Aici descoperim
dreptul tehnologiei


Solicitați un împrumut de la o bancă online. Vi se cere să vă introduceți datele, iar algoritmul băncii vă spune dacă banca vă va acorda împrumutul și vă prezintă rata dobânzii propusă.

Trebuie să fiți informat(ă) că puteți: să vă exprimați opinia, să contestați decizia și să solicitați implicarea unei persoane în proces, care să verifice decizia algoritmului

Unele organizații, cum sunt băncile, birourile administrației financiare și spitalele, utilizează algoritmi pentru a lua decizii în privința dumneavoastră, folosind datele dumneavoastră cu caracter personal. Pentru aceste organizații este eficient, dar nu întotdeauna
transparent, iar aceste decizii vă pot afecta din punct de vedere juridic sau pot avea un alt impact semnificativ
asupra vieții dumneavoastră. În asemenea cazuri, organizațiile trebuie:
• să vă spună dacă decizia lor este automatizată;
• să vă dea dreptul de a solicita analizarea deciziei automatizate de către o persoană;
• să vă permită să contestați decizia automatizată.
Deciziile bazate pe prelucrarea automată sunt permise în anumite situații, de exemplu, atunci când o anumită lege permite acest lucru.

 

Sursa 



Cu siguranța ai auzit de noul Regulament privind protecția datelor cu caracter personal, care te va impacta, indiferent de mărimea afacerii tale sau de volumul de date pe care îl prelucrezi.

Vrei să te aliniezi și este foarte bine. Ai fi tentat să crezi că primul pas este angajarea unui consultant care să te ajute.

Greșit. Înainte de a angaja pe cineva trebuie să înțelegi câteva noțiuni de bază despre Regulament, pentru a-ți alege consultantul potrivit.

Important de menționat este faptul că nu toate sursele de pe internet, conferințele sau cursurile sunt de încredere.

GDPR este un domeniu nou de drept, cu o jurisprudență redusă. De aceea, împreună cu Avocatoo, am lansat o serie de materiale explicative pe înțelesul tuturor. Sursele noastre sunt oficiale, printre care ANSPDCP, Autoritățile de Supraveghere din statele membre și Grupul de Lucru Art. 29.

Alinierea la GDPR nu este o destinație, este o călătorie.

Noi, împreună cu Avocatoo, am lansat o serie de materiale care să te ajute, în primă fază, să ai noțiunile de bază ca să iei decizii corecte cu privire la afacerea ta.

Poți consulta:

 

Te putem ajuta să te aliniezi la GDPR!

[contact-form-7 404 "Not Found"]


Să fii transparent în privința datelor pe care le prelucrezi și să furnizezi informația completă către persoana vizată și într-un limbaj simplu, accesibil și ușor de înțeles fac parte din elementele cheie ale GDPR.

Verifică tabelul de mai jos să vezi dacă Politica ta de confidențialitate îndeplinește toate cerințele. S-ar putea să fie nevoie să o actualizezi pentru a corespunde standardelor GDPR.

Ce informatii trebuie comunicate persoanei vizate?

 Datele sunt obținute direct de la persoana vizata Datele sunt obținute din alte surse

Identitatea și datele de contact ale operatorului și, dacă este cazul, ale responsabilului cu protecția datelor

 

Scopurile și temeiurile legale ale prelucrării

Dacă e cazul, interesul legitim al operatorului sau al unui terț

Categoriile de date cu caracter personal

 

Destinatarii sau categoriile de destinatari

Detalii în privința transferurilor către state din afara SEE

Perioada de retenție sau criteriile utilizate pentru determinarea perioadei

 

Drepturile persoanei vizate

 

Dacă e cazul, existența dreptului de retragere a consimțământului

 

 

Dreptul de a depune o plângere la Autoritatea de supraveghere

 

Sursa de unde provin datele și dacă această sursă este una publică

 

 

Dacă obligația de a divulga datele stă la baza unui contract sau a unei obligații legale și consecințele nedivulgării acestor date

 
Existența unui proces decisional automat cu impact semnificativ asupra persoanei, inclusiv crearea de profiluri și consecințele

 

Când se vor furniza informațiilor

La momentul colectării datelor

Într-un termen rezonabil după obținerea datelor (nu mai mult de o lună)

dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau

dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară

We make GDPR #simple. O campanie susțină de #avocatoo și #legalup. 

