Obligatii privind guvernanta datelor

Privire de ansamblu

RGPD cere ca toate organizațiile să implementeze o gamă largă de măsuri pentru a reduce riscul încălcării RGPD și pentru a dovedi că iau în serios gestionarea datelor.

  • Măsurile de responsabilitate includ: evaluări ale impactului asupra protecției vieții private, audituri, revizuiri ale politicilor, evidențe ale activității și (potențial) numirea unui responsabil de protecție a datelor a („RPD”).
  • Pentru organizațiile care nu au atribuit responsabilitatea și bugetul pentru conformarea la legislația privind protecția datelor, aceste cerințe vor reprezenta o povară considerabilă.

 

Lista de acțiuni

  • Atribuiți responsabilitatea și bugetul pentru conformarea la legislația privind protecția datelor în cadrul organizației dumneavoastră. Indiferent dacă decideți (sau trebuie) să desemnați un RPD, lista lungă de măsuri de guvernanță a datelor din RGPD necesită asumarea răspunderii pentru adoptarea lor.
  • Clarificați dacă cei cărora le-ați atribuit responsabilitatea sunt sau nu RPD (în scopuri RGPD), având în vedere regulile privind conflictul de interese și statutul de angajare protejat care se va aplica unui RPD în cadrul RGPD.
  • Luați în considerare liniile de raportare – autoritățile de supraveghere vor aștepta o linie directă către consiliul de administrație – și caietul de sarcini pentru cei însărcinați cu responsabilități în domeniul protecției datelor.
  • Asigurați-vă că aveți conceput un program complet de conformitate pentru organizația dumneavoastră care include caracteristici precum: evaluări periodice, audituri regulate, revizuiri și actualizări ale politicii în materie de resurse umane și programe de formare și sensibilizare.
  • Auditați aranjamentele existente ale furnizorilor și actualizați modelul RFP și contractele de achiziții publice pentru a reflecta obligațiile procesatorului de date RGPD.
  • Monitorizați publicațiile autorităților de supraveghere/ale UE și termenii furnizorilor și codurile de practică publicate în industrie, pentru a vedea dacă sunt adecvate utilizării în organizația dumneavoastră. Dacă sunteți furnizor, luați în considerare impactul dispozițiilor RGPD asupra structurii costurilor și responsabilității pentru validarea legalității activităților clientului dumneavoastră.
  • Implementați măsuri pentru a întocmi evidența activităților de prelucrare ale organizației dumneavoastră. Dacă sunteți furnizor, îmbunătățiți-vă strategia de abordare a cererilor clienților pentru asistență în realizarea unor astfel de evidențe.

RGPD consacră o serie de concepte de „guvernanță a datelor”, ale căror virtuți sunt de multă vreme elogiate de către legiuitori și autoritățile de supraveghere. Aceste concepte vor crea noi obligații și costuri operaționale semnificative pentru multe organizații din sectorul public și privat.

Operatorilor li se impune o obligație generală de a adopta măsuri tehnice și organizatorice pentru a-și îndeplini obligațiile RGPD (și pentru a putea demonstra că au făcut-o). Implementarea unui program regulat de audit, plus celelalte măsuri detaliate mai jos (în special PIA) par să fie apreciate de autoritățile de supraveghere în ceea ce privește respectarea obligațiilor RGPD.

Obligațiile-cheie includ următoarele:

Protecția datelor de la momentul conceperii

Organizațiile trebuie să pună în aplicare măsuri tehnice și organizatorice care să demonstreze că au luat în considerare și au integrat măsuri de conformitate privind protecția datelor în activitățile lor de prelucrare.

Adoptarea unor politici adecvate de personal este menționată în mod specific, la fel ca și utilizarea pseudonimiei (pentru a asigura respectarea obligațiilor de minimizare a datelor).

Evaluări ale impactului asupra protecției vieții private (PIA)

O evaluare a impactului asupra protecția datelor, cunoscută și sub denumirea de PIA, este menită să identifice și să minimizeze riscurile de neconformitate. Conceptul nu este unul nou – orientările actuale de reglementare recomandă utilizarea acestora, iar Bird & Bird a executat PIA pentru un număr de clienți – RGPD formalizează însă o cerință pentru efectuarea de PIA.

Mai exact, operatorii trebuie să se asigure că o PIA a fost efectuată pentru orice activitate de prelucrare cu risc ridicat înainte de a fi inițiată – măsurată în funcție de riscul de încălcare a drepturilor și libertăților unei persoane fizice.

