Aici descoperim
dreptul tehnologiei

privacy-10x10-FB-1200x1200.jpg

Există situația în care trebuie să prelucrați datele personale pentru a proteja viața cuiva, iar  GDPR spune că vă puteți baza pe interesul vital.

Ce presupune interesul vital?

Pentru a vă putea baza pe intersul vital, prelucrarea trebuie să fie necesară. Dacă puteți proteja în mod rezonabil interesele vitale ale persoanei într-un alt mod mai puțin intruziv, acest temei nu se va aplica.

Nu puteți să vă bazați pe interesul vital pentru datele privind sănătatea sau alte date de categorie specială dacă persoana este capabilă să-și exprime consimțământul, chiar dacă refuză acest lucru. Ar trebui să analizați dacă este posibil să vă bazați pe acest temei, să documentați circumstanțele în care acesta va fi relevant și să vă asigurați că puteți justifica raționamentul.

 

Ce spune GDPR?

Articolul 6 alineatul (1) litera d) oferă un temei pentru prelucrare atunci când:

“Prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice”.

Considerentul 46 oferă câteva orientări suplimentare:

“Prelucrarea datelor cu caracter personal ar trebui, de asemenea, considerată legală atunci când este necesar să se protejeze un interes esențial pentru viața persoanei vizate sau a unei alte persoane fizice. Prelucrarea datelor cu caracter personal pe baza interesului vital al unei alte persoane fizice ar trebui, în principiu, să aibă loc numai atunci când prelucrarea nu se poate baza în mod evident pe un alt temei juridic.”

Care sunt interesele vitale?

Este clar din considerentul 46 că interesele vitale sunt destinate să includă doar interesele esențiale pentru viața cuiva. Prin urmare, acest temei este foarte limitat în domeniul său de aplicare și, în general, se aplică numai aspectelor ce țin de viață și deces.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/vital-interests/

 

Când se aplică temeiul interesului vital?

Este posibil să fie relevant pentru asistența medicală de urgență, atunci când trebuie să prelucrați date cu caracter personal în scopuri medicale și persoana este incapabilă să vă dea consimțământul.

Exemplu:

O persoană este internată în Secția X a unui spital, având leziuni care îi pot pune viața în pericol, ca urmare a unui accident rutier grav. Dezvăluirea către spital a istoricului medical al individului este necesară pentru protejarea intereselor sale vitale.

Este puțin probabil să fie adecvat pentru îngrijirea medicală planificată în avans. Alte temeiuri, cum ar fi interesul public sau interesele legitime, ar putea fi mai potrivite în acest caz.

Prelucrarea datelor personale ale unui individ pentru a proteja interesele vitale ale altora este întâlnită mai rar. Poate fi relevantă, de exemplu, dacă este necesară prelucrarea datelor personale ale unui părinte pentru a proteja interesele vitale ale copilului.

Cu toate acestea, dacă prelucrați datele personale ale unei persoane pentru a proteja viața altcuiva, considerentul 46 indică de asemenea că, în general, ar trebui să încercați să utilizați un temei alternativ, cu excepția cazului în care niciunul nu este în mod evident adecvat. De exemplu, în multe cazuri ați putea lua în considerare interesul legitim, care vă poate oferi un cadru în care se pot echilibra drepturile și interesele persoanei (persoanelor) vizate cu interesele vitale ale persoanei sau ale persoanelor pe care încercați să le protejați.

Ce altceva trebuie să avem în vedere?

În cele mai multe cazuri, protecția intereselor vitale poate să apară în contextul datelor privind sănătatea. Aceasta este una din categoriile speciale de date, ceea ce înseamnă că va trebui, de asemenea, să identificați o condiție pentru prelucrarea datelor din categorii speciale, conform articolului 9 din GDPR.

Există o condiție specifică la articolul 9 alineatul (2) litera (c) pentru prelucrarea datelor din categorii speciale atunci când este necesară protejarea interesului vital. Însă, acest lucru se aplică doar dacă persoana vizată este fizic sau legal incapabilă să dea consimțământul. Aceasta înseamnă că un consimțământ explicit este mai adecvat în multe cazuri și nu vă puteți baza, în practică, pe interesul vital pentru datele din categorii speciale (inclusiv date privind sănătatea) în cazul în care subiectul refuză consimțământul, cu excepția cazului în care nu este capabil să facă acest lucru.


hacking-3112539_1920-1200x675.png

Ce sunt datele din categorii speciale?

