Ghid de Implementare GDPR

September 13, 2018 | Author: Oana Cosman | Category: N/A
Share Embed Donate


Short Description

Pe 25 mai 2018, regulamentul GDPR - General Data Protection Regulation - va intra în vigoare la nivelul UE. Ghid de impl...

Description

GDPR SCURT GHID PENTRU IMPLEMENTARE

AV. RUXANDRA SAVA

CE ESTE GDPR? GDPR = Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) GDPR a fost adoptat la data de 27 aprilie 2016, a intrat în vigoare pe 24 mai 2016 și se va aplica direct începând cu 25 mai 2018.

S-a acordat un termen de 2 ani pentru ca entitățile să aibă timp să se alinieze reglementărilor.

GDPR se va aplica direct în Romania incepand cu 25 mai 2018

DEFINITII date cu caracter personal = orice informatii cu privire la o persoana fizica identificata sau identificabila 

operator = entitatea care stabileste scopul si mijloacele prelucrarii datelor

împuternicit = entitatea care prelucrează datele în numele operatorului

persoana vizata = orice persoană fizică

prelucrare  = orice operatiune asupra datelor personale (cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, consultarea etc)

CE SUNT DATELE CU CARACTER PERSONAL? Exemple:

nume, prenume, adresa, CNP, serie si numar CI 

date biometrice 

imagine

telefon

e-mail

adresa IP

orice alte informatii cu privire la o persoana fizica identificata sau identificabila 

venit 

date medicale

ORICE informație. Domeniul este atât de vast încât nu va exista niciodată vreo lista exhaustivă a datelor cu caracter personal.

Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privitoare la persoanele decedate.

Ce se intampla dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale?

Pot fi. Daca exista mijloace care pot conduce catre identificarea persoanei. Aceste mijloace trebuie sa tina cont atat de tehnologia actuala, cât și de cea care va fi (în mod rezonabil) dezvoltată în viitor.

CE SUNT DATELE CU CARACTER PERSONAL SPECIALE?

originea rasiala sau etnica date genetice, biometrice pentru identificarea unică a unei persoane fizice

datele medicale

datele cu privire la viata sexuala date privitoare la fapte penale sau contraventii convingerile politice, religioase, filozofice 

Datele speciale pot fi prelucrate doar în conditii foarte stricte

OPERATOR SAU IMPUTERNICIT?

operator

imputernicit NU este un raport de munca

stabileste scopul si mijloacele prelucrarii

relatie contractuala externalizata (exemple: agentii de marketing, contabili, avocati, furnizori de servicii IT, furnizori de servicii de monitorizare video )

e obligat sa contracteze doar cu imputernicitii care au garantii de confidentialitate si securitate

are majoritatea obligatiilor impuse de Regulament

Pentru incalcarea obligatiilor, imputernicitul poate fi amendat de

are acces la datele personale ale operatorului, dar le prelucreaza doar in numele si conform instructiunilor operatorului

este subordonat operatorului si are obligatia de a nu se abate de la instructiuni

are obligatii precum: a se asigura de securitate, a nu contracta cu un alt subimputernicit fara acordul operatorului, a raporta un incident de securitate

PRINCIPIILE PRELUCRĂRII

Legalitate, echitate și transparență Datele sunt prelucrate în mod legal, echitabil și transparent faţă de persoana vizată

Limitare la scop datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri

reducerea la minimum a datelor datele sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate 

exactitate datele sunt exacte și, în cazul în care este necesar, sunt actualizate

limitări legate de stocare datele nu trebuie păstrate mai mult decât e necesar

securitate si confidentialitate datele sunt prelucrate întrun mod care asigură securitatea adecvată

Cele sase principii de mai sus trebuie respectate simultan! Nerespectarea lor poate conduce la amenzi de până la 20.000.000 euro sau 4% din cifra de afaceri.

TEMEIURILE PRELUCRĂRII Prelucrarea este legală doar dacă este necesară pentru:

încheierea sau executarea unui contract

persoana vizata si-a dat consimtamantul

îndeplinirea unei obligații legale

atingerea intereselor legitime urmărite de operator sau de un terţ

îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice

Trebuie sa existe ce putin un temei  de mai sus astfel incat prelucrarea sa fie legală!

Spre deosebire de reglementarea anterioara, unde consimtamantul era regula, GDPR aduce toate temeiurile pe pozitie de egalitate.  Nu are niciun rost sa obtii consimtamantul persoanei atata timp cat prelucrarea ta are alt temei, ca executare unui contract, indeplinirea unei obligatii legale sau chiar un interes legitim.