Prelucrarea cu risc ridicat cuprinde (i) activități de prelucrare sistematice și extinse, inclusiv profilarea și acolo unde deciziile au efecte juridice – sau efecte în mod similar semnificative – asupra persoanelor, (ii) prelucrarea pe scară largă a datelor sensibile sau a detaliilor despre condamnări penale sau infracțiunii sau (iii) monitorizarea sistematică a zonelor publice (CCTV).

Proiectul de Orientări din partea Grupului de lucru Articolul 29 indică faptul că alți factori pot crește riscul, inclusiv prezența persoanelor vizate (de exemplu, copii și, în special, angajați), corelarea sau combinarea seturilor de date în moduri neașteptate din perspectiva persoanelor afectate, transferuri în afara UE și prelucrare concepută pentru a refuza unei persoane un drept sau accesul la un contract sau la un serviciu.

RGPD cere ca o PIA să includă cel puțin:

  • o descriere a operațiunilor de prelucrare preconizate și a scopurilor prelucrării;
  • o evaluare a (i) necesității și proporționalității prelucrării și (ii) riscurilor pentru persoanele vizate (privite din perspectiva persoanelor vizate); și
  • o listă a măsurilor avute în vedere pentru (i) atenuarea acestor riscuri (inclusiv a riscurilor de protecție împotriva datelor, cum ar fi încălcarea libertății de gândire și mișcare) și (ii) asigurarea conformității cu RGPD.

Dacă a fost desemnat un RPD (a se vedea mai jos), trebuie solicitate recomandările acestuia privind desfășurarea PIA.

Nu este stipulată o formă obligatorie pentru PIA și, după cum a subliniat Grupul de lucru Articolul 29, există deja numeroase modele. Interesant este faptul că proiectul de orientări pe această temă ține cont de două documente relevante ISO – unul privind gestionarea riscurilor și altul PIA într-un context de securitate a informațiilor.

Proiectul de Orientări din partea Grupului de lucru Articolul 29 consideră că o PIA este necesară doar pentru prelucrările inițiate după intrarea în vigoare a RGPD. Cu toate acestea, o revizuire similară ar trebui efectuată pentru prelucrarea existentă, dacă există o modificare a riscului.

Consultarea autorității de supraveghere este necesară ori de câte ori riscurile nu pot fi atenuate și rămân ridicate cum ar fi atunci când persoanele pot întâmpina consecințe semnificative sau chiar ireversibile sau când este evident că poate apărea un risc. RGPD conține direcții procedurale specifice pentru acest proces.

Operatorii sunt îndrumați să caute punctele de vedere ale persoanelor vizate „sau ale reprezentanților acestora” în desfășurarea unei PIA, dacă este cazul. În contextul prelucrării datelor cu caracter personal, este probabil ca aceasta să fie interpretată ca o obligație de consultare cu comitetele de întreprindere sau cu sindicatele.

Responsabilul cu protecția datelor (RPD)

Operatorii și procesatorii au libertatea de a numi un RPD, următoarele entități sunt însă obligate să facă acest lucru:

  • Autoritățile publice (cu câteva excepții minore);
  • Orice organizație a cărei activitate principală necesită:
  • „monitorizarea regulată și sistematică a persoanelor vizate” „pe scară largă”; sau
  • prelucrarea pe scară largă a datelor sensibile sau a cazierului judiciar; și
  • Cei care au această obligație prin dreptul intern (țări precum Germania pot intra în această categorie).

Orientările din partea Grupului de lucru Articolul 29 sunt menite să ajute organizațiile să interpreteze termenii „activități de bază”, „monitorizare regulată și sistematică” și „pe scară largă”. Aceste orientări au inclus următoarele puncte:

