Cele mai importante prevederi GDPR

  • 0

Cele mai importante prevederi GDPR

General Data Protection Regulation (GDPR)

Din 25 Mai 2018 in Romania si in restul Uniunii Europene se va aplica REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). In continuare ne vom referi la Regulament ca GDPR.

Consimtamantul (Consent): Regulile priving consimtamantul se vor schimba acesta va fi obligatoriu explicit si specific pentru operatiunea de procesare – consumatorul trebuie sa actioneze pentru consimtamant, opusul – si in acelasi timp limitat/proportional cu scopul procesarii (nu poti cere consimtamantul pentru orice fel de procesare, acesta trebuie sa fie clar si limitat/proportional cu tipul de date/tipul de procesare). In principiu controlorii de date nu pot colecta si procesa mai multe date decat pentru ce este nevoie in scopul declarat si legal al procesarii.
Validitatea consimtamantului: Consimtamantul poate fi retras, trebuie sa fie liber, valid, informat si pro-activ. GDPR aduce un set de conditii pentru validitatea consimtamantului ce includ si lipsa de echilibru in pozitii.
Consimtamantul pentru copii: Pt persoanele sub 16 ani (dar nu sub 13 ani – decizie a statelor member) nu poate fi obtinut consimtamantul direct.
Profiling: In cazul in care consumatorul este supus unor decizii automate fara efect legal – sau fara un efect similar al efectelor legale (in cazul angajarii, asigurari, etc.) consumatorul trebuie sa se poata opune acestor decizii si sa obtina interventia unui operator uman. In cazul in care efectele procesarii sunt efecte legale sau semnificative, procesarea pt profiling trebuie sa se bazeze pe consimtamantul consumatorului.
Direct Marketing: GDPR permite procesarea pentru direct marketing atat timp cat consumatorul beneficiaza de un system opt-out.
Documentare: GDPR cere documentarea operatiunilor de procesare.
Responsabilitati: In cazul in care controlorul lucreaza cu procesatori, controlorul are responsabilitatea sa se asigure ca procesatorii au mijloacele necesare pentru a respecta prevederile legale.
Responsabil pt protectia datelor: In cazul in care operatiunile de procesare includ procesarea de date sensibile sau in cazul care procesarea implica monitorizarea unui numar mare de subiecti, companiile sunt obligate sa numeasca un responsabil pentru protectia datelor.
Legitimate interest: Una din cele 6 baze legale pentru procesarea datelor este interesul legitim. Acesta poate fi folosit pentru procesare si de catre terti.
Risky processing: In principiu este interzisa prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. GDPR prevede un numar de scenarii unde procesarea de astfel de date este permisa, cu un numar de precautii. In unele cazuri controlorul de date trebuie sa consulte chiar si publicul cu privire la efectul operatiunilor inainte de a procesa datele.
Codes of conduct: GDPR permite ca site-urile sa foloseasca metode alternative de informare cum ar fi icons. In acelasi timp GDPR se bazeaza pe coduri de bune practici care pot fi dezvoltate de asociatii cum ar fi ARMO.
Breach notification: Operatorii sunt obligati sa tina un jurnal al incidentelor under datele (siguranta si integritatea) ar fi putut fi compromise. In unele cazuri exista o obligatie de a raporta aceste incidente autoritatilor si consumatorilor in 72 de ore.


  • 0

Dacă firmele nu vor verifica acordul părintesc pentru prelucrarea datelor copiilor sub 16 ani, vor risca amenzi uriașe

Copiii care încă n-au împlinit 16 ani vor putea folosi servicii online precum magazinele, rețelele sociale sau e-mail-ul doar în baza unui acord părintesc, prevede un regulament european ce se va aplica din mai 2018 și în România. Însă trebuie punctat că firmele vor trebui să verifice cât de cât veridicitatea acelui acord, altfel vor risca amenzi uriașe. De asemenea, sancțiunile vor fi valabile și pentru companiile care vor ignora complet obligația de a verifica vârsta utilizatorilor.

Solicitarea acordului părinților pentru folosirea serviciilor online de către copiii sub 16 ani este stabilită de Regulamentul general privind protecția datelor (GDPR), obligație a cărei încălcare va putea aduce amenzi de până la 2% din cifra de afaceri totală anuală. Actul normativ se va aplica, începând cu data de 25 mai 2018, în toate statele membre ale Uniunii Europene, fără să fie necesare formalități de transpunere în legislațiile autohtone.

„(…) în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului”, scrie în GDPR.

Concret, acordul parental va fi obligatoriu pentru ca un copil sub 16 ani să poată să folosească servicii online ce presupun prelucrarea datelor personale. În plus, GDPR impune firmelor să depună toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile”.

