Aici descoperim
dreptul tehnologiei

photo-1519377345644-937ef9754740.jpg

Instanța: Înalta Curte de Casație și Justiție

Dosar: 2450/1/2018

Minuta deciziei nr. 82 /26 noiembrie 2018

Admite sesizarea formulată de Curtea de Apel Iaşi – Secţia Contencios Administrativ şi Fiscal, în dosarul nr. 7568/99/2017, în vederea pronunţării unei hotărâri prealabile şi, în interpretarea dispoziţiilor Notei 2 lit. c) pct. II lit. A, cap. I din Anexa nr. VIII a Legii-cadru nr. 153/2017 în corelare cu prevederile art. 38 alin. (1), alin. (2) lit. a), alin. (3) lit. a), alin. (4) şi (6) din actul normativ anterior menţionat, stabileşte că:

–  majorarea salariului de bază, de 15% pentru complexitatea muncii, nu se acordă pentru perioada 1 iulie 2017 – 31 decembrie 2017 şi pentru anul 2018;

– pentru perioada 2019 – 2022, această majorare se acordă în condiţiile stabilite la art. 38 alin. (4) din Legea-cadru nr. 153/2017;

– prin excepţie, această majorare se acordă începând cu ianuarie 2018 sau cu data de la care salariile de bază, soldele de funcţie/salariile de funcţie, indemnizaţiile de încadrare devin mai mari decât cele stabilite potrivit legii pentru anul 2022, ca urmare a majorărilor salariale reglementate.

Obligatorie, potrivit dispoziţiilor art. 521 alin. (3) din Codul de procedură civilă.

Pronunţată în şedinţă publică, astăzi, 26 noiembrie 2018

 


 


template-1-1200x675.png

Hotărârea în cauza C-673/16

Noțiunea „soț”, în sensul dispozițiilor dreptului Uniunii privind libertatea de ședere
a cetățenilor Uniunii și a membrilor familiilor lor, cuprinde soții de același sex

Deși statele membre sunt libere să autorizeze sau să nu autorizeze căsătoria homosexuală, ele nu pot împiedica libertatea de ședere a unui cetățean al Uniunii prin refuzul de a acorda soțului său de același sex, resortisant al unei țări non-UE, un drept de ședere derivat pe teritoriul lor

Domnul Relu Adrian Coman, resortisant român, și domnul Robert Clabourn Hamilton, resortisant american, au locuit împreună timp de patru ani în Statele Unite înainte de a se căsători la Bruxelles în anul 2010. În luna decembrie 2012, domnul Coman și soțul său au solicitat autorităților române să le fie comunicate procedura și condițiile în care domnul Hamilton putea, în calitatea sa de membru al familiei domnului Coman, să obțină dreptul de a locui în mod legal în România pe o perioadă mai mare de trei luni. Această cerere se întemeia pe directiva privind exercitarea libertății de circulație, care permite soțului unui cetățean al Uniunii care și-a exercitat această libertate să se alăture soțului său în statul membru în care acesta din urmă locuiește.

Răspunzând la această solicitare, autoritățile române i-au informat pe domnii Coman și Hamilton că acesta din urmă beneficia numai de un drept de ședere pe o perioadă de trei luni, pentru motivul, printre altele, că el nu putea fi calificat în România drept „soț” al unui cetățean al Uniunii, întrucât acest stat membru nu recunoaște căsătoriile între persoanele de același sex („căsătorii homosexuale”).

Domnul Coman și domnul Hamilton au introdus în aceste condiții o acțiune în fața instanțelor române prin care solicitau constatarea existenței unei discriminări pe criteriul orientării sexuale, în ceea ce privește exercitarea dreptului de liberă circulație în Uniune. Fiind sesizată cu o excepție de neconstituționalitate ridicată în cadrul acestui litigiu, Curtea Constituțională (România) întreabă Curtea de Justiție dacă domnul Hamilton intră în sfera noțiunii de „soț” al unui cetățean al Uniunii care și-a exercitat libertatea de circulație și trebuie, prin urmare, să i se acorde un drept de ședere permanentă în România.