  • „Activități de bază”: sunt menționate activități care constituie „o parte inextricabilă” a urmăririi de către operator/procesator a obiectivelor sale. Încurajator, Orientările confirmă faptul că prelucrarea de către o organizație a informațiilor despre personal (care foarte probabil va include date sensibile) este o activitate accesorie și nu una de bază. Exemple de activități de bază includ supravegherea realizată de o companie de securitate angajată pentru a proteja un spațiu public, prelucrarea de către spitale a datelor privind sănătatea pacientului și un furnizor extern de servicii de sănătate ocupațională care prelucrează datele angajatului clientului său.
  • „Monitorizarea regulată și sistematică”: toate formele de monitorizare și profilare online sunt invocate ca exemple de către Grupul de lucru Articolul 29, inclusiv în scopul publicității comportamentale și al retargetării prin email. Alte exemple citate includ: profilarea și acordarea de scoruri (de exemplu, pentru scorurile de credit, prevenirea fraudei sau pentru stabilirea primelor de asigurare); urmărirea locației; monitorizarea datelor privind condiția fizică și starea de sănătate; CCTV; prelucrarea prin dispozitive conectate (contoare inteligente, mașini inteligente etc.); și activitățile de marketing bazate pe date (i.e. big data).
  • „Pe scară largă”: în Orientările sale, Grupul de lucru Articolul 29 declară că în prezent nu este preocupat de utilizarea unor cifre precise ca punct de referință pentru acest termen, dar există planuri pentru publicarea unor praguri. În schimb, Orientările din decembrie 2016 cuprind o serie de factori generici destul de evidenți care trebuie luați în considerare în definirea termenului de „scară largă” (de exemplu, numărul de persoane afectate și extinderea geografică a prelucrării). Exemple citate de prelucrare pe scară largă includ: o bancă sau o companie de asigurări care prelucrează date despre clienți; și prelucrarea datelor geografice ale clienților unui lanț internațional de fast food în timp real, în scopuri statistice, de către un procesator specializat.

Orientările Grupului de lucru Articolul 29 confirmă faptul că, în cazul în care un RPD este numit în mod voluntar, acestuia i se vor aplica aceleași cerințe ca cele stabilite de RGPD pentru RPD obligatorii (i.e. punctele rezumate mai jos). Mai mult, odată ce o organizație alege să desemneze un RPD, aceasta nu poate circumscrie domeniul de aplicare al revizuirii efectuate de RPD – RPD trebuie să aibă autoritatea de a revizui toate procesele de prelucrare a datelor. Ca răspuns la o incertitudine din RGPD, orientările Grupului de lucru Articolul 29 confirmă că nimic nu împiedică o organizație să atribuie RPD sarcina de a ține evidența operațiunilor de prelucrare.

Interesant, Grupul de lucru Articolul 29 recomandă, de asemenea, ca o organizație care decide să nu numească în mod voluntar un RPD conform RGPD, să justifice de ce consideră că nu este supusă criteriilor obligatorii de numire a RPD (așa cum sunt rezumate mai sus). Aceste evaluări ar trebui să fie actualizate și revizuite atunci când sunt avute în vedere noi activități sau servicii.

În cazul în care RPD nu este obligatoriu și nu este desemnat în mod voluntar, angajați sau consultanți pot fi numiți pentru a îndeplini sarcini similare – Grupul de lucru Articolul 29 recomandă însă ca, pentru a evita confuzia, astfel de persoane să nu fie desemnate RPD.

Un RPD trebuie selectat în funcție de calitățile și expertiza sa profesională (pe care angajatorii sunt obligați să îi ajute să le cultive). Foarte important, deși pot fi susținuți de o echipă, într-o organizație nu poate exista decât un singur RPD și acesta ar trebui să fie, de preferință, situat în UE. În Orientările Grupului de lucru Articolul 29 se observă că, cu cât activitățile de prelucrare a datelor de la nivelul unei organizații sunt mai sensibile sau mai complexe, cu atât mai mare va trebuie să fie nivelul de expertiză al RPD.

Organizațiile trebuie să se asigure că obiectivul principal al RPD este asigurarea conformității cu RGPD. Sarcinile lor ar trebui să includă cel puțin: consilierea colegilor și monitorizarea RGPD/a legislației privind confidențialitatea datelor/politica de confidențialitate a organizației, inclusiv prin instruire și sensibilizare, efectuarea de audituri, consilierea cu privire la PIA și cooperarea cu autoritățile de supraveghere. Orientările Grupului de lucru mai sus menționat subliniază că RPD nu vor fi răspunzători personal pentru nerespectarea de către organizație a RGPD. Răspunderea va afecta organizația, inclusiv atunci când îl obstrucționează sau nu îl sprijină pe RPD în îndeplinirea obiectivului său principal.

Pentru ca RPD să își poată îndeplini obligațiile RGPD, acesta va trebui să beneficieze de resurse adecvate din partea organizației. RPD va raporta direct celui mai înalt nivel de conducere.