Practic, asta înseamnă că societățile vor trebui să facă mai mult decât să obțină un simplu acord neverificat, care, în destule cazuri, ar putea fi dat chiar de copiii sub 16 ani, nu de părinții lor. Totuși, o specialistă în protecția datelor a explicat redacției noastre că asta nu înseamnă introducerea unei verificări exagerate.


  • 0

Din mai 2018, instituțiile statului vor avea nevoie de DPO, inclusiv primăriile


În măsura în care prelucrează datele personale ale românilor, instituțiile și autoritățile statului vor avea nevoie de responsabili cu protecția datelor („data protection officer” sau DPO, pe scurt), conform unui regulament european care se va aplica inclusiv în România din mai 2018. De exemplu, vorbim nu doar de Guvern și Parlament, ci și de primării și consilii județene. Totuși, va exista posibilitatea numirii unui DPO unic pentru grupuri de entități publice.

Responsabilul cu protecția datelor este o funcție ce va deveni obligatorie, începând din 25 mai 2018, pentru aproape toate entitățile de stat care prelucrează date personale, nu doar pentru firme. Obligația este prevăzută în Regulamentul general privind protecția datelor (GDPR), care se va aplica, în mod direct, și în România de la data respectivă.
Astfel, desemnarea unui DPO va fi necesară ori de câte ori „prelucrarea [de date personale] este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale”, se arată în actul normativ.
Atunci când vorbim despre entități de stat, ne referim, în esență, la Guvern, Parlament, primării, consilii locale și județene sau chiar autorități autonome. Cu alte cuvinte, orice instituție sau autoritate ce ține de stat va avea nevoie de un DPO în măsura în care prelucrează date personale.
Conform GDPR, în funcție de structura organizatorică și dimensiune, grupuri de entități de stat vor putea să desemneze un DPO unic: „În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecția datelor unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare structura organizatorică și dimensiunea acestora”.


  • 0

Ce presupune alinierea la GDPR?

Noul regulament european privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date („GDPR”) va intra în vigoare la data de 25 mai 2018.
Modificările aduse de GDPR vizează în principal un control sporit al prelucrărilor datelor cu caracter personal, control exercitat atât de persoanelor fizice vizate cât și de autoritățile de protecția datelor.
Dar cum ne aliniem noilor prevederi și care sunt pașii pe care societățile trebuie să îi implementeze pentru a asigura conformitatea cu noua reglementare?
ACȚIUNI PENTRU ALINIEREA LA GDPR
Toate societățile procesează datele personale în activitatea lor, fie că aceste date sunt ale, angajaților, clienților, furnizorilor sau oricăror parteneri contractuali.
GDPR aduce noi obligații însă și sancțiuni mult mai mari față de prevederile anterioare.
Pentru alinierea la noile prevederi in materia de protecția datelor cu caracter personale, am preluat câteva acțiuni care necesită o atentă implementare.
1. Inventarierea datelor cu caracter personal
2. Stabilirea scopurilor în care prelucrați datele cu caracter personal
3. Stabilirea temeiului legal pentru fiecare dintre scopurile de prelucrare
4. Obținerea consimțământului
5. Respectarea drepturilor persoanelor vizate
6. Revizuirea contractelor cu împuterniciții
7. Evidențele activităților de prelucrare
8. Securitatea datelor cu caracter personal
9. Stabilirea procedurii de notificare a autorității de supraveghere în cazul încălcării securității datelor cu caracter personal
10. Evaluarea impactului asupra protecției datelor cu caracter personal
11. Desemnarea responsabilului cu protecția datelor
În cazul în care activitățile principale ale societății constă în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă, sau activitățile principale constau în prelucrarea pe scară largă a unor categorii speciale de date, aveți obligația de a desemna un responsabil cu protecția datelor.
Responsabilul cu protecția datelor trebuie implicat în toate aspectele ce vizează protecția datelor cu caracter personal.
NOI SANCȚIUNI
– Amenzi de până la 10.000.000 EUR sau până la 2% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru încălcări privind obligațiile operatorului și împuternicitului;
– Amenzi de până la 20.000.000 EUR sau până la 4% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru încălcarea principiilor de bază privind prelucrarea datelor, inclusiv consimțământul, încălcarea drepturilor persoanelor vizate, transferurilor internaționale de date și nerespectarea măsurilor unei autorități de supraveghere;
Sursa: juridice.ro


  • 0

Ce este mai exact GDPR si ce schimbari aduce?