 

Prin hotărârea pronunțată astăzi, Curtea amintește mai întâi că directiva privind exercitarea libertății de circulație reglementează doar condițiile de intrare și de ședere ale unui cetățean al Uniunii în alte state membre decât cel al cărui resortisant este și că ea nu poate constitui temeiul unui drept de ședere derivat în favoarea resortisanților unui stat non-UE, membri ai familiei unui cetățean al Uniunii, în statul membru al cărui resortisant este acest cetățean. Directiva nu este, așadar, susceptibilă să constituie temeiul unui drept de ședere derivat în favoarea domnului Hamilton în statul membru al cărui resortisant este domnul Coman, România. Curtea amintește însă că, în anumite cazuri, unor resortisanți non-UE, membri ai familiei unui cetățean al Uniunii, care nu pot beneficia, în temeiul dispozițiilor directivei, de un drept de ședere derivat în statul membru al cărui resortisant este acest cetățean, li se poate recunoaște un asemenea drept în temeiul articolului 21 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (dispoziție care conferă în mod direct cetățenilor Uniunii dreptul fundamental și individual de liberă circulație și ședere pe teritoriul statelor membre).

Curtea arată în continuare că condițiile de acordare a acestui drept de ședere derivat nu trebuie să fie mai stricte decât cele prevăzute de directivă pentru acordarea unui asemenea drept de ședere unui resortisant al unui stat non-UE, membru al familiei unui cetățean al Uniunii care și-a exercitat dreptul de liberă circulație stabilindu-se într-un stat membru, altul decât cel al cărui resortisant este.

Curtea constată că, în cadrul directivei privind exercitarea libertății de circulație, noțiunea „soț”, care desemnează o persoană legată de o altă persoană prin căsătorie, este neutră din punctul de vedere al genului și este, așadar, susceptibilă să înglobeze soțul de același sex al unui cetățean al Uniunii. Curtea precizează însă că starea civilă a persoanelor, care cuprinde normele referitoare la căsătorie, este o materie care intră în competența statelor membre și că dreptul Uniunii nu aduce atingere acestei competențe, statele menționate fiind astfel libere să prevadă sau să nu prevadă căsătoria homosexuală. Ea amintește de asemenea că Uniunea respectă identitatea națională a statelor membre, inerentă structurilor lor fundamentale politice și constituționale.

Curtea consideră cu toate acestea că refuzul unui stat membru de a recunoaște, exclusiv în scopul acordării unui drept de ședere derivat unui resortisant al unui stat non-UE, căsătoria acestui resortisant cu un cetățean al Uniunii de același sex legal încheiată într-un alt stat membru este susceptibil să împiedice exercitarea dreptului acestui cetățean de liberă circulație și de ședere pe teritoriul statelor membre. Aceasta ar face ca libertatea de circulație să varieze de la un stat membru la altul în funcție de dispozițiile de drept național care guvernează căsătoria între persoanele de același sex.

În aceste condiții, Curtea amintește că libera circulație a persoanelor poate face obiectul unor restricții independente de cetățenia persoanelor în cauză, cu condiția ca aceste restricții să se întemeieze pe considerații obiective de interes general și să fie proporționale cu obiectivul legitim urmărit de dreptul național.

În această privință, ordinea publică, invocată în speță drept justificare pentru a restrânge dreptul de liberă circulație, trebuie interpretată în mod strict, astfel încât sfera ei să nu poată fi stabilită unilateral de fiecare stat membru fără exercitarea unui control din partea instituțiilor Uniunii. Obligația unui stat membru de a recunoaște, exclusiv în scopul acordării unui drept de ședere derivat unui resortisant al unui stat non-UE, o căsătorie homosexuală încheiată într-un alt stat membru conform dreptului acestui stat nu aduce atingere instituției căsătoriei în acest prim stat membru. În special, această obligație nu impune acestui stat membru să prevadă, în dreptul său național, instituția căsătoriei homosexuale. În plus, o asemenea obligație de recunoaștere exclusiv în scopul acordării unui drept de ședere derivat unui resortisant al unui stat non-UE nu aduce atingere identității naționale și nici nu amenință ordinea publică a statului membru în cauză.

Curtea amintește în sfârșit că o măsură națională care este de natură să împiedice exercitarea liberei circulații a persoanelor nu poate fi justificată decât dacă această măsură este conformă cu drepturile fundamentale care sunt garantate de Carta drepturilor fundamentale a Uniunii Europene. Întrucât dreptul fundamental la respectarea vieții private și de familie este garantat la articolul 7 din cartă, Curtea arată că și din jurisprudența Curții Europene a Drepturilor Omului reiese că relația pe care o are un cuplu homosexual este susceptibilă să intre în sfera noțiunii „viață privată”, precum și a noțiunii „viață de familie” la fel ca cea a unui cuplu heterosexual care se află în aceeași situație.