 

Un model de politică de confidențialitate conformă GDPR inclusă în KIT-ul nostru complet de documente pentru implementarea GDPR, care poate fi achiziționat de aici. 

KIT-ul conține, pe lângă politici de confidențialitate și note de informare, și alte documente absolut necesare pentru implementarea cerințelor GDPR, precum contracte, politici tehnice, acorduri de prelucrare etc.

Află mai multe despre KIT aici

Te putem ajuta să te aliniezi la GDPR!

Poți să ne contactezi mai jos 🙂

[contact-form-7 404 "Not Found"]

Sursa



Ai o companie și vrei să te conformezi Regulamentului general privind protecția datelor (GDPR)? Nu știi de unde să începi? Regulamentul e prea lung și nu îl înțelegi? Articolele pe care le citești te bagă și mai mult în ceață?

Noi avem soluția. Împreună cu Avocatoo,  am lansat o sinteză a Regulamentului care poate fi citită în aproximativ 20 de minute. E un punct de plecare pentru oricine aflat la început de drum ca să înțeleagă rapid cerințele.

Descarcă documentul de aici

 

 



Ce trebuie sã știm despre contractul încheiat între operatori și persoanele imputernicite?
  • Ori de câte ori un operator utilizează un tert pentru prelucrarea datelor cu caracter personal, trebuie să aibă un contract în acest sens.
  • Contractul este important pentru ca ambele părți să-și înțeleagă responsabilitățile și rãspunderea pe care o au.
  • GDPR stabilește ce trebuie să fie inclus în contract.
  • Pe viitor, clauzele contractuale standard pot fi furnizate de către Comisia Europeană și pot face parte din sistemele de certificare.
  • Cu toate acestea, în prezent NU au fost elaborate clauze standard.
  • Operatorii sunt responsabili pentru conformitatea cu GDPR și trebuie să numească numai persoane împuternicite care pot oferi “garanții suficiente” pentru ca cerințele GDPR să fie respectate și drepturile persoanelor vizate să fie protejate. În viitor, utilizarea unui prelucrãtor care aderă la un cod de conduită aprobat sau la o schemă de certificare poate ajuta controlorii să îndeplinească această cerință – deși din nou, astfel de scheme NU sunt disponibile în prezent.
  • Persoanele împuternicite trebuie să acționeze numai pe instrucțiunile din partea unui operator. Cu toate acestea, aceștia vor avea anumite responsabilități directe în cadrul GDPR și pot face obiectul unor amenzi sau alte sancțiuni dacă nu se conformează.

CE ESTE DE FACUT?

Contractele trebuie sã conținã:

  • obiectul și durata prelucrării;
  • natura și scopul prelucrării;
  • tipul de date cu caracter personal și categoriile de persoane vizate;
  • obligațiile și drepturile operatorului.

 

Contractele conțin urmãtorii termeni obligatorii:

  • persoana împuternicită trebuie să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului (cu excepția cazului în care legea solicită să acționeze fără astfel de instrucțiuni);
  • persoana împuternicită trebuie să se asigure că persoanele care prelucrează datele sunt supuse unei obligații de confidențialitate;
  • persoana împuternicită trebuie să ia măsurile adecvate pentru a asigura securitatea prelucrării;
  • persoana împuternicită trebuie să angajeze un subimputernicit numai cu acordul prealabil al operatorului de date și un contract scris;
  • persoana împuternicită trebuie să ajute operatorului de date în asigurarea accesului persoanei și să permită persoanelor vizate să-și exercite drepturile în temeiul RGPD;
  • persoana împuternicită trebuie să asiste operatorul de date în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcărilor securitãții datelor cu caracter personal și evaluările impactului asupra protecției datelor;
  • persoana împuternicită trebuie să șteargã sau să transmitã toate datele cu caracter personal către operator, așa cum se solicită la sfârșitul contractului;
  • persoana împuternicită trebuie să prezinte informațiile cerute la nivelul inspecțiilor, să furnizeze operatorului orice informație necesară pentru a se asigura că ambii îndeplinesc obligațiile prevăzute în articolul 28 și să le comunice imediat operatorului dacă i se cere să facă ceva care încalcă GDPR sau alte legi privind protecția datelor a UE sau a unui stat membru.