Grupurile de companii din pot desemna un singur RPD. Un RPD poate fi membru al personalului sau un contractor. Orientările Grupului de lucru Articolul 29 constată că setul de competențe al unui RPD include cunoștințe despre organizațiile pe care le reprezintă și accesibilitatea – inclusiv capacitatea de a comunica cu ușurință cu autoritățile de supraveghere și cu persoanele vizate (de exemplu clienți și personal) în țările în care care operează organizația. Prin urmare, Grupul de lucru Articolul 29 așteaptă ca RPD să fie atât multilingvi, cât și experți în protecția datelor – sau cel puțin să aibă acces facil la traduceri de calitate.

Operatorii și procesatorii trebuie să se asigure că RPD-ul lor este implicat în toate chestiunile materiale legate de protecția datelor (inclusiv, conform instrucțiunilor Grupului de lucru Articolul 29, în urma unei încălcări a securității), poate funcționa independent de instruire și nu este destituit sau penalizat pentru îndeplinirea sarcinilor sale. Rămâne de văzut modul în care legile privind ocuparea forței de muncă vor interpreta această dispoziție. Organizațiile trebuie să se asigure că există un canal sigur și confidențial prin care angajații pot comunica cu RPD.

Orientările Grupului de lucru prevăd, de asemenea, că, în cazul în care conducerea unei organizații nu este de acord și decide să nu respecte recomandările unui RPD, va trebui să înregistreze în mod formal acest lucru, precum și motivele deciziei. De asemenea, Orientările avertizează că nu trebuie să i se dea instrucțiuni unui RPD cu privire la modul de abordare a unei chestiuni, ce rezultate ar trebui obținute sau dacă ar trebui sau nu să se consulte cu o autoritate de reglementare, ceea ce ar putea genera anumite schimburi de date în urma unei încălcări a securității.

RGPD nu îi interzice unui RPD cumulul de funcții, dar solicită în mod expres ca organizațiile să se asigure că celelalte sarcini nu dau naștere unui conflict de interese. Orientările Grupului de lucru Articolul 29 continuă cu afirmația că un RPD nu poate deține funcții superioare de conducere (i.e. CEO, COO sau CFO). Alți directori de rang înalt, precum directorii de RU, Marketing sau IT, sau angajații de nivel inferior care iau decizii cu privire la scopurile și mijloacele de prelucrare sunt, de asemenea, excluși de la această poziție. Dacă un RPD extern (de exemplu, un avocat) furnizează servicii zilnice către operatori sau procesatori, acest lucru poate împiedica persoana respectivă să reprezinte acele entități în fața instanțelor în cazurile legate de protecția datelor.

Detaliile de contact ale RPD trebuie să fie publicate și, de asemenea, transmise autorității de supraveghere a unei organizații, deoarece RPD va reprezenta un punct de contact pentru întrebările legate de respectarea normelor privind protecția datelor.

 

Utilizarea furnizorilor de servicii (procesatori de date)

RGPD impune o înaltă obligație de diligență operatorilor în alegerea furnizorilor de servicii de prelucrare a datelor cu caracter personal, care va presupune evaluarea periodică a proceselor de achiziție și a documentelor procedurii de cerere de ofertă.

Vor trebui implemente contracte cu furnizorii de servicii care să includă o serie de informații (de exemplu, datele prelucrate și durata prelucrării) și obligațiile (de exemplu, asistența în caz de încălcare a securității, măsurile tehnice și organizatorice adecvate luate și obligațiile de asistență pentru audit). De asemenea, în cazul în care un furnizor de servicii angajează un sub-procesator.

Comisia și autoritățile de supraveghere ar putea publica clauze contractuale de prestări de servicii aprobate. Se pare că, din punctul de vedere al furnizorului de servicii, acestea vor fi oneroase. Prin urmare, abordarea furnizorilor privind acordurile de prețuri va trebui revizuită.

 

Evidența activităților de prelucrare

Organizațiile sunt obligate să păstreze o evidență a activităților lor de prelucrare (tipul de date prelucrate, scopurile prelucrării etc.) similare cu cele care, în conformitate cu regulile actuale, operatorii trebuie să le înregistreze la autoritățile de protecție a datelor.

De asemenea, procesatorii de date trebuie să păstreze o evidență a datelor cu caracter personal pe care operatorii îi angajează să le prelucreze, o cerință care va reprezenta o provocare pentru mulți furnizori de servicii de cloud și comunicații.

Deși organizațiile cu mai puțin de 250 de angajați beneficiază de o derogare de la obligațiile de mai sus, această derogare nu se va aplica în cazul prelucrării datelor sensibile, ceea ce pare să îi anuleze utilitatea.

Încălcări ale securității datelor cu caracter personal și notificări de încălcare

Privire de ansamblu

Operatorii și procesatorii de date sunt supuși acum unui regim general de notificare privind încălcarea securității datelor cu caracter personal.

  • Procesatorii de date trebuie să raporteze operatorilor de date încălcarea securității datelor cu caracter personal.
  • Operatorii de date trebuie să raporteze încălcări ale securității datelor cu caracter personal autorității lor de supraveghere și, în unele cazuri, persoanelor vizate afectate, de fiecare dată în conformitate cu prevederile RGPD specifice.
  • Operatorii de date trebuie să păstreze un registru intern al încălcărilor de securitate.
  • Nerespectarea obligațiilor de mai sus poate conduce la o amendă administrativă de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri anuală globală a exercițiului financiar precedent, oricare dintre acestea este mai mare.
  • În prezent, este încă aplicabil regimul specific de notificare privind încălcările de securitate pentru furnizorii de servicii de comunicații, prevăzut în Regulamentul Comisiei 611/2013 referitor la măsurile aplicabile notificării despre încălcarea securității datelor cu caracter personal în conformitate cu Directiva 2002/58/CE.

Lista de acțiuni

  • În conformitate cu principiul răspunderii stabilit de RGPD, operatorii și procesatorii de date ar trebui să dezvolte sau să actualizeze procedurile interne de notificare privind încălcarea, inclusiv sistemele de identificare a incidentelor și planurile de răspuns la incidente.
  • Astfel de proceduri ar trebui să fie testate și reexaminate în mod regulat.
  • Colaborați cu echipele IT/IS pentru a vă asigura că implementează măsuri tehnice și organizatorice adecvate pentru a face datele ininteligibile în caz de acces neautorizat.
  • Polițele de asigurare ar trebui revizuite pentru a evalua acoperirea în caz de încălcări.
  • Modelele de MSA/clauze de protecție a datelor și documentația de licitație ar trebui să fie actualizate de către clienți, cu prevederi incluzând: (i) obligația furnizorilor de a-i notifica în mod proactiv despre încălcări; și (ii) un accent deosebit pe obligația de cooperare între părți.

Incidente care declanșează notificarea

În cazul unui incident definit ca „o încălcare a securității care conduce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personale transmise, stocate sau prelucrate în alt mod”, noul regim de notificare privind încălcarea în temeiul RGPD se va aplica după cum urmează:

  1. Obligația procesatorilor de date de a notifica operatorii de date

Sincronizare:

Fără întârziere nejustificată după ce a luat cunoștință de aceasta.

Derogare:

Niciuna în RGPD (dar CEPD are sarcina de a emite orientări privind „circumstanțele particulare în care un operator sau un procesator este obligat să notifice încălcarea datelor cu caracter personal”).

Observaţii:

  • Toate încălcările vor trebui raportate.
  • CEPD trebuie să emită orientări pentru a clarifica noțiunea de „întârziere nejustificată” și circumstanțele particulare în care un procesator de date este obligat să notifice încălcarea securității datelor cu caracter personal.

 

  1. Obligația operatorilor de date de a notifica autoritatea de supraveghere

Sincronizare:

Fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72 de ore de la luarea la cunoștință a acesteia.

Derogare:

Nu se raportează dacă încălcarea este puțin probabil să conducă la un risc pentru drepturile și libertățile persoanelor fizice.

Observaţii:

  • Atunci când obligația de sincronizare nu este îndeplinită, trebuie să se furnizeze motivele autorității de supraveghere (de exemplu, solicitarea din partea unei autorități de aplicare a legii).
  • CEPD trebuie să emită orientări pentru a clarifica noțiunea de „întârziere nejustificată” și circumstanțele particulare în care un procesator de date este obligat să notifice încălcarea securității datelor cu caracter personal.

