GDPR General Data Protection Regulation sau RGPD Regulamentului General privind Protecţia Datelor

Instituția care se ocupă în România: ANSPDCP Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal având siteul oficial: dataprotection.ro și canalul de youtube unde veți găsi două video, unul din 2014, al doilea din 2017 (în aprilie 2019).

Regulamentul 679 din 2016 poate fi vizualizat/descărcat/printat de pe Jurnalul Oficial al Uniunii Europene frumos paginat sau mai puțin îngrijit de pe siteul oficial românesc.

Informațiile cele mai importante au fost extrase de ANSPDCP într-un Ghid de aplicare a RGPD denumit “ghid_rgpd_ultima_varianta”, noi negăsind modalitatea de a depista data la care a fost elaborat, adică dacă este întradevăr ultima variantă. Ne-am fi dorit ca materialele să fie denumite “NumeData” sau “NumeNumarVersiune” sau “NumeCodVariantă”. S-a descărcat direct pe hard când ai dat click? Nici noi nu ne-am așteptat la asta, așa este setat în siteul oficial.

Ghidul se împarte în două secțiuni:

  1. Context – Noutăți – Domeniu de aplicare
  2. Principalele obligații

Din prima secțiune am extras că RGPD:

  1. pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează dcp
  2. stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line.
  3. consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării
  4. introduce sancţiuni severe.

PRINCIPALELE OBLIGAŢII PENTRU OPERATORII DE DATE ÎN APLICAREA RGPD:

  • obligatorie pentru instituții, monitorizări constante și sistematice pe scară largă și manipulări de date sensibile
  • recomandată pentru restul

Ghidul privind responsabilul cu protectia datelor se găsește aici.

După desemnare, responsabilul trebuie declarat cu ajutorul unui formular online.

Presupune identificarea prelucrărilor efectuate și păstrarea evidenţei activităţilor de prelucrare.

CINE ? numele și coordonatele operatorului/operatorilor
CE ? categoriile de dcp prelucrate + datele susceptibile
DE CE ? scopul/scopurile în care sunt colectate sau prelucrate dcp
UNDE ? locaţia sistemului de evidenţă și destinatarii datelor.
PÂNĂ CÂND? perioada de stocare / fiecare categorie dcp
CUM ? masurile de securitate implementate

Se identifică acțiunile necesare după care se prioritizează. Indiferent de prelucrările efectuate, se vor avea în vedere, în principal, următoarele aspecte:

  1. colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;
  2. identificarea temeiului legal (ex. consimţământul persoanelor vizate,contract, obligaţie legală);
  3. revizuirea/completarea informaţiilor furnizate persoanelor vizate, a.î. să respecte cerinţele RGPD;
  4. asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;
  5. verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate;
  6. stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
  7. verificarea măsurilor de securitate implementate.

DACĂ:

  1. Prelucrarea efectuată vizează și categorii de date precum:
    1. date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau religioase, apartenenţa sindicală;
    2. date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
    3. date referitoare la infracţiuni sau condamnări penale;
    4. date referitoare la minori.
  2. Prelucrarea efectuată are ca scop și ca efect:
    1. monitorizarea permanentă pe scară largă a unei zone accesibile publicului;
    2. evaluarea sistematică și aprofundată a unor aspecte personale, inclusiv profilarea, pe baza căreia sunt luate decizii care produc efecte juridice referitoare la o persoană fizică sau care o afectează pe aceasta în mod semnificativ.
  3. Prelucrarea efectuată implică transferuri de date în afara Uniunii Europene, către state care nu asigură un nivel de protecţie adecvat recunoscut de Comisia Europeană.

SE IAU MĂSURILE SPECIALE:

  1. evaluarea impactului asupra protecţiei datelor,
  2. extinderea dreptului la informare al persoanelor vizate,
  3. obţinerea consimţământului persoanelor vizate (după caz),
  4. obţinerea autorizării pentru transferurile de date în state terţe (dacă este cazul)

Dacă se identifică prelucrări de dcp susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice se impune o evaluare a impactului asupra protecţiei datelor.

Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:

(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

(b) prelucrării pe scară largă a unor categorii speciale de date sau a unor dcp privind condamnări penale și infracţiuni sau

(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Organizarea procedurilor interne implică, în special:

  1. privacy by design: încă de la conceperea unei aplicaţii sau a unei prelucrări;
  2. privacy by default: măsuri tehnice și organizatorice adecvate;
  3. plan de pregătire și de comunicare cu persoanele care prelucrează dcp;
  4. soluţionarea plângerilor și cererilor adresate de persoanele vizate;
  5. anticipare posibile încălcări a securităţii, obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de ore și a persoanelor vizate în cel mai scurt timp;
  6. asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și organizatorice adecvate, incluzând printre altele, după caz:
    1. pseudonimizarea și criptarea datelor cu caracter personal;
    2. capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și rezistenţa continue ale sistemelor și serviciilor de prelucrare;
    3. capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
    4. un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

De la specialiștii GDPR am reținut că dosarul RGPD  trebuie să conțină minim următoarele:

  1. Dovada conștientizării de către conducere a importanței GDPR: un Proces Verbal
  2. Politica de confidențialitate actualizată
  3. Decizia de numire a responsabilului cu protecția datelor
  4. Fișa de post a DPO-ului
  5. Documentul de notificare a Autorității DPO
  6. La contractele cu furnizorii și clienții se adaugă Anexa cu clauza privind protecția datelor personale
  7. INFORMAREA angajaților pentru prelucrarea datelor

Lasă un răspuns

Your email address will not be published.

Post comment