Ca o chestiune de bună practică, contractele:

  • Precizeazã că nimic din acesta NU-l scutește pe persoana împuternicită de responsabilitățile și obligațiile sale directe în cadrul GDPR;
  • Conține indemnizațiile ce au fost stabilite de părți.
  1. Responsabilitãțile și rãspunderea persoanelor împuternicite

În plus față de obligațiile contractuale prevăzute la articolul 28.3 din lista de verificare a contractelor de operatori și de persoana împuternicită, o persoana împuternicită are următoarele responsabilități directe în cadrul GDPR. Persoana împuternicită trebuie:

  1. acționeze DOAR pe baza instrucțiunilor scrise ale operatorului (articolul 29);
  2. NU utilizeze un subprelucrãtor fără autorizarea scrisă prealabilă a operatorului (articolul 28.2);
  3. cooperează cu autoritățile de supraveghere  în conformitate cu articolul 31;
  4. asigură securitatea prelucrării sale în conformitate cu articolul 32;
  5. țină evidența activităților sale de prelucrare în conformitate cu articolul 30.2;
  6. notifice controlorului o încălcare a securitãții datelor cu caracter personal în conformitate cu articolul 33;
  7. să angajeze un ofițer de protecție a datelor, dacă este necesar, în conformitate cu articolul 37; și
  8. desemnează (în scris) un reprezentant în cadrul Uniunii Europene, dacă este necesar, în conformitate cu articolul 27.

O persoana împuternicită ar trebui sã fie conștientă cã:

  1. acesta poate fi supus verificãrii potrivit competențelor de investigare și corectare a autorităților de supraveghere în temeiul articolului 58 din GDPR;
  2. în cazul în care NU își îndeplinește obligațiile, poate fi supus unei amenzi administrative conform articolului 83 din GDPR;
  3. în cazul în care NU îndeplinește obligațiile GDPR, aceasta poate fi supusă unei sancțiuni în temeiul articolului 84 ​​din GDPR;
  4. în cazul în care NU îndeplinește obligațiile GDPR, poate fi obligat să plătească despăgubiri în temeiul articolului 82 din GDPR.
Pe scurt..
  • GDPR face contracte scrise între operatori și persoane împuternicite – este o cerință generală, și nu doar o modalitate de a demonstra conformitatea cu cel de-al șaptelea principiu de protecție a datelor (măsurile de securitate corespunzătoare) în cadrul DPA.
  • Aceste contracte trebuie să includă, în prezent, niște termeni specifici.
  • Acești termeni sunt concepuți pentru a se asigura că procesarea efectuată de o persoana împuternicită îndeplinește toate cerințele GDPR (nu numai cele legate de păstrarea datelor cu caracter personal securizate).
  • GDPR permite clauzelor contractuale standard ale Comisiei Europene sau ale unei autorități de supraveghere să fie utilizate în contractele dintre operatori și persoane împuternicite- deși nu a fost elaborat până în prezent unul.
  • GDPR prevede că aderarea unui subimputernicit la un cod de conduită aprobat sau la o schemă de certificare poate fi utilizată pentru a ajuta operatorii să demonstreze că au ales o persoana imputernicită adecvată. Clauzele contractuale standard pot face parte dintr-un astfel de cod sau schemă, deși, din nou, nu sunt disponibile în prezent scheme.
  • GDPR oferă prelucrãtorilor responsabilități, iar persoana imputernicită și operatorii pot fi acum obligați să plătească despăgubiri sau să fie supuși unor amenzi sau altor sancțiuni.
Când este necesar un contract?

Ori de câte ori un operator utilizează o persoana imputernicită (un terț care prelucrează date cu caracter personal în numele operatorului), trebuie să aibă un contract scris în vigoare. În mod similar, dacă o persoana imputernicită utilizează o alta persoana imputernicita, trebuie să aibă un contract scris în vigoare.

De ce sunt importante contractele între operatori șpersoane imputernicite ?

Contractele dintre operatori și persoane imputernicite asigură înțelegerea obligațiilor din ambele pãrți, drepturile și obligații. Ei îi ajută să se conformeze GDPR și să ajute operatorii să demonstreze conformitatea cu GDPR. Utilizarea contractelor de către operatori și persoane imputernicite poate, de asemenea, să crească încrederea persoanelor vizate în gestionarea datelor lor cu caracter personal.

Ce trebuie să fie inclus în contract?

Contractele trebuie să stabilească obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului.

Contractele trebuie să includă clauze care să solicite persoanei imputernicite sã:

  1. să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului;
  2. să se asigure că persoanele care prelucrează datele sunt supuse unei obligații de confidențialitate;
  3. ia măsurile adecvate pentru a asigura securitatea prelucrării;
  4. să angajeze subimputerniciti NUMAI cu acordul prealabil al operatorului și în baza unui contract scris;
  5. să asiste operatorul în asigurarea accesului persoanelor vizate și să le permită să-și exercite drepturile în temeiul GDPR;
  6. sã asiste operatorul în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcărilor de date cu caracter personal și evaluările impactului asupra protecției datelor;
  7. șteargã sau transmitã toate datele cu caracter personal către operator, după cum se solicită la sfârșitul contractului;
  8. să prezinte controalelor și inspecțiilor informațiile, să furnizeze operatorului orice informație necesară pentru a se asigura că ambii îndeplinesc obligațiile prevăzute la articolul 28 și să informeze imediat operatorului în cazul în care i se cere să facă ceva care încalcă GDPR sau alte legi privind protecția datelor din UE sau un stat membru.
Pot fi folosite clauze standard de contracte?

GDPR permite ca clauzele contractuale standard ale Comisiei Europene sau ale unei autorități de supraveghere să fie utilizate în contractele încheiate între operatori și persoane imputernicite. Cu toate acestea, NU sunt disponibile clauze standard.

De asemenea, GDPR permite ca aceste clauze contractuale standard să facă parte dintr-un cod de conduită sau mecanism de certificare pentru a demonstra prelucrarea conformă. Cu toate acestea, în prezent NU sunt disponibile scheme.

Ce responsabilități au persoanele imputernicite?

O persoana imputernicita trebuie să acționeze numai pe baza instrucțiunilor operatorului. Dacă o persoane imputernicita determină scopul și mijloacele de prelucrare (mai degrabă decât să acționeze numai conform instrucțiunilor operatorului), atunci acesta va fi considerat a fi un operator și va avea aceeași răspundere ca un operator.

Pe lângă obligațiile contractuale față de operator, în cadrul GDPR o persoana imputernicita are, de asemenea, următoarele responsabilități directe:

  1. NU utilizeze un subimputernicit fără autorizarea scrisă prealabilă a operatorului;
  2. coopereze cu autoritățile de supraveghere;
  3. asigure securitatea prelucrarii;
  4. țină evidența activităților de prelucrare;
  5. notifice administratorilor de date orice încălcări a securitãții datelor cu caracter personal;
  6. angajeze un responsabil cu protectia datelor;
  7. numească (în scris) un reprezentant în cadrul Uniunii Europene, dacă este necesar.

Dacă o persoanã imputernicitã NU îndeplinește oricare dintre aceste obligații sau acționează în afara sau împotriva instrucțiunilor operatorului, acesta poate fi obligat să plătească despăgubiri în procedurile judiciare sau să facă obiectul unor amenzi sau al altor sancțiuni sau măsuri corective.

Dacă o persoana persoanã imputernicitã folosește un subimputernicit, atunci, ca persoana imputernicita va rămâne direct răspunzător față de operator pentru îndeplinirea obligațiilor subimputernicitului.

Ai nevoie de un model de contract operator – împuternicit actualizat GDPR? Îl găsești în KITUL de implementare, aici. 

 

 

 

 

VEZI aici SURSA



Plecãm de la faptul cã persoanele fizice au dreptul de a accesa datele cu caracter personal și informațiile suplimentare. Dreptul de acces le permite acestora să cunoască și să verifice legalitatea prelucrării datelor lor.

Astfel, în conformitate cu RGPD, persoanele fizice vor avea dreptul să obțină urmãtoarele:

  • confirmarea faptului că datele sunt prelucrate;
  • accesul la datele lor cu caracter personal;
  • alte informații suplimentare – aceasta corespunde în mare măsură informațiilor care trebuie furnizate într-un anunț de confidențialitate (art. 15).

Scopul dreptului de acces este acela cã, prin intermediul RGPD, se clarifică motivul pentru care persoanelor fizice le este permis accesul la datele lor cu caracter personal ->  ca acestea să fie înștiințate și să poată verifica legalitatea prelucrării (considerentul 63).

Se poate percepe o taxă pentru rezolvarea unei solicitări de acces?

Trebuie să furnizați gratuit o copie a informațiilor. Cu toate acestea, puteți percepe o “taxă rezonabilă” atunci când o cerere este vădit nefondată sau excesivă, în special dacă este repetată. Puteți, de asemenea, să percepeți o taxă rezonabilă pentru a respecta cererile de copiere a acelorași informații. Acest lucru NU înseamnă că puteți percepe taxe pentru TOATE solicitările de acces ulterioare. Taxa trebuie să se bazeze pe costul administrativ al furnizării informațiilor.

Cât timp trebuie să mă conformez?

Informațiile trebuie furnizate fără întârziere și cel târziu în termen de o lună de la primire. Veți putea prelungi perioada de conformare cu încă două luni în cazul în care cererile sunt complexe sau numeroase. În acest caz, trebuie să informați persoana în termen de o lună de la primirea cererii și să explicați DE CE este necesară extinderea.

 

Ce se întâmplă dacă cererea este vădit nefondată sau excesivă?

În cazul în care cererile sunt vădit nefondate sau excesive, în special pentru că sunt repetitive, puteți:

  1. să percepeți o taxă rezonabilă, ținând seama de costurile administrative de furnizare a informațiilor;
  2. refuzați să răspundeți.

În cazul în care refuzați să răspundeți unei cereri, trebuie să explicați persoanei, informând-o despre dreptul sãu de a se plânge autorității de supraveghere și despre o cale de atac judecătorească fără întârzieri nejustificate și cel târziu în termen de o lună.

 

Cum ar trebui furnizate informațiile?

TREBUIE să verificați identitatea persoanei care face cererea, folosind “mijloace rezonabile“. Dacă cererea este făcută electronic, trebuie să furnizați informațiile într-un format electronic utilizat în mod obișnuit.

RGPD include o recomandare privind cele mai bune practici care, în măsura posibilului, ar trebui să permită organizațiilor să furnizeze acces la distanță la un sistem de autoservire securizat, care să le permită accesul direct la informații (considerentul 63). Acest lucru NU va fi potrivit pentru toate organizațiile, dar există câteva sectoare în care acest lucru ar putea funcționa bine. Dreptul de a obține o copie a informațiilor sau de a accesa date cu caracter personal printr-un sistem securizat accesat la distanță NU ar trebui să afecteze negativ drepturile și libertățile celorlalți.

Ce se întamplã cu cererile de informații numeroase de date cu caracter personal?

În cazul în care procesați o cantitate mare de informații în legătura cu persoană, RGPD vă permite să solicitați persoanei să specifice informațiile la care se referă cererea (considerentul 63).

Regulamentul NU include o scutire pentru solicitările care se referă la cantități mari de date, însă este posibil să puteți examina dacă cererea este vădit nefondată sau excesivă.

 

Te putem ajuta să te aliniezi la GDPR!

Poți să ne contactezi mai jos sau să ne citești în continuare pentru a înțelege GDPR. Ori ambele 🙂

[contact-form-7 404 "Not Found"]

 

Vezi aici SURSA 


Help-Desk