 

  1. Obligația administratorului de date de a comunica persoanelor vizate o încălcare a datelor cu caracter personal

Dacă operatorul de date nu face încă acest lucru, autoritatea de supraveghere poate obliga operatorul de date să comunice o încălcare a datelor cu caracter personal persoanelor vizate afectate, cu excepția cazului în care una dintre cele derogări este îndeplinită.

Sincronizare:

Fără întârzieri nejustificate: necesitatea de a atenua un risc imediat de deteriorare ar impune o comunicare promptă cu persoanele vizate, în vreme ce necesitatea de a pune în aplicare măsuri adecvate împotriva încălcărilor continue sau similare ale datelor poate justifica timpul mai lung de comunicare.

Derogare:

Nu se raportează dacă:

  • Este puțin probabil ca încălcarea să conducă la un risc ridicat pentru drepturile și libertățile persoanelor vizate;
  • La momentul producerii incidentului a existat o protecție tehnică și organizațională adecvată (de exemplu, date criptate); sau
  • Acest lucru ar determina eforturi disproporționate (în schimb ar trebui invocată o campanie de informare publică sau „măsuri similare” pentru ca persoanele afectate să poată fi informate în mod eficient).

 

Cerințe de documentare

  • Registrul intern de încălcări: obligația operatorului de a documenta fiecare incident „cuprinzând faptele referitoare la încălcarea securității datelor cu caracter personal, efectele acesteia și măsurile de remediere luate”. Autorității de supraveghere i se poate solicita să evalueze modul în care operatorii de date respectă obligațiile de notificare a încălcării securității datelor.
  • De asemenea, există cerințe prescrise în comunicarea către autoritatea de supraveghere (de exemplu, descrierea naturii încălcării securității datelor cu caracter personal, inclusiv, dacă este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ de înregistrări de date în cauză etc.) și comunicarea către persoanele afectate (de exemplu, să descrie într-un limbaj clar și simplu natura încălcării securității datelor cu caracter personal și să furnizeze cel puțin următoarele informații: (i) numele și datele de contact ale responsabilului cu protecția datelor sau ale altui punct de contact unde pot fi obținute mai multe informații, (ii) consecințele probabile ale încălcării securității datelor cu caracter personal și (iii) măsurile luate sau propuse spre a fi luate de către operatorul de date pentru a aborda încălcarea securității datelor cu caracter personal, inclusiv, dacă este cazul, posibile efecte adverse).

Sancțiuni în caz de neconformitate

Neîndeplinirea cerințelor de mai sus expune organizația la o amendă administrativă de până la 10 000 000 EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri anuală globală a exercițiului financiar precedent, oricare dintre acestea este mai mare.

 

Ce se îmtâmplă cu celălalt regim de notificare a încălcărilor UE pentru furnizorii de servicii de comunicații?

În prezent, Regulamentul 611/2013 – care detaliază o procedură specifică pentru notificarea privind încălcarea (prevăzută de Directiva 2002/58/CE („Directiva privind confidențialitatea în mediul electronic”), se aplică în continuare furnizorilor de servicii de telecomunicații accesibile publicului (de exemplu, companiile de telecomunicații, furnizorii de servicii de internet și furnizorii de servicii de email). Cu toate acestea, la 10 ianuarie 2017, Comisia Europeană a publicat textul propus pentru noul Regulament privind confidențialitatea în mediul electronic.

Faptul că acest regulament va intra în vigoare la aceeași dată cu RGPD – 25 mai 2018 – simbolizează relația armonioasă intenționată dintre cele două regulamente. Textul abrogă Directiva privind confidențialitatea în mediul electronic, dar conține o formulare foarte asemănătoare cu formularea privind notificarea de încălcare aplicabilă din respectiva directivă. Acestea fiind spuse, textul nu abrogă Regulamentul 611/2013. Prin urmare, din punct de vedere tehnic, furnizorii de telecomunicații vor trebui să notifice încălcările autorităților APD competente conform regimului stabilit în temeiul Regulamentului 613/2013, și nu în temeiul RGPD. Cu toate acestea, considerăm că, la un moment dat, Regulamentul 613/2013 va fi abrogat în favoarea regimului prevăzut de RGPD.

Coduri de conduită și certificări

Privire de ansamblu

RGPD prevede aprobarea codurilor de conduită („Codurile”) și acreditarea certificărilor, sigiliilor și mărcilor pentru a ajuta operatorii și procesatorii să-și demonstreze conformitatea și cele mai bune practici.

Codurile de conduită:

  • Asociațiile și organismele reprezentative pot pregăti Codurile pentru aprobare, înregistrare și publicare de către o autoritate de supraveghere sau, în cazul în care activitățile de prelucrare au loc în statele membre, de către Comitetul european pentru protecția datelor („CEPD”). Comisia Europeană poate declara codurile recomandate de CEPD ca având valabilitate generală în cadrul UE.
  • Codurile pot fi aprobate în legătură cu o gamă largă de subiecte, iar respectarea codurilor va ajuta operatorii și procesatorii să demonstreze conformitatea cu obligațiile RGPD.
  • Respectarea Codurilor va fi supusă monitorizării, care poate fi efectuată de către organisme acreditate calificate corespunzător. Operatorii și procesatorii care se descoperă că au încălcat un cod relevant pot fi suspendați de la participarea la Cod și raportați la autoritatea de supraveghere.

Certificări, sigilii și mărci:

  • Trebuie încurajată instituirea mecanismelor de certificare a protecției datelor, a sigiliilor și a mărcilor.
  • Certificatele vor fi emise de organisme acreditate de certificare (care urmează să fie stabilite).
  • Certificarea este voluntară, dar va permite operatorilor și procesatorilor să-și demonstreze conformitatea cu RGPD.
  • Certificatele vor fi valabile timp de trei ani și vor fi reînnoite.
  • CEPD va păstra un registru disponibil public pentru toate mecanismele de certificare, sigilii și mărci.

 

Lista de acțiuni

Codurile de conduită

  • Pentru a obține un avans înainte de elaborarea procedurilor de acreditare de către autoritățile de supraveghere, procesatorii (cum ar fi furnizorii de servici Cloud) și operatorii în sectoare specifice ar trebui să ia în considerare identificarea sau stabilirea asociațiilor sau a organismelor reprezentative care ar putea elabora coduri spre aprobare de către autoritățile de supraveghere.

Certificări, sigilii și mărci

  • Procesatorii și operatorii trebuie să urmărească evoluțiile privind acreditarea organismelor de certificare și să analizeze dacă vor dori să solicite certificarea în timp util.
  • După stabilirea schemelor de certificare, operatorii ar trebui să se familiarizeze cu schemele relevante și să ia în considerare certificările, sigiliile și mărcile atunci când selectează procesatorii/prestatorii de servicii.

Codurile de conduită

Codurile reprezintă o componentă importantă în extinderea și adaptarea instrumentelor de respectare a protecției datelor pe care le pot utiliza operatorii și procesatorii prin intermediul unui mecanism de „semi-autoreglementare”.

Este de așteptat ca aceste Coduri să furnizeze orientări autoritare în anumite domenii-cheie, printre care:

  • interesul legitim în contexte specifice;
  • pseudonimie;
  • exercitarea drepturilor persoanelor vizate;
  • protecția minorilor și modalitățile de consimțământ parental;
  • implementarea adecvată a protecției de la momentul conceperii și protecției implicite și a măsurilor de securitate;
  • notificarea privind încălcarea securității; și
  • rezolvarea litigiilor dintre operatori și persoanele vizate.

 

Elaborarea și aprobarea codurilor vor furniza o serie de beneficii, printre care:

  • stabilirea și actualizarea celor mai bune practici de conformitate în contexte specifice de prelucrare;
  • vor permite operatorilor și procesatorilor de date să se angajeze să respecte standardele și practicile recunoscute și să fie recunoscuți la rândul lor pentru acest lucru;
  • aderarea la Coduri poate demonstra că importatorii de date (operatorii și procesatorii) situați în afara UE/SEE au implementat măsuri de protecție adecvate pentru a permite transferurile de date în conformitate cu Articolul 46; transferurile efectuate pe baza unui cod de conduită aprobat, împreună cu angajamentele obligatorii și executorii ale importatorului de a aplica garanții adecvate pot avea loc fără o autorizație specifică din partea unei autorități de supraveghere, iar Codurile pot oferi, prin urmare, un mecanism alternativ pentru gestionarea transferurilor internaționale, la același nivel cu clauzele contractuale standard și BCR.

