Loading...
FAQ2018-09-25T08:38:44+00:00
Ce este o incalcare a securitatii datelor cu caracter personal?2018-01-10T08:59:52+00:00

GDPR definește o „incalcare a securitatii datelor cu caracter personal” la articolul 4 pct. 12, ca fiind : „o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea„.

Din aceasta perspectiva, rezulta in mod evident faptul ca  o incalcare  a securitatii DCP  este un tip de incident de securitate.  Consecința unei astfel de incalcari este aceea ca operatorul nu va fi capabil sa asigure respectarea principiilor referitoare la prelucrarea datelor cu caracter personal, așa cum se prevede in cuprinsul art. 5 din GDPR.

In context, rugam sa observati diferența dintre un incident de securitate si o incalcare a securitatii datelor cu caracter personal – in esență, in timp ce toate incalcarile securitatii datelor cu caracter personal sunt incidente de securitate, nu toate incidentele de securitate sunt in mod necesar incalcari ale securitatii datelor cu caracter personal. Detalii suplimentare pe acest subiect pot fi obtinute prin parcurgerea Ghidului ”Orientări referitoare la notificarea privind incalcarea securitatii datelor cu caracter personal in temeiul Regulamentului 2016/679”, document ce a fost adoptat la data de 03.10.2017.

Care sunt obligatiile Operatorilor in domeniul formarii personalului care prelucreaza date personale?2018-01-10T09:00:07+00:00
  • Conform prevederilor art. 39 lit. b) din RGPD, una dintre sarcinile ce revin in competenta responsabilului cu protectia datelor se refera la derularea unor ”actiuni de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente”;
  • De asemenea, potrivit Ghidului orientativ referitor la aplicarea Regulamentului General privind Protecţia Datelor destinat operatorilor, intocmit de catre ANSPDC (vezi:www.dataprotection.ro), pentru a se asigura permanent un nivel ridicat de protectie a DCP, operatorul trebuie sa elaboreze proceduri interne iar organizarea acestora implica, in special si intre altele ”sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui plan de pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal”.
Ce inseamna ”dreptul de a fi uitat” si cazurile in care poate fi exercitat?2018-01-10T09:00:25+00:00

”Dreptul de a fi uitat” este consacrat in cuprinsul art. 17 din RGDP, fiind cunoscut ca si dreptul la stergerea datelor.

 

Dreptul ca atare poate fi exercitat in urmatoarele situatii:

  1. a) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  2. b) persoana vizata isi retrage consimtamantul pe baza căruia are loc prelucrarea (conform art. 6 alineatul (1) litera a) sau potrivit art. 9 alineatul (2) litera a) din Regulament) si nu exista niciun alt temei juridic pentru prelucrare;
  3. c) persoana vizata se opune prelucrarii (in temeiul articolului 21 alineatul (1) din RGDP) si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea sau persoana vizata se opune prelucrarii in temeiul art. 21 alineatul (2) din acelasi Regulament;
  4. d) datele cu caracter personal au fost prelucrate ilegal;
  5. e) datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniunii sau al dreptului intern sub incidenaa caruia se afla operatorul;
  6. f) datele cu caracter personal au fost colectate in legătură cu oferirea de servicii ale societatii informationale menţionate la articolul 8 alineatul (1) din RGDP (a se vedea oferirea de servicii ale societatii informationale in mod direct unui copil ).

 

Acest drept este relevant in special in cazul in care persoana vizata si-a dat consimtamantul cand era copil si nu cunostea pe deplin riscurile pe care le implica prelucrarea, iar ulterior doreste sa elimine astfel de date cu caracter personal, in special de pe internet. Persoana vizata ar trebui sa aiba posibilitatea de a-si exercita acest drept in pofida faptului ca nu mai este copil. Cu toate acestea, pastrarea in continuare a datelor cu caracter personal ar trebui sa fie legala in cazul in care este necesara pentru exercitarea dreptului la libertatea de exprimare si de informare, pentru respectarea unei obligatii legale, pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, din motive de interes public in domeniul sanatatii publice, in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice sau pentru constatarea, exercitarea sau apararea unui drept in instanta.

Pentru a se consolida „dreptul de a fi uitat” in mediul online, dreptul de stergere ar trebui sa fie extins astfel incat un operator care a facut publice date cu caracter personal ar trebui sa aiba obligatia de a informa operatorii care prelucreaza respectivele date cu caracter personal sa stearga orice linkuri catre datele respective sau copii sau reproduceri ale acestora. In acest scop, operatorul in cauza ar trebui sa ia masuri rezonabile, tinand seama de tehnologia disponibila si de mijloacele aflate la dispozitia lui, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal in ceea ce priveste cererea persoanei vizate.

