedere juridic luata de
autoritatea de supraveghere.
➢ Persoanele fizice pot formula cereri de daune morale,
nu doar materiale. Sunt facilitate actiuni de grup.
➢ Caile de atac judiciare si raspunderea pentru
despagubiri se extind atat la operatorii de date, cat si
la persoanele imputernicite de catre acestia care
incalca regulamentul.
➢ Operatorii de date cat si persoanele
imputernicite de catre acestia trebuie sa se
asigure ca acordurile de prelucrare a datelor si
contractele specifica clar scopul si trebuie sa fie
de acord cu mecanismele de rezolvare a
litigiilor privind solutionarea si remedierea
plangerilor.
➢ Operatorii de date, cat si persoanele
imputernicite de catre acestia trebuie sa
raporteze altor operatori de date sau persoane
imputernicite de catre acestia care sunt
implicate in aceeasi prelucrare, orice incalcare
relevanta a conformitatii cu GDPR si orice
reclamatie relevanta primita de la persoane
vizate.
➢ Operatorii asociati implicati in aceleasi
operatiuni de prelucrare ar trebui sa convina
asupra obligatiilor ce le revin in materie de
respectare a regulamentului privind protectiei
datelor, a obligatiilor lor in materie de incalcari
ale securitatii datelor si a mecanismelor de
solutionare a litigiilor privind obligatiile
respective pentru solutionarea cererilor de
despagubire.
Page | 10
Amenzi
Privire de ansamblu To do:
➢ Autoritatile de supraveghere sunt imputernicite sa
impuna amenzi administrative importante atat
operatorilor de date cat si persoanelor
imputernicite de catre acestia.
➢ Amenzile pot fi impuse in loc de sau in plus fata de
masurile care pot fi ordonate de autoritatile de
supraveghere. Acestea pot fi impuse pentru o gama
larga de contraventii, inclusiv incalcari de ordin
procedural.
➢ Amenzile administrative trebuie impuse de la caz la
caz si trebuie sa fie "eficace, proportionale si cu efect
de descurajare "
➢ Exista doua niveluri de amenzi administrative:
o Unele contraventii vor fi supuse unor
amenzi administrative de pana la 10
milioane de euro sau, in cazul
intreprinderilor, 2% din valoarea globala
cifra de afaceri, oricare dintre acestea este
mai mare.
o Alte contraventii vor fi supuse unor amenzi
administrative de pana la 20 milioane EUR
sau, in cazul intreprinderilor 4% din cifra de
afaceri globala, oricare dintre acestea este
mai mare.
➢ Realizati “gap analysis” in ceea ce priveste GDPR
pentru a identifica zonele cu cele mai multe
neconformitati si prioritizati atenuarea acestora,
in special in ceea ce priveste riscul ridicat in
activitati de prelucrare a datelor cu caracter
personal.
➢ Actualizati riscurile
➢ Evaluati riscurile care pot aparea in contractele
cu clientii, furnizorii.
➢ Revizuiti politele de asigurare, evaluand gradul
de acoperire a acestora in caz de incalcari.
➢ Instruiti personalul care prelucreaza date
personale cu privire la principiile din Regulament,
drepturile persoanelor si responsabilitatile
asumate.