 


Sursa aici


DPO-întreabă-LegalUp-răspunde-1.png

Un DPO, cumpărător al KIT-ului nostru de implementare, ne-a adresat următoarea întrebare:

Întrebare: Conform GDPR trebuie ca, anterior începerii supravegherii video, să te consulți cu reprezentanții salariaților / sindicatul, să soliciți lămuriri firmei care a instalat sistemul de supraveghere privind conformitatea instalației și să informezi personal cu privire la supravegherea video. Dacă ne-am mutat în clădire cu mult timp înainte de GDPR, în condițiile în care noi am preluat clădirea cu sistemul de supraveghere video deja instalat, înțeleg că nu se mai poate pune problema ca anterior începerii supravegherii video să facem ceea ce am precizat anterior.

În aceste condiții, mai trebuie să facem acțiunile amintite mai sus?
Răspuns:  Art. 5 din Legea 190/2018 privind măsurile de punere în aplicare a GDPR prevede ca „ În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Prin urmare, intervin două situații:

Situația #1. Activitatea de supraveghere video a început anterior intrării în vigoare a Legii nr. 190/2018, prin urmare operatorul trebuie respecte toate conditiile de la punctele a-e cat mai curand.

Situația #2. Activitatea de supraveghere video a început ulterior intrării în vigoare a Legii nr. 190/2018, prin urmare operatorul trebuie respecte toate conditiile de la punctele a-e înainte de începerea efectivă a activității de prelucrare.

Concluzia: trebuie să respectați cerințele Legii 190/2018. 

 

Ai nevoie documentație GDPR și/sau de suport la implementarea cerințelor GDPR? Cumpără KIT-ul nostru de implementare și îți răspundem gratuit la întrebări despre GDPR timp de un an. 

 


privacy-10x10-FB-1200x1200.jpg

Spitalul Barreiro din Portugalia a fost amendat cu 400.000 de euro de către Autoritatea portugheză pentru protecția datelor pentru nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR) prin faptul că nu a separat drepturile de acces la datele pacientilor.

Spitalul din sectorul public a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective.  Mai mult, datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital, iar mecanismele de autentificare a accesului au fost considerate insuficiente.

 CNPS a afirmat că au fost încălcate principiile integrității și confidențialității, principiul minimizarii datelor pentru a limita accesul la datele clinice ale pacienților și incapacitatea Spitalului de a asigura confidențialitatea și integritatea datelor din sistemul lor (securitatea datelor). Primele două încălcări au au fost amendate cu 150.000 € fiecare, în timp ce a treia a primit 100.000 €, rezultand o amenda totala de 400.ooo euro.

Spitalul a spus faptul ca va contesta decizia.

Sursa aici

Ai nevoie de o Politica de acces prin care sa te asiguri ca accesul la date se desfasoara in mod legal si ca nicio persoana neautorizata nu are acces? O gasesti in kitul nostru de implementare, impreuna cu celelalte politici tehnice si organizatorice necesare.

 


privacy-10x10-FB-1200x1200.jpg

În situația în care trebuie să prelucrați datele personale pentru a proteja viața cuiva,  GDPR spune că puteți alege temeiul interesului vital.

Ce presupune temeiul interesului vital?

Pentru a putea alege temeiul intersului vital, prelucrarea trebuie să fie necesară. Dacă puteți proteja în mod rezonabil interesul vital al persoanei vizate într-un mod mai puțin intruziv, acest temei nu se va aplica.

Nu puteți alege interesul vital pentru prelucrarea datelor privind sănătatea sau a categoriilor speciale de date dacă persoana vizată este capabilă să-și exprime consimțământul, chiar dacă refuză acest lucru. Trebuie să stabiliți dacă puteți alege acest temei, să documentați circumstanțele în care acesta va fi relevant și să justificați raționamentul.

 

Ce spune GDPR?

Articolul 6 alineatul (1) litera d) oferă un temei pentru prelucrare atunci când:

“Prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice”.

Considerentul 46 oferă câteva îndrumări suplimentare:

“Prelucrarea datelor cu caracter personal ar trebui, de asemenea, considerată legală atunci când este necesară protecția unui interes esențial pentru viața persoanei vizate sau a unei alte persoane fizice. Prelucrarea datelor cu caracter personal pe baza interesului vital al unei alte persoane fizice ar trebui, în principiu, să aibă loc numai atunci când prelucrarea nu se poate baza în mod evident pe un alt temei juridic.”

Ce reprezintă un interes vital?

Este clar din considerentul 46 că interesele vitale sunt menite să includă doar elemente esențiale pentru viața cuiva. Prin urmare, domeniul de aplicare al acestui temei este foarte limitat și, în general, se aplică numai aspectelor ce țin de viață și deces.