Aprobarea codurilor

Codurile propuse de asociații sau organisme reprezentative în legătură cu activitățile de prelucrare a datelor care afectează numai un stat membru trebuie să fie prezentate autorității competente de supraveghere spre comentare și, sub rezerva eventualelor modificări sau extinderi, aprobare. În cazul în care un cod acoperă operațiunile de prelucrare în mai multe state membre, acesta trebuie prezentat la CEPD pentru aviz. Sub rezerva eventualelor modificări sau extinderi, Codul și avizul CEPD pot fi apoi transmise Comisiei Europene, care, după examinarea cuvenită, poate declara valabilitatea generală a Codului.

Codurile trebuie păstrate și puse la dispoziție în registrele accesibile publicului.

Monitorizarea conformității

Monitorizarea conformității cu Codurile va fi efectuată numai de organisme acreditate de autoritatea de supraveghere competentă.

Pentru a fi acreditate, astfel de organisme vor trebui să demonstreze:

  • independență și expertiză;
  • că au stabilit proceduri pentru a evalua capacitatea operatorilor și procesatorilor de a aplica Codul și de a monitoriza conformitatea, precum și de a revizui periodic Codul;
  • capacitatea de a face față plângerilor privind încălcările; și
  • că au implementate procese pentru evitarea conflictelor de interese.

Acreditările sunt revocabile dacă nu mai sunt îndeplinite condițiile de acreditare.

Certificări, sigilii și mărci

Conceptul de certificare a operațiunilor de prelucrare a datelor reprezintă o dezvoltare semnificativă în crearea unui cadru fiabil și auditabil pentru operațiunile de prelucrare a datelor. Este probabil să fie deosebit de relevant în contextul cloud computing și al altor forme de servicii multi-tenant, acolo unde auditurile individuale nu sunt adesea fezabile în practică.

Statele membre, autoritățile de supraveghere, CEPD și Comisia sunt încurajate să instituie mecanisme de certificare a datelor, sigilii și mărci, în ceea ce privește operațiunile specifice de prelucrare.

Certificările sunt facultative. Autoritatea de supraveghere competentă sau CEPD va aproba criteriile pentru certificări. CEPD poate elabora criterii pentru o certificare comună, Sigiliul European pentru Protecția datelor.

Există două avantaje-cheie ale certificatelor:

  1. operatorii și procesatorii vor putea demonstra conformitatea, în special în ceea ce privește punerea în aplicare a măsurilor tehnice și organizatorice.
  2. certificatele pot demonstra că importatorii de date (operatorii și procesatorii) situați în afara UE/SEE au pus în aplicare măsuri de protecție adecvate în sensul Articolului 46; transferurile efectuate pe baza unui mecanism de certificare aprobat împreună cu angajamentele obligatorii și executorii ale importatorului de a aplica garanții adecvate pot avea loc fără o autorizare specifică din partea unei autorități de supraveghere, iar certificatele oferă, prin urmare, un mecanism alternativ pentru gestionarea transferurilor internaționale, la același nivel cu clauzele contractuale standard și BCR.

Certificatele privind operațiunile de prelucrare vor fi emise pentru o perioadă de trei ani și pot fi reînnoite sau retrase în cazul în care nu mai sunt îndeplinite condițiile de eliberare.

CEPD trebuie să păstreze un registru accesibil publicului, care să conțină toate mecanismele de certificare, sigiliile și mărcile de protecție a datelor.

Certificatele pot fi eliberate de către organisme de certificare acreditate, private sau publice. Organismele naționale de acreditare și/sau autoritățile de supraveghere pot acredita organismele de certificare (astfel încât să poată emite certificate, mărci și sigilii), care, printre altele:

  • au expertiza necesară și să fie independente în ceea ce privește obiectul certificării;
  • dispun de proceduri pentru revizuirea și retragerea certificărilor, sigiliilor și mărcilor;
  • sunt capabile să gestioneze plângerile privind încălcarea certificărilor; și
  • au reguli pentru a face față conflictelor de interese.

Criteriile de acreditare vor fi elaborate de autoritățile de supraveghere sau de CEPD și vor fi puse la dispoziția publicului.

Acreditările pentru organismele de certificare vor fi emise pentru maximum cinci ani și vor fi supuse reînnoirii, precum și retragerii în cazurile în care nu mai sunt îndeplinite condițiile de acreditare.

2018-01-10T13:21:50+00:00
Aveti nevoie de ajutor in
implementarea GDPR?
Lasati-ne cateva detalii despre dvs. si compania pe care o reprezentati,
iar noi vom reveni cu mai multe informatii. 
Vreau sa fiu contactat!
Ma mai gandesc
close-link