Dar dacă ești obligat să obții consimțământul... Consimtământul trebuie să fie:

dat in mod liber - alegere reala

specific, pentru fiecare scop in parte informat asupra tuturor detaliilor prelucrării

lipsit de ambiguitate

Operatorul trebuie sa poata face dovada ca a obtinut un consimtamant valabil

In situatia unui dezechilibru de putere, de exemplu angajat-angajator, consimtamantul nu este valabil decat in mod exceptional

Inainte de obtinerea consimtamantului, persoanei trebuie sa i se furnizeze, intr-un limbaj simplu si clar: identitatea operatorului, scopurile prelucrarii, tipurile de date colectate, existenta dreptului de retragere si, daca e cazul, informatii despre profilare si decizii automate

Retragerea consimtamantului poate fi facuta oricand si la fel de simplu ca acordarea lui

Tăcerea, inacțiunea sau căsuțele pre-bifate nu valoreaza consimtamant

Pentru datele sensibile, consimtamantul trebuie sa fie explicit (declaratie scrisa, semnatura electronica, verificare in doi factori prin e-mail/ sms etc)

Pentru copiii sub 16 ani, consimtamantul trebuie dat de reprezentantul legal (de obicei, parintele)

În unele situații consimțământul este obligatoriu

marketing prin mijloace electronice

date sensibile

cookies

decizii automate

Daca se doreste recurgerea la interesul legitim pentru prelucrare, trebuie ca interesul sa existe si sa prevaleze asupra drepturilor persoanei vizate

INFORMAREA PERSOANEI VIZATE Indiferent de temeiul prelucrarii, persoana vizata trebuie sa fie informata asupra:

identitatea si datele de contact ale operatorului si, daca e cazul, ale responsabilulul cu protectia datelor obligatia de furnizare a datelor + consecintele nerespectarii dreptul de depune o plangere in fata Autoritatii dreptul de a se adresa justitiei daca se recurge la profilare sau decizii automate scopurile pentru care se prelucreaza datele destinatarii sau categoriile de destinatari daca se transfera date catre state non- UE mijloacele de protectie perioada de stocare sau criteriile utilizate pentru determinarea perioadei

Ce drepturi are persoana vizată?

dreptul la informare persoana vizata are dreptul de a fi informata asupra tuturor aspectelor enumerate anterior 

dreptul de acces persoana vizata are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, are dreptul de acces la datele respective

Ce drepturi are persoana vizată?

dreptul la rectificare Persoana vizata are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

dreptul la stergerea datelor În situațiile în care (1) datele nu mai sunt necesare pentru îndeplinirea scopurilor, (2) s-a retras consimțământul și nu există un alt temei juridic pentru prelucrare, (3) persoana se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau (4) datele cu caracter personal au fost prelucrate ilegal, persoana are dreptul de a obține ștergerea datelor care o privesc, fără întârzieri nejustificate.

Ce drepturi are persoana vizată? dreptul la restrictionarea prelucrarii Persoana vizată are dreptul la restrictionarea prelucrarii in urmatoarele situatii: (a) contestă exactitatea datelor, pentru o perioadă care  permite operatorului sa verifice exactitatea datelor; (b) prelucrarea este ilegală, iar persoana se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor; (c) nu mai este nevoie de datele cu caracter personal în scopul prelucrării, dar persoana le solicita pentru constatarea, exercitarea sau apărarea unui drept în instanță; (d) persoana s-a opus prelucrării în conformitate cu articolul 21 alineatul (1) din GDPR, pentru intervalul de timp în care se verifică dacă interesele legitime ale operatorului prevalează asupra drepturilor persoanei.

Ce drepturi are persoana vizată?

dreptul la opozitie Persoana vizată are dreptul de a se opune, în orice moment, la prelucrarea datelor cu caracter personal. Operatorul va da curs cererii, cu exceptia cazului in care prevaleaza interesele legitime ale sale sau ca scopul este constatarea, execitarea sau apararea unui drept in instanta. Persoana vizata are dreptul de a se opune in orice moment prelucrarii datelor in scop de marketing direct.

dreptul de a nu fi supusa unei decizii automate cu efect semnificativ

Nu are acest drept în cazul în care decizia: (a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date; (b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau (c) are la bază consimțământul explicit al persoanei vizate

dreptul la portabiliatea datelor

Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului, în cazul în care sunt indeplinite cumulativ urmatoarele conditii: (a) prelucrarea se bazează pe consimțământ sau pe un contract  și (b) prelucrarea este efectuată prin mijloace automate.

dreptul de a-si retrage consimtamantul acordat in orice moment si in mod gratuit

Drepturile nu sunt absolute și exista exceptii.

In situatia unei cereri din partea persoanei vizate, operatorul este obligat sa raspunda fara o intarziere nejustificata si in cel mult o luna. In situatia unei cereri complexe, perioada de raspuns poate fi prelungita pentru cel mult o luna.

Nerespectarea drepturilor persoanei vizate poate atrage amenzi de până la 20.000.000 sau 4% din cifra de afaceri, oricare din ele este mai mare.

Persoana vizată poate depune plangere la Autoritate se poate adresa justitiei pentru despagubiri (daune materiale și/sau morale)

RESPONSABILITATEA OPERATORULUI

Stabilirea politicilor tehnice și organizationale care sa asigure respectarea GDPR 

Respectarea drepturilor persoanei vizate

Informarea adecvată a persoanelor vizate prin note de informare/politici de confidențialitate în mod fizic sau pe site

Securitatea  și confidențialitatea datelor (criptare, anonimizare, pseudonimizare) Alegerea cu mare grijă a persoanelor împuternicite, întrucât acestea trebuie să prezinte garanții suficiente de conformare cu Regulamentul

RESPONSABILITATEA OPERATORULUI

  Managementul adecvat al incidentelor de securitate

Cooperarea cu autoritatea de supraveghere

In unele cazuri, pastrarea evidentei activitatilor de prelucrare In unele cazuri, intocmirea unor studii de impact (DPIA)

In unele cazuri, numirea unui responsabil cu protectia datelor (intern extern) Respectarea tuturor principiilor prelucrării de la art. 5 Pentru nerespectarea punctelor de mai sus, operatorul poate fi sanctionat cu amenda de pana la 20.000.000 euro sau 4% din cifra de afaceri, pentru fiecare abatere

CAND ESTE NECESARA PASTRAREA EVIDENTEI ACTIVITATILOR DE PRELUCRARE?

cand firma are peste 250 de angajati

prelucrarea nu este ocazionala

prelucrarea implica un risc pentru persoana vizata

se prelucreaza categorii speciale de date

CE TREBUIE SA CUPRINDA EVIDENTA PASTRATA DE OPERATOR? (a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor; (b) scopurile prelucrării; (c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal; (d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale; (e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective, documentația care dovedește existența unor garanții adecvate; (f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date; (g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate 

Si persoana imputernicita are, in unele cazuri, obligatia de pastrare a evidentei prelucrarilor

CAND ESTE NECESARA REALIZAREA UNUI STUDIU DE IMPACT?

“în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”

Există șanse mari ca Autoritatea de supraveghere să întocmească o listă care cuprinde activitățile de prelucrare pentru care este necesar realizarea unui studiu de impact.

??!

Evaluarea impactului este necesara mai ales in urmatoarele situatii: (a) evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice pentru a se lua decizii automate cu impact semnificativ (b) prelucrării pe scară largă a unor categorii speciale de date (de exemplu, o aplicație de sanătate) sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul; sau (c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Evaluarea impactului trebuie sa se realizeze inaintea prelucrării. Dacă în urma evaluării, rezultă un risc ridicat, se va consulta Autoritatea de Supraveghere

CAND ESTE NECESAR RESPONSABILUL CU PROTECTIA DATELOR? Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni

Responsabilul cu protectia datelor poate fi intern (angajat) sau extern (SRL, PFA, Avocat) și trebuie să aibă cunoștințe de specialitate și experiență în domeniul protecției datelor cu caracter personal

MANAGEMENTUL INCIDENTELOR DE SECURITATE Exemple de incidente de securitate: atacuri cibernetice, pierderea unui dispozitiv (laptop, tableta, telefon) pe care sunt stocate date cu caracter personal, sustragerea de catre un angajat documente care conțin date personale etc.

In situatia unui incident de securitate, operatorul este obligat  să notifice de urgență Autoritatea de Supraveghere, de regulă, în cel mult 72 ore. Prin notificare trebuie descris în amănunt incidentul, consecințele probabile și măsurile luate pentru remedierea problemei. Dacă incidentul poate genera un risc ridicat pentru persoana vizată, operatorul este obligat să o informeze fără întârziere. 

Prezentul Ghid este pus în mod gratuit la dispoziția publicului din România și poate fi descărcat de pe site-ul www.legalup.ro.  Materialul este protejat de drepturi de autor în temeiul Legii nr. 8/1996 și orice copiere, distribuire, reproducere, republicare reprezintă contravenție. Ne rezervăm dreptul de a solicita despagubiri pentru prejudiciile cauzate.  Prezentul Ghid este redactat în scop de informare de av. Ruxandra Sava și nu reprezintă o consultație juridică în sensul Legii 51/1995 pentru organizarea și exercitarea profesiei de avocat. Este de la sine înțeles că ghidul nu acoperă în mod exhaustiv situațiile care se pot ivi în practică. De aceea recomandăm apelarea la consultanță specializată în vederea implementării. 

Te putem ajuta să te aliniezi la GDPR! Ruxandra Sava Avocat și Specialist Protecția Datelor [email protected] http://legalup.ro 0745.073.156

View more...

Comments

Copyright © 2017 KUPDF Inc.
SUPPORT KUPDF