Când se aplică temeiul interesului vital?

Poate fi aplicabil asistenței medicale de urgență, atunci când trebuie să prelucrați date cu caracter personal în scopuri medicale și persoana este incapabilă să își exprime consimțământul.

Exemplu:

O persoană este internată în Secția X a unui spital, având leziuni care îi pun viața în pericol, ca urmare a unui accident rutier grav. Dezvăluirea istoricului medical al persoanei vizate către spital este necesară pentru protejarea intereselor sale vitale.

Interesul vital nu este considerat adecvat pentru îngrijirea medicală planificată în prealabil. Într-un astfel de caz, ar putea fi potrivite alte temeiuri, cum ar fi interesul public sau interesul legitim.

Prelucrarea datelor personale ale unei persoane fizice pentru a proteja interesele vitale ale altei persoane este rar întâlnită în practică. Poate fi relevantă, de exemplu, dacă este necesară prelucrarea datelor personale ale unui părinte pentru a proteja interesul vital al copilului.

Cu toate acestea, dacă prelucrați datele personale ale unei persoane pentru a proteja viața altei persoane, considerentul 46 indică de asemenea că, în general, ar trebui să alegeți un temei alternativ, cu excepția cazului în care niciunul nu este în mod evident adecvat. De exemplu, în multe cazuri ați putea alege interesul legitim, care vă poate oferi un cadru în care se pot echilibra drepturile și interesele persoanei (persoanelor) vizate cu interesele vitale ale persoanei sau ale persoanelor pe care încercați să le protejați.

Ce altceva trebuie să avem în vedere?

În cele mai multe cazuri, protecția interesului vital poate să apară în contextul datelor privind sănătatea. Acestea fac parte din categoriile speciale de date, ceea ce înseamnă că va trebui să respectați și o condiție specială pentru prelucrarea categoriilor speciale de date, conform articolului 9 din GDPR.

Există o condiție specială la articolul 9 alineatul (2) litera (c) pentru prelucrarea categoriilor speciale de date atunci când este necesară protejarea interesului vital. Însă, acest lucru se aplică doar dacă persoana vizată este fizic sau legal incapabilă să își dea consimțământul. Aceasta înseamnă că un consimțământ explicit este mai adecvat în multe cazuri și nu puteți alege interesul vital pentru categoriile speciale de date (inclusiv date privind sănătatea) atunci când persoana vizată refuză să își dea consimțământul, cu excepția cazului în care nu este capabilă să facă acest lucru.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/vital-interests/

 


42797565_2695457437146397_8971170303103205376_n.jpg

Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD) îşi începe activitatea în România.

S-a înfiinţat Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD), creată cu scopul de a informa şi de a reuni profesioniştii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecţia Datelor 2016/679 şi a legislaţiei aferente, funcţionând ca un organism consultativ profesionist pentru persoane şi organizaţii. ASPDC este o organizaţie non-guvernamentală, autonomă, apolitică şi non-profit care ajută la definirea, susţinerea şi îmbunătăţirea profesiei de Responsabil în protecţia datelor şi a altor specialişti în domeniu şi îşi desfăşoară activitatea în conformitate cu prevederile OG nr.26/2000.

Consiliul Director pentru mandatul 2018/2019 este format din:
– Marius Dumitrescu – Preşedinte
– Cristiana Deca – Vicepreşedinte
– Alin Olteanu – Vicepreşedinte
– Cristian Deca – Vicepreşedinte

ASCPD ghidează persoanele responsabile în protecţia datelor şi alţi specialişti în domeniul confidenţialităţii datelor în rezolvarea numeroaselor probleme juridice, tehnice şi organizatorice pentru a obţine un echilibru adecvat între interesele persoanelor vizate, care necesită protecţie, şi cele ale operatorilor.

Obiectivul ASCPD este de a oferi soluţii concrete la problemele cu care se confruntă specialiştii în confidenţialitate şi protecţia datelor, de a creşte gradul de conştientizare a legislaţiei şi de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum şi un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătăţirea gradului de conştientizare cu privire la tehnologiile şi legile care pun în pericol viaţă privată, pentru a se asigura că publicul este informat şi implicat.

“Efortul nostru de a înfiinţa o astfel de asociaţie vine pe fondul unei lipse de educaţii în domeniul protecţiei datelor pentru piaţa românească. Ne propunem, ca un prim pas, să creăm programe de educaţie în domeniul protecţiei datelor pentru noua categorie de specialişti apărută în piaţă, odată cu intrarea în vigoare a Regulamentului. Companiile din România au nevoie de stabilitate organizaţională, iar prin proiectele noastre ne dorim să contribuim pozitiv la această stabilitate, prin specializarea personalului intern implicat în gestionarea programelor de confidenţialitate interne”, a declarat Cristiana Deca – Vicepreşedinte ASCPD.

Orice persoană fizică poate solicita înscrierea în Asociaţie prin completarea unui formular de adeziune (https://bit.ly/2Rf0FgR), iar pentru a fi acceptat, un candidat trebuie să fi absolvit un curs de specialitate în domeniul protecţiei datelor sau să fie angajat într-o organizaţie unde are atribuţii în acest domeniu.

Formularul de adeziune se trimite scanat la adresa secretariat@ascpd.ro împreună cu dovada absolvirii unui curs de specializare în domeniul protecţiei datelor sau o adeverinţă de la locul de muncă privind încadrarea şi atribuţiile în domeniul protecţiei datelor. Taxa de membru pentru trimestrul 4 /2018 este de 100 lei.

Proiectele ASCPD pentru perioada 2018-2019:

1. Organizarea Primei ediţii a Conferinţei Naţionale Protecţia Datelor în Domeniul Sanitar şi continuarea organizării de conferinţe pe domenii tematice ale grupurilor de lucru

2. Încheierea unor parteneriate strategice cu organizaţii reprezentative şi relevante pentru atingerea scopului organizaţiei

3. Reprezentarea şi promovarea asociaţiei la evenimente şi conferinţe de specialitate, organizate în ţară şi în străinătate

4. Iniţierea unei campanii de informare şi educare a persoanelor vizate

5. Înfiinţarea Registrului Naţional al membrilor ASCPD

6. Înfiinţarea comisiilor de specialitate pe domenii tematice

7. Lansarea unui portal destinat persoanelor vizate şi oferirea de consultanţă primară gratuită către acestea prin intermediul membrilor ASCPD

8. Editarea şi lansarea unei reviste lunare cu scopul pregătirii profesionale continue a specialiştilor în confidenţialitate şi protecţia datelor

9. Dezvoltarea reţelei DPO.NET în România şi creşterea numărului de membrii ASCPD

10. Lansarea programului “Privacy Academy” destinat dezvoltării şi susţinerii membrilor asociaţiei ASCPD şi organizarea unor cursuri bianuale pentru toţi membrii organizaţiei

11. Realizarea unui proiect de cercetare “Stadiul implementării GDPR în spitalele din România”

12. Susţinerea şi stimularea schimburilor de experienţă în România şi în străinătate.

 

LegalUp.ro și Ruxandra Sava (CIPP/E) salută înființarea primei Asociații a Specialiștilor în Confidenţialitate şi Protecţia Datelor și îi urează mult succes în anii ce vor urma!



Manual de implementare

E-book „GDPR pe înțelesul tău”

 

Folder 1 – Plan implementare

1.1.        Planul operatorului pentru conformarea la GDPR (Word)

 

Folder 2 – Audit

2.1.       Chestionar audit protectia datelor cu caracter personal (Excel)

2.2.       Raport audit GDPR (Excel)

 

Folder 3 – Maparea (cartografierea) activităților de prelucrare

3.1. Chestionar mapare date personale operator (Word)

3.2. Chestionar mapare date personale – împuternicit (Word)

3.3. Chestionar mapare date personale – IT (Word)

3.4. Chestionar mapare date personale – HR (Word)

3.5. Chestionar mapare date personale – Contabilitate (Word)

3.6. Chestionar mapare date personale – SSM (Word)

3.7. Chestionar mapare date personale – Juridic (Word)
3.8. Chestionar mapare date personale – Marketing (Word)

3.9.  Listă date cu caracter personal (pdf)

 

Folder 4 – Întocmirea registrului activităților de prelucrare 

4.1. Registrul activitatilor de prelucrare – operator (Excel)
4.2 Registrul activitatilor de prelucrare – imputernicit (Excel)

 

Folder 5 –  Informarea persoanelor fizice vizate

5.0. Cum informăm persoana fizică – Ghid     
5.1.  Notă informare angajați (Word) 
5.2.  Notă de informare către candidați (Word)
5.3.  Notă de informare către partenerii comerciali (Word)

5.4.  Politică de confidențialitate pentru site (Word)
5.5.  Notă de informare către clienți (Word)

 

Folder 6 – Obținerea consimțământului

6.1.  Formular consimțământ angajat (Word)
6.2. Formular consimțământ client (Word)
6.3. Formular consimțământ parinte (Word)
6.4. Formular consimțământ pacient (Word)

6.5. Formular consimțământ prelucrare date sensibile (Word)

6.6. Formular consimțământ transfer date în afara UE (Word)
6.7. Formular consimțământ marketing (Word)

 

Folderul 7 – Respectarea drepturilor persoanelor fizice vizate

7.1. Procedură privind respectarea drepturilor persoanelor vizate (Word)
7.2. Registrul cererilor persoanelor vizate (Excel)

 

Folderul 8 – Relația cu persoana împuternicită

8.1. Chestionar verificare conformitate persoana împuternicită (Word)
8.2. Acord de prelucrare persoana împuternicită (Word)

 

Folderul 9 – Relația cu operatorul asociat

9.1. Acord de prelucrare operatori asociați (Word)

 

Folderul 10 – Încheierea acordurilor de confidențialitate

10.1.  Acord de confidențialitate parteneri comerciali (Word)
10.2. Acord de confidențialiatte angajat (Word)

 

Folderul 11 – Prevenirea și managementul incidentelor de securitate

11.1. Plan de acțiune incident de securitate (Word)
11.2. Formular privind Notificarea Incalcarii Securității Datelor 
11.3. Registru documentare breșe securitate (Excel)

 

Folderul 12 – Interesul legitim

12.1    Analiza interes legitim supraveghere video (Word)

12.2.   Analiza interes legitim monitorizare gps (Word)

12.3. Analiza interes legitim alte activitati de prelucrare (Word)

 

Folder 13 – Proceduri în relația cu angajații

13.1.    Angajamentul angajatului privind protecția datelor cu caracter personal (Word)
13.2.   Capitol ROI privind protecția datelor (Word)

 

Folder 14 – Politici tehnice 

14.1. Politica Anti-Spam (Word)

14.2. Politica de retenție (Word)

14.3. Politica privind accesul la date (Word)

14.4. Politica privind anonimizarea și pseudonimizarea (Word)

14.5. Politica privind securitatea informației (Word)

14.6. Politica privind ștergerea datelor (Word)

 

Folder 15 – Responsabilul cu protecția datelor

15.1.   Fișa Postului responsabil cu protecția datelor (Word)

15.2.  Decizie numire responsabil cu protecția datelor (Word)

15.3.  Contract prestări servicii DPO externalizat (Word)

 

CUMPARĂ KIT


privacy-10x10-FB-1200x1200.jpg

Scopul acestui manual de implementare GDPR este de a ajuta organizațiile să respecte prevederile GDPR utilizând KIT GDPR Premium LegalUp. Există mai multe soluții disponibile pentru implementarea GDPR în cadrul companiei dumneavoastră, însă metoda noastră este una eficientă și completă, incluzând atât documentația tehnică, cât și cea juridică și organizatorică.

Documentația este un factor important pentru demonstrarea conformității Organizației cu prevederile GDPR. Ea este solicitată de către autoritățile de supraveghere la fiecare investigație și pe bună dreptate: Cum poate o organizație care nu își ține în ordine politicile și procedurile de protecție a datelor să pretindă că asigură protecția datelor personale?

Cum încep implementarea GDPR?

După de ai achiziționat KIT GDPR Premium, vei putea începe implementarea GDPR. KIT GDPR Premium vine cu suport inclus nelimitat pe e-mail timp de 12 luni. 

 

Pasul 1. Întocmirea planului de implementare  

Primul pas în procesul de implementare GDPR este organizarea.

1.1. Deschide cu încredere folderul 1. 

 

Vei găsi acolo un document denumit „Planul operatorului pentru conformarea la GDPR” unde se structurează, în funcție de priorități, acțiunile pe care trebuie să le întreprinzi pentru a respecta RGPD.

1.2. Creează-ți planul de implementare GDPR. Vei putea trece termene-limită pentru implementarea acțiunilor, vei putea trece rolurile și responsabilitățile persoanei/persoanelor responsabile în procedura de aliniere la prevederile RGPD.

Ar fi util ca, pe tot parcursul implementării, să ai Planul la îndemână pentru a ști ce anume s-a început, ce s-a finalizat și ce mai este de făcut.

CUMPARĂ KIT

 

 

Pasul 2. Audit 

Înainte de a începe implementarea ar trebui să știi unde te situezi. Este posibil să fi implementat deja o parte din proceduri.

Audit-ul unui specialist în protecția datelor este scump și, în majoritatea cazurilor, chiar dacă ai angajat un specialist, cea mai mare parte din muncă o faci singur.

Doar tu știi cum funcționează Organizația, de aceea:

2.1. Deschide „Folderul 2 – Audit” și răspunde la întrebările din „Chestionar audit protecția datelor cu caracter personal”.

Ulterior

2.2. Deschide documentul „Raport audit” și urmează instrucțiunile pentru a afla în ce stadiu te afli și care este gradul de conformare al companiei.  

 

 

Cumpără acum

 

Pasul 3. Cartografierea

Acest pas este foarte important și ar trebui parcurs cu multă atenție. El te va ajuta să implementezi corect și complet pașii următori, ca de exemplu completarea Registrelor Activităților de Prelucrare sau redactarea notelor de informare către persoanele vizate.

3.1. Începe prin a răspunde la chestionare pentru a conștientiza, printre altele, ce categorii de date prelucrezi, care sunt persoanele vizate, care sunt scopurile, care este temeiul legal cui transmiți datele, ce proceduri ai implementat sau trebuie să implementezi.

 

cartografierea

Utilizează cu încredere cele 8 chestionare structurate pe departamente din folderul 3.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

CUMPARĂ KIT

 

Pasul 4. Întocmirea Registrului activităților de prelucrare

Așa cum am precizat mai sus, întocmirea acestui registru este obligatorie pentru aproape toate Organizațiile din România. În funcție de calitatea ta, operator sau împuternicit sau ambele va trebui să ai un registru pentru fiecare calitate.

 

Ambele registre vin cu exemple de completare.

Dacă ai parcurs cu succes, Pasul 3, completarea registrului nu va fi dificilă, deoarece vei utiliza răspunsurile pe care le-ai dat deja la întrebările din chestionare. Registrele sunt în format excel.

Reține faptul că registrul trebuie revizuit periodic. Ar fi util să stabilești date pentru revizuire, ca de exemplu, de două ori pe an. Pe măsură ce afacerea evoluează sau se schimbă (de exemplu, adoptă noi tehnologii care pot avea impact asupra vieții private), noile procese trebuie trecute în registru. Păstrează și versiunile anterioare.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

VREAU KIT-UL

 

 

Pasul 5. Înformarea persoanelor fizice

Clienții, angajații, candidații, voluntarii, vizitatorii pe site, reprezentații legale sau persoanele de contact din cadrul partenerilor comerciali etc – toți trebuie informaț icu privire la modalitatea în care le prelucrezi datele.

5.1. Deschide folderul 5 și completează notele de informare.

Am construit note de informare pentru majoritatea categoriilor de persoane vizate: angajați, candidați, clienți, vizitatori pe site, parteneri comerciali. Notele de informare sunt redactate de avocați specializați în protecția datelor și respectă cerințele GDPR și sunt construite utilizând un format stratificat și un limbaj ușor de înțeles. Ele sunt standardizate. 

dreptul la informare

După ce ai completat notele de informare, va trebui să informezi persoanele vizate, alegând canalul de comunicare (înmânarea documentului scris, comunicarea pe e-mail etc).

Ai nevoie de o notă de informare care nu se regăsește acolo? Scrie-ne la adresa de e-mail furnizată și ți-o vom trimite pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

Cumpără acum

 

Pasul 6. Obținerea consimțământului

În unele cazuri este obligatoriu să iei consimțământul. Deschide folderul 6 și acolo vei găsi șabloanele de consimțământ:

  • Formular consimțământ angajat;
  • Formular consimțământ client;
  • Formular consimțământ părinte pentru minor;
  • Formular consimțământ pacient;
  • Formular consimțământ explicit prelucrare date sensibile;
  • Formular consimțământ explicit transfer international;
  • Formular consimțământ marketing.

 

 

Ai nevoie de un formular care nu se regăsește mai sus? Scrie-ne la adresa de e-mail furnizată și ți-l vom trimite în scurt timp pe e-mail deoarece, ulterior, îl vom standardiza și îl vom include în KIT. 

CUMPARĂ KIT

 

Pasul 7. Respectă drepturile persoanelor vizate

În folderul 7 vei găsi documentul „Procedura privind respectarea drepturilor persoanelor vizate”. În fiecare companie trebuie să existe o astfel de procedură. În cele mai multe cazuri, existența unui control sau nu depinde de existența unei plângeri a unei persoane vizate. Utilizează „Registrul cererilor persoanelor vizate” pentru a documenta cererile în temeiul GDPR.

 

drepturi gdpr

 

Pasul 8. Încheie contracte cu furnizorii

În primul rând, trebuie să întocmești o listă cu toate organizațiile terțe cărora le transferi într-o formă sau alta date personale. Contabilitate, SSM, agenții de marketing, firme de recrutare, furnizori de servicii IT etc – toți sunt împuterniciți și tu ai obligația de a te asigura că ei respectă RGPD și de a încheia acorduri scrise cu ei.