Datele din categoriile speciale sunt date personale considerate sensibile și necesită o protecție sporită, conform GDPR.

Pentru a prelucra în mod legal categorii speciale de date, trebuie să identificați un temei potrivit articolului 6, și o condiție separată pentru prelucrarea datelor sensibile în conformitate cu articolul 9.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/special-category-data/

Ce condiții trebuie să îndeplinească prelucrarea datelor din categorii speciale?

Condițiile sunt prevăzute de articolul 9 alineatul (2) din GDPR:

(a) persoana vizată a dat un consimțământ explicit petru prelucrarea datelor cu caracter personal, pentru unul sau mai multe scopuri specificate, cu excepția cazului în care legislația Uniunii sau a statului membru prevede că interdicția menționată la alineatul (1) nu poate fi ridicată de persoana vizată;

(b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și exercitării anumitor drepturi ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și securității sociale, în măsura în care este autorizat de legislația Uniunii sau a statelor membre sau de o convenție colectivă în temeiul legislației statelor membre, care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;

(c) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;

(d) prelucrarea se desfășoară în cadrul activităților normale, cu garanții adecvate, de către o fundație, o asociație sau orice altă organizație nonprofit cu scop politic, filosofic, religios sau sindical și cu condiția ca prelucrarea să se refere exclusiv la membri sau foștii membri ai organizației sau persoanelor care intră în contact periodic cu aceasta, în legătură cu scopurile sale și ca datele să nu fie divulgate fără consimțământul persoanelor vizate;

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod evident de către persoana vizată;

(f) prelucrarea este necesară pentru stabilirea, exercitarea sau apărarea unor  revendicări legale sau ori de câte ori instanțele acționează în calitatea lor judiciară;

(g) prelucrarea este necesară din motive de interes public, pe baza legislației Uniunii sau a statului membru, și este proporțională cu scopul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri adecvate și specifice pentru a proteja drepturile fundamentale și interesele persoanei vizate;

(h) prelucrarea este necesară în cadrul medicinii muncii sau preventive, pentru evaluarea capacității de muncă a angajatului, diagnostic medical, furnizarea de îngrijiri medicale sau tratamente ori gestionarea sistemelor și serviciilor de sănătate sau de asistență socială în temeiul legislației Uniunii sau al statelor membre, în temeiul unui contract cu un profesionist în domeniul sănătății și sub rezerva condițiilor și garanțiilor menționate la alineatul (3);

(i) prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, bazată pe legislația Uniunii sau a statului membru care prevede măsuri adecvate și specifice pentru a proteja drepturile și libertățile persoanei vizate, în special secretul profesional;

(j) prelucrarea este necesară în scopul arhivării în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1).”

Cum ne dăm seama că prelucrăm date sensibile?

Trebuie să alegeți un temei legal, exact în același mod ca și pentru prelucrarea altor categorii de date cu caracter personal, dar va trebui să îndepliniți și o condiție specifică, potrivit articolului 9 din GDPR deoarece datele din categoriile speciale necesită mai multă protecție. De exemplu, conțin informații despre persoana fizică, referitoare la:

  • rasă;
  • origine etnică;
  • orientare politică;
  • religie;
  • apartenența la sindicate;
  • genetică;
  • biometrie (în cazul utilizării în scopuri de identificare);
  • sănătate;
  • viața sexuală; sau
  • orientarea sexuală.

Acest tip de date ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale ale unei persoane, de exemplu, punându-le în pericol de discriminare.


Agreement.png

Ce trebuie să știm?

  • GDPR indică acest temei dacă trebuie să prelucrați datele personale ale cuiva atunci când trebuie să îndepliniți obligații contractuale față de acesta sau pentru că v-au cerut să faceți ceva înainte de a încheia un contract (de exemplu, faceți o ofertă).
  • