GDPR

GDPR Romania

Descriere

Asociaţia pentru bune practici GDPR(regulamentului european privind protecţia datelor) îşi propune să fie o voce a societăţilor în faţa autorităţii, astfel încât autoritatea să nu aibă doar punctul de vedere al statului, ci să ştie exact ce se întâmplă în piaţă, să vadă cu ce se confrunta societăţile.

Instituţiile publice (cu excepţia instanţelor de judecată), companiile a căror activitate principală constă în operaţiuni de prelucrare care necesită o monitorizare periodică şi sistematică pe scară largă a persoanelor vizate, precum şi companiile care prelucrează, pe scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenenţa la sindicate, date genetice, date biometrice, date privind sănătatea, date privind viaţa sexuală sau orientarea sexuală) sau date referitoare la condamnări penale şi infracţiuni, vor fi obligate să îşi angajeze un responsabil cu protecţia datelor personale (DPO - Data Protection Officer).

Opoziţia la prelucrarea datelor se poate face în situaţiile în care cineva ne prelucrează datele pentru îndeplinirea unei sarcini care serveşte unui interes public sau în scopul unor interese legitime. Prin urmare, ne putem opune doar atunci când prelucrarea se face în baza unuia dintre aceste două temeiuri.

Continut sensibil

Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă:

a) persoana vizată şi-a dat în mod expres consimţământul;

sau

b) prelucrarea este prevăzută în mod expres de o dispoziţie legala, prelucrarea facându-se nu în baza acordului beneficiarului, ci în baza unor prevederi legale exprese privind evidenţa muncii şi declararea şi plata obligaţiilor fiscale.

Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare ilegala.

Implementare si Sanctiuni

Potrivit textului său, intrarea în vigoare a Regulamentului european privind protecţia datelor a fost stabilită pentru 25 mai 2018, la aproximativ doi ani de la publicare, tocmai pentru a permite companiilor să îşi poată schiţa şi implementa propriul cadru de conformitate la prevederile Regulamentului. Cu alte cuvinte, companiile vor trebui să-şi rezolve problemele impuse de GDPR înainte de data de intrare în vigoare, pentru că după această dată riscă sancţiuni importante pentru lipsa de conformitate.

Nerespectarea GDPR poate atrage mai multe tipuri de sancţiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obţine despăgubiri care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.

Pasi pentru implementare

  • Masuri de securitate trebuiesc obligatoriu luate pentru protectia datelor (atat colectate cat si transportate catre terte parti) prin diverse modalitati in functie de sensibilitatea lor: encryptie criptografica, anonimizare, etc
  • Definirea nivelului de securitate adecvat afacerii si a cerintelor necesare pentru implementare: dimensiunea afacerii; impactul oricaror terte parti care au access direct sau prin transport la datele colectate;
  • Revizuirea procesului de colectare si stocare in vederea intaririi impotriva pierderii de date sau a alterarii fara cunostiinta persoanei
  • Revizuirea procedurii de stergere a datelor in conformitate cu standardele GDPR si Privacy Policy
  • Revizuirea datelor existente si securizarea lor in cazul stocarii fizice (dispozitive plug and play cu informatii sensibile disponibile HDDs, DVDs, USBs, copii fizice ale documentelor, etc)
  • Determinarea necesitatii unui Data Protection Officer intern sau extern

Definitii

Legea 677/2001

Date cu caracter personal - orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.

FAQ

Sunt un operator de date cu caracter personal ?

Pastrezi sau procesezi orice informatie cu privire la persoane fizice? Daca raspunsul este DA atunci esti operator de date cu caracter personal.

Cine trebuie sa faca Privacy Policy (politica cu privire la datele personale) ?

  • Persoana care decide ce informatie personala este pastrata
  • Persoana care decide cum se utilizeaza informatia si pentru ce

Care sunt principiile colectarii datelor ?

  • Consimtamantul persoanei fizice este obtinut printr-un comunicat clar in care persoanei i se da o optiune adevarata astfel incat consimtamantul sa fie voluntar.
  • Datele sunt procesate legal si cu buna-credinta
  • Datele sunt colectate pentru un scop determinat si comunicat explicit
  • Datele sunt adecvate si intr-o relatie bine definita cu scopul
  • Datele sunt exacte si pastrate numai pe durata consimtamantului persoanei.
  • In cazul datelor cu continut sensibil (CNP, adresa, etc) sau care implica actiuni ce pot de altfel defini identitatea unei persoane (+analytics obtrusive, geolocation trackers, etc) pot fi pastrate pe termen lung dar nu comercializate, scopul pastrarii acestor date pe termen lung fiind in vederea interactiunii cu institutii guvernamentale (GDPR local .ro-guvern ca stat membru al Uniunii)

Ce este un Privacy Policy ?

Privacy Policy (sau mai corect o declaratie publica privind modul cum sunt colectate si procesate datele personale) reprezinta o declaratie publica despre cum organizatia aplica principiile procesarii la datele colectate din site.

Documentul trebuie sa fie clar si concis.

In mod normal este bazat pe o politica a companiei cu privire la modul de procesare a datelor personale

Versiunea scurta este ce face compania cu datele colectate de pe site.

Ii trebuie site-ului meu un Privacy Policy ?

E o obligatie legala, daca se colecteaza date cu caracter personal – legea 677/2001.

Procesarea cu buna credinta cere ca o persoana a carei date personale au fost colectate sa fie informata cu privire la:

  1. Identitatea procesatorului
  2. Scopurile procesarii
  3. Tertele parti cu care datele sunt partajate (gen email marketers ca MailChimp sau serviciu local ca NewsMan)
  4. Existenta drepturilor sale legale (ex. Acces la informatii despre statutul datelor procesate sau optiuni de rectificare/alterare)

Ce trebuie sa contina un Privacy Policy in cazul unui procesator de date personale ?

  1. Identificarea operatorului (complete si cit mai detaliata; nr inregi ANSPDCP)
  2. Scopurile pentru care sunt colectate date (de ex. Tranzactia, marketing, profile, etc.)
  3. Partajarea datelor cu terte persoane (vizate hosting, campanii marketing, 3rd parties)
  4. Drepturile utilizatorilor

    • Dreptul de acces la date (inclusiv procedura exacta de urmat, adresa email folosita si sau categorii de abonare care definesc cantiatea sau calitatea datelor obtinute)
    • Dreptul de rectificare a datelor (inclusiv procedura sau posibilitatea de remediere prevazuta in site)
    • Dreptul de opozitie libera la pastrarea datelor
  5. Tip de date colectate (date pt facturare, date de trafic, etc)

  6. Limitele procesarii datelor

    • Daca anumite date sunt procesate doar in anume scopuri
    • Daca datele sunt sterse sau anonimizate automat dupa o anumita perioada
    • Dreptul de a refuza cookie-uri (sau daca aceasta determina imposibilitatea de utilizarea a site-ului)

Ce trebuie facut in cazul unei brese de securitate ?

In cazul unei brese de securitate, care poate fi reprezentata de un accident, o pierdere de date sau un acces neautorizat, trebuiesc informate autoritatile reprezentate in Romania de catre A.N.S.P.D.C.P. (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) in maxim 72 de ore de la descoperirea bresei de securitate.