GDPR cere ca operatorul să contracteze doar cu împuterniciții (furnizorii de servicii care au acces la date) care prezintă garanții că respectă GDPR. În folderul 8 vei găsi un chestionar prin care îl vei trimite împuterniciților pentru a verifica dacă respectă GDPR.

De asemenea, GDPR cere ca între operator și împuternicit să existe un contract scris. În folderul 8 vei găsi un astfel de contract.

8.1. Trimite chestionarul furnizorilor pentru a-i verifica

8.2. Încheie acordurile de prelucrare. 

 

Cumpără acum

 

Pasul 9. Încheie contracte cu partenerii comerciali

Pot exista situații în care partajezi date cu diverși parteneri comerciali din dorința de a oferi împreună un bun sau un serviciu. GDPR spune că trebuie să existe un contract pentru a stabili cine informează persoana vizată și cine răspunde la cererile de acces. În folderul 9 găsești un astfel de contract.

 

Pasul 10. Încheie contracte de confidențialitate

Datele cu caracter personal trebuie protejate și GDPR cere încheierea acordurilor de confidențialitate. Bazele de date și secretele comerciale trebuie, de asemenea, protejate. Noi am reușit prin acordurile de confidențialitate din Folderul 10 (Acord de confidențialitate angajat și Acord de confidențialitate partener comercial) să împușcăm doi iepuri dintr-un foc: protejarea afacerii (secrete comerciale și alte informații) și protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

 

Pasul 11. Prevenirea și managementul incidentelor de securitate

Procedurile din folderul 11 sunt necesare atât pentru respectarea GDPR, cât și pentru prevenirea și managementul adecvat al incidentelor de securitate.

 

 

Cumpără acum

Pasul 12. Interesul legitim

Există situații în care nu poți să iei consimțământul și nu te poți baza nici pe alt temei legal, așa că singura variantă rămâne interesul legitim. Dar pentru a utiliza interesul legitim, trebuie să afli dacă interesul Organizației prevalează asupra intereselor și drepturilor persoanelor fizice. În folderul 12 găsești analize ale interesului legitim:

  • Analiză interes legitim – supraveghere CCTV;
  • Analiză interes legitim – monitorizare GPS;
  • Analiză interes legitim standard – pentru a fi adaptată la alte situații.

Necesitatea unei analize a interesului legitim în situația supravegherii CCTV a fost introdusă de legiuitorul roman prin Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR.

Ai nevoie să păstrezi baza de date și vrei să mergi pe interes legitim? De exemplu, recrutezi sau organizezi evenimente? Scrie-ne la adresa de e-mail furnizată și îți vom trimite analiza în scurt timp pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

 

 

Cumpără acum

Pasul 13. Instruirea angajaților

Angajații trebuie să înțeleagă și să protejeze datele cu caracter personal. Cele mai multe incidente de securitate provin de la fapta angajatului, iar Organizația are obligația de a instrui corespunzător angajații. În folderul 13 găsești proceduri în relația cu angajații, documente prin care angajatul se oblige să respecte politicile RGPD și Capitol ROI privind protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

Pasul 14. Securitatea. Politici tehnice și organizatorice

 

Am reușit să elaborăm, printr-o strânsă colaborare între juriști și experți în securitate cibernetică, următoarele Politici:

  • Politică Anti-Spam – pentru a ști cum să faci marketing care să respecte GDPR;
  • Politica de retenție – pentru a stabili termene-limită pentru stocarea datelor, așa cum cere RGPD;
  • Politica privind accesul la date – cum se face accesul la date pentru a se preveni accesul neautorizat;
  • Politica privind anonimizarea și pseudonimizarea – cum se anonimizează și pseudonimizează datele pentru a respecta GDPR;
  • Politică privind Securitatea informației – ce măsuri se vor întreprinde pentru a preveni incidentele de securitate;
  • Politica de ștergere – cum se șterg datele cu caracter personal de pe diver medii de stocare.

 

Cumpără acum

Folderul 15.  Responsabilul cu protecția datelor

Folderul 15 conține documentele necesare pentru desemnarea responsabilului cu protecția datelor.

 

 

 

Ce altceva mai este inclus în KIT-ul meu?

Kit-ul tău include

  • Un abonament de un an la actualizări gratuite
  • Suport nelimitat pe e-mail timp de 12 luni la implementarea documentelor.

 

VREAU KIT-UL