Metodele de restrictionare a prelucrarii de date cu caracter personal ar putea include, printre altele, mutarea temporara a datelor cu caracter personal selectate intr-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau inlaturarea temporara a datelor publicate de pe un site. In ceea ce priveste sistemele automatizate de evidenta a datelor, restrictionarea prelucrarii ar trebui, in principiu, asigurata prin mijloace tehnice in asa fel incat datele cu caracter personal sa nu faca obiectul unor operatiuni de prelucrare ulterioara si sa nu mai poata fi schimbate. Faptul ca prelucrarea datelor cu caracter personal este restrictionata ar trebui indicat in mod clar in sistem.

Ce este GDPR?2018-01-10T08:44:11+00:00

Termenul „GDPR” vine de la „General Data Protection Regulation”, denumirea in engleza a „Regulamentului General privind Protectia Datelor” – RGPD, reprezentand o lege adoptata de Parlamentul European în aprilie 2016. Spre deosebire de directivele cu care ne-am obișnuit în trecut, Regulamentele Europene nu au nevoie de legi naționale care să transpună prevederile în legislația fiecărui stat UE și intră în vigoare direct, fără nicio formalitate, în toate statele Uniunii Europene.

Cand intra in vigoare GDPR?2018-01-10T08:44:21+00:00

Regulamentului (UE) 2016/679 din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia ) (Text cu relevanta pentru SEE),  denumit in continuare RGDP(GDPR), astfel cum a fost publicat in Jurnalul Oficial nr. L 119 din 4 mai 2016, p. 1 – 88, are semnificatia declansarii unei adevarate reforme in domeniul de referinta, cu mentiunea ca acesta are aplicabilitate directa in plan national,  urmand sa intre in vigoare incepand cu data de 25 mai 2018.

Ce este pseudonimizarea si in ce consta aceasta?2018-01-10T09:00:49+00:00

Pentru a fi in măsură sa demonstreze conformitatea cu RGPD, operatorul ar trebui sa adopte politici interne si sa puna in aplicare masuri care sa respecte in special principiul protectiei datelor, incepând cu momentul conceperii si cel al protectiei implicite a datelor. Astfel de masuri ar putea consta, printre altele, in pseudonimizarea acestor date .

RGPD defineste pseudonimizarea ca fiind  ”prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul unor masuri de natura tehnica si organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.”

Astfel, aplicarea pseudonimizarii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si ajuta operatorii /persoanele imputernicite de aceştia sa isi indeplineasca obligatiile de protectie a datelor.

Ce este portabilitatea datelor si in ce conditii poate fi aplicata?2018-01-10T09:01:08+00:00

Portablitatea datelor este un drept prevazut de art. 20 din RGPD.

Acest tip de prelucrare confera persoanei vizate posibilitatea de a primi datele cu caracter personal pe care le-a pus la dispozitia operatorului intr-un format structurat, utilizat in mod curent si care poate fi citit automat iar totodata sa transmita respectivele date altui operator.

Se asigura in acest fel libera circulatie a datelor persoanei vizate, un control si o responsabilizare mai mare a acesteia in privinta propriilor date personale, se permite transmiterea directa a datelor personale de la un operator la altul iar totodata este favorizata concurenta intre operatori si stimulata dezvoltarea de noi servicii in UE.

Dreptul se aplica tinand cont de temeiul legal al prelucrarii datelor (fie cosimtamantul persoanei vizate, fie necesitatea derularii unui contract) si de faptul ca este limitat la datele cu caracter personal puse la dispozitie, cu buna stiinta si in  mod activ de persoana vizata, precum si la datele personale generate de activitatea sa. In contextul apropiatei intrari in vigoare a RGPD, apreciem ca se impune ca operatorii sa implementeze proceduri specifice, sa aloce responsabilitati si sa dezvolte mijloacele tehnice necesare pentru a fi in masura sa raspunda unor astfel de solicitari.

In acelasi timp, cand ne referim la  datele angajaților, dreptul se aplica doar daca prelucrarea se bazeaza pe un contract la care persoana vizata este parte. Totodata, consimtamantul ar trebui sa fie liber exprimat in acest context. Conform Ghidului difuzat de Autoritate, in practica, dreptul la portabilitatea datelor in contextul resurselor umane ”se va referi la unele operatiuni de prelucrare (cum ar fi serviciile de plata si compensare, recrutare interna), dar, in multe alte situatii, va fi nevoie de o abordare de la caz la caz pentru a verifica daca sunt indeplinite toate conditiile aplicabile dreptului la portabilitatea datelor.”

Se aplica GDPR companiei mele?2018-01-10T09:01:20+00:00

De regula, răspunsul este „DA”, cu urmatoarele mentiuni:

RGPD (GDPR) se aplică:

prelucrării datelor cu caracter persona (DCP), efectuată total sau parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a DCP care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.

Și mai interesant, trebuie reținut faptul că GDPR se aplică nu doar companiilor cu sediul în Uniunea Europeană, ci și celor cu sediul în alte state ale lumii, în măsura în care ele prelucrează date personale ale unor persoane din Uniunea Europeană. Cu alte cuvinte, daca un retailer mare din spațiul non-UE vinde online și livrează bunuri către persoane din UE, atunci compania respectivă este obligată să respecte condițiile impuse de GDPR.

RGPD (GDPR) nu se aplică:

a) în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii;

b) de către statele membre ale UE, atunci când desfăşoară activităţi care intră sub incidenţa capitolului 2 al titlului V din Tratatul UE (: DISPOZIŢII SPECIALE PRIVIND POLITICA EXTERNĂ ŞI DE SECURITATE COMUNĂ);

c) de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice;

d) de către autorităţile competente (AC) în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor, sau al executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şi al prevenirii acestora.

 

 

 

Care sunt principalele 5 obligatii impuse de GDPR companiei mele?2018-01-10T09:01:33+00:00

Pentru  a raspunde la aceasta intrebare, vom evidentia, in concret, o serie de obligatii ce revin  operatorilor in contextul aplicarii  GDPR:

1.Desemnarea unui DPO

Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 – 39 din RGPD,  în cazul în care operatorul sau persoana împuternicită de operator:  este o autoritate publică sau un organism public, cu excepţia instanţelor în exercitarea funcţiei lor jurisdicţionale; desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor; desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni

2. Cartografierea prelucrarilor de DCP

Toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii prelucrărilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din RGPD. Chiar și operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia cartografierii prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni.

3. Prioritizarea acţiunilor de intreprins : după identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de Regulamentul General privind Protecţia Datelor.

4. Aplicarea unor măsuri speciale (precum evaluarea impactului asupra protecţiei datelor, in cazul în care au fost identificate prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice) si organizarea procedurilor interne, care să garanteze respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date (precum: breșe de securitate; solicitări privind exercitarea drepturilor persoanelor vizate; modificarea datelor cu caracter personal colectate)

5. Asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și organizatorice adecvate (ex.: pseudonimizarea și criptarea datelor cu caracter personal).

 

Este obligatorie desemnarea unui responsabil cu Protectia Datelor (DPO) si ce atributii intra in sfera de responsabilitate a acestuia?2018-01-10T09:01:43+00:00

Desemnarea unui astfel de responsabil este obligatorie in urmatoarele cazuri:

  • Atunci cand prelucrarea se efectueaza de catre o autoritate publica/un organism public, cu exceptia instantelor care actioneaza in exercitarea atributiilor lor jurisdictionale;
  • Atunci cand activitatile principale ale operatorului/persoanei imputernicite constau in activitati de prelucrare ce impun o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;
  • Daca activitatile principale ale operatorului/persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnari penale si infractiuni.

Responsabilul cu protecția datelor poate fi angajat al operatorului/persoanei imputernicite de operator sau poate presta aceste servicii in baza unui contract.

Conform informatiilor comunicate de ANSPDCP, in sfera de responsabilitate a DPO intra urmatoarele sarcini:

  • de a informa si consilia operatorul/persoana imputernicita de operator, precum si angajatii care se ocupa de prelucrarile de date;
  • de a monitoriza respectarea RGPD/a altor dispozitii de drept al Uniunii sau de drept intern, referitoare la protectia datelor;
  • de a consilia operatorul in ceea ce priveşte realizarea unei analize de impact asupra protectiei datelor si de a monitoriza executarea acesteia;
  • de a coopera cu Autoritatea de Supraveghere si de a reprezenta punctul de contact cu aceasta;
  • de a tine seama in mod corespunzator de riscul asociat operatiunilor de prelucrare, la indeplinirea sarcinilor sale.

Intreabati-ne

Daca aveti o intrebare la care nu ati gasit raspunsul!

Prin folosirea formularului sunt de acord cu Politica de confidentialitate APT.

Aveti nevoie de ajutor in
implementarea GDPR?
Lasati-ne cateva detalii despre dvs. si compania pe care o reprezentati,
iar noi vom reveni cu mai multe informatii. 
Vreau sa fiu contactat!
Ma mai gandesc
close-link