Noul regulament denumit General Data Protection Regulation (GDPR) înlocuiește Data Protection Directive 95/46/ec, începând din data de 25 mai 2018. GDPR se aplică în fiecare stat membru și va duce la un grad mai mare de armonizare a protecției datelor între țările din Uniunea Europeană. Deși multe companii au adoptat deja anumite procese și proceduri referitoare la confidențialitate, în concordanță cu Directiva, GDPR conține un număr de protecții noi pentru persoanele vizate din UE și amenință cu aplicarea de amenzi și penalități semnificative pentru controlorii și procesatorii de date, care nu vor respecta cerințele, din momentul în care acestea vor intra în vigoare în primăvara anului 2018. Cu noi obligații referitoare la chestiuni precum consimțământul persoanelor vizate, transformarea datelor în date anonime, notificarea încălcărilor, transferurile de date transfrontaliere, dar și numirea ofițerilor de protecție a datelor, pentru a menționa câteva, GDPR le solicită companiilor care lucrează cu datele cetăţenilor din UE, să întreprindă reforme operaționale majore.

Iată, pe scurt, ce le solicita GDPR organizațiilor care colectează și prelucrează datele cetățenilor, ce drepturi garantează fiecărui individ și ce consecințe vor fi în cazul nerespectării regulamentului care va intra în vigoare în luna mai a anului 2018.

Consumatorii pot face următoarele:

  • Își pot retrage consimțământul pentru prelucrarea datelor
  • Pot solicita o copie a tuturor datelor lor
  • Pot cere mutarea datelor lor la o altă organizație
  • Pot opta pentru ștergerea informațiilor pe care nu le maiconsideră relevante
  • Pot obiecta la procesele de luare a deciziilor automatizate

Autoritățile de reglementare pot face următoarele:

  • Pot solicita înregistrări ale activităților de prelucrare și dovada măsurilor adoptate pentru a se conforma cu GDPR
  • Pot impune interdicții temporare de prelucrare a datelor, pot cere notificări de încălcare a securității datelor, sau pot dispune ștergerea datelor cu caracter personal
  • Suspenda transferurile de date transfrontaliere
  • Pot impune sancțiuni de până la 20 de milioane de euro sau 4% din veniturile anuale, în cazul nerespectării regulamentului

Organizațiile și companiile trebuie să facă următoarele:

  • Trebuie să implementeze “Privacy by Default” și “Privacy byDesign”
  • Trebuie să mențină securitatea corespunzătoare a datelor
  • Trebuie să notifice agențiile de protecție a datelor și consumatorii, în cazul breșelor securitate
  • Trebuie să obțină acordul corespunzător pentru colectarea datelor cu caracter personal și să furnizeze notificări ale activităților de prelucrare a datelor cu caracter personal
  • Trebuie să obțină consimțământul unui părinte pentru colectarea datelor, în cazul copiilor cu vârste sub 16 ani
  • Trebuie să țină evidența tuturor prelucrărilor informațiilor personale realizate
  • Trebuie să desemneze un responsabil cu protecția datelor
  • Trebuie să își asume responsabilitatea pentru activitățile desecuritate și de prelucrare, ale unor terți furnizori
  • Trebuie să realizeze evaluări ale impactului protecției datelor, asupra noilor activități de prelucrare
  • Trebuie să instituie garanții pentru transferurile de date transfrontaliere
  • Trebuie să se consulte cu autoritățile de reglementare, înainte de anumite activități de prelucrare
  • Trebuie să fie în măsură să demonstreze conformitatea, la cerere

GDPR dintr-o privire

  1. CARE ESTE LEGEA CURENTĂ ÎN VIGOARE?
    • Protecţia datelor în Europa se bazează, în momentul acesta, pe Directiva 95/46/EC din 24 octombrie 1995.
  2. CÂND VA INTRA ÎN VIGOARE?
    • GDPR a fost finalizat în primăvara anului 2016 şi v-a intra în vigoare în mai 2018.
  3. ACEASTA ÎNSEAMNĂ CĂ LEGEA CURENTĂ NU VA MAI FI VALIDĂ?
    • Da. Când GDPR va intra în vigoare, va înlocui Directiva curentă EU Data Protection Directive 95/46/EC.
  4. CUI I SE VA APLICA GDPR?
    • Legea se va aplica tuturor datelor cu caracter personal şi se aplică tuturor tipurilor de afaceri şi tuturor sectoarelor.
  5. COMPANIILE VOR FI NEVOITE SĂ SE ÎNREGISTREZE LA AUTORITATEA DE SUPRAVEGHERE SAU ALTE AUTORITĂŢI DE REGLEMENTARE?
    • Nu. Nu va fi nici o cerinţă pentru operatorii de date să se înregistreze la autoritatea de supraveghere.

  • 0

Care sunt responsabilitățile DPO?

 

Articolul 39

Sarcinile responsabilului cu protecția datelor:

(1)Responsabilul cu protecția datelor are cel puțin următoarele sarcini:

(a) informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;

(b) monitorizarea respectării prezentului regulament, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;

(c) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35;

(d) cooperarea cu autoritatea de supraveghere;

(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune.


WP2Social Auto Publish Powered By : XYZScripts.com