Despre GDPR

Despre GDPR

Ce este GDPR?

GDPR reprezinta Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
Din 25 Mai 2018 in Romania si in restul Uniunii Europene se va aplica REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). In continuare ne vom referi la Regulament ca GDPR.

Aveti mai jos un top al celor mai importante prevederi din GDPR:

  • Consimtamantul (Consent): Regulile priving consimtamantul se vor schimba acesta va fi obligatoriu explicit si specific pentru operatiunea de procesare – consumatorul trebuie sa actioneze pentru consimtamant, opusul  – si in acelasi timp limitat/proportional cu scopul procesarii (nu poti cere consimtamantul pentru orice fel de procesare, acesta trebuie sa fie clar si limitat/proportional cu tipul de date/tipul de procesare). In principiu controlorii de date nu pot colecta si procesa mai multe date decat pentru ce este nevoie in scopul declarat si legal al procesarii.
  • Validitatea consimtamantului: Consimtamantul poate fi retras, trebuie sa fie liber, valid, informat si pro-activ. GDPR aduce un set de conditii pentru validitatea consimtamantului ce includ si lipsa de echilibru in pozitii.
  • Consimtamantul pentru copii: Pt persoanele sub 16 ani (dar nu sub 13 ani – decizie a statelor member) nu poate fi obtinut consimtamantul direct.
  • Profiling: In cazul in care consumatorul este supus unor decizii automate fara efect legal – sau fara un efect similar al efectelor legale (in cazul angajarii, asigurari, etc.) consumatorul trebuie sa se poata opune acestor decizii si sa obtina interventia unui operator uman. In cazul in care efectele procesarii sunt efecte legale sau semnificative, procesarea pt profiling trebuie sa se bazeze pe consimtamantul consumatorului.
  • Direct Marketing: GDPR permite procesarea pentru direct marketing atat timp cat consumatorul beneficiaza de un system opt-out.
  • Documentare: GDPR cere documentarea operatiunilor de procesare.
  • Responsabilitati: In cazul in care controlorul lucreaza cu procesatori, controlorul are responsabilitatea sa se asigure ca procesatorii au mijloacele necesare pentru a respecta prevederile legale.
  • Responsabil pt protectia datelor: In cazul in care operatiunile de procesare includ  procesarea de date sensibile sau in cazul care procesarea implica monitorizarea unui numar mare de subiecti, companiile sunt obligate sa numeasca un responsabil pentru protectia datelor.
  • Legitimate interest: Una din cele 6 baze legale pentru procesarea datelor este interesul legitim. Acesta poate fi folosit pentru procesare si de catre terti.
  • Risky processing: In principiu este interzisa prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. GDPR prevede un numar de scenarii unde procesarea de astfel de date este permisa, cu un numar de precautii. In unele cazuri controlorul de date trebuie sa consulte chiar si publicul cu privire la efectul operatiunilor inainte de a procesa datele.
  • Codes of conduct:  GDPR permite ca site-urile sa foloseasca metode alternative de informare cum ar fi icons. In acelasi timp GDPR se bazeaza pe coduri de bune practici care pot fi dezvoltate de asociatii cum ar fi ARMO.
  • Breach notification: Operatorii sunt obligati sa tina un jurnal al incidentelor under datele (siguranta si integritatea) ar fi putut fi compromise. In unele cazuri exista o obligatie de a raporta aceste incidente autoritatilor si consumatorilor in 72 de ore.

Evaluarea de impact

Evaluarea impactului privind protecția datelor (DPIA) – în versiunea mai populară mai des folosit ca Privacy Impact Assesment (PIA), reprezintă un instrument care poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de confidențialitate. O evaluare de impact eficientă va permite organizațiilor să identifice și să remedieze problemele într-un stadiu incipient, reducând riscurile, costurile asociate și deteriorarea reputației, legată de apariția oricărui incident.
Evaluarea DPIA este parte integrantă a proiectării unei abordări privind confidențialitatea prin design. Punctele cheie ale unei astfel de evaluări sunt:

  • DPIA este un proces care ajută organizațiile să identifice și să minimizeze riscurile de confidențialitate ale proiectelor sau politicilor noi;
    Efectuarea unei evaluări de impact implică lucrul cu oamenii din organizație, dar și cu partenerii, pentru a identifica și a reduce riscurile de confidențialitate;
  • Evaluarea vă ajuta la identificarea unor potențiale probleme într-un stadiu cât mai incipient, când remedierea poate să fie mai simplă și mai puțin costisitoare;
  • Realizarea unei evaluări de impact asupra confidențialității ajută organizațiile să elaboreze și să adopte cele mai bune politici de îmbunătățire a relațiilor dintre organizații și indivizi.
    Ce informații ar trebui să conțină DPIA?
    Orice evaluare de impact trebuie să conțină:
  • descrierea operațiunilor de prelucrare și a scopurilor, inclusiv (dacă este cazul) a intereselor legitime urmărite de operator;
  • evaluarea necesității și proporționalității procesării în raport cu scopul;
  • evaluarea riscurilor pentru persoane fizice;
  • măsurile luate pentru a reduce riscul, inclusiv securitatea și pentru a demonstra că vă conformați;
  • numărul proiectelor similare care pot fi vizate de aceeași evaluare.

Realizarea unei evacuări de impact pentru protecția datelor nu este o obligație a persoanei desemnate ca DPO. Acesta este o activitate de echipă, cu participanți din toate liniile de business. DPO poate coordona procesul de evaluare, poate face recomandări și trebuie să asigure alinierea la cerințele de conformitate. După elaborare, rolul DPO este acela de a ajuta organizația să folosească evaluarea de impact ca pe un instrument de conformare cu protecția datelor personale.

Propriul DPO si ce inseamna el!

Articolul 37 Alineatul 5 din GDPRstabilește că responsabilul cu protecția ar trebui să fie”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.
Revenind la Articolul 39, Alineatul 1 din GDPR unde ne trimite Articolul 37, aici este vorba de sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  • informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  • monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  • furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  • cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  • punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.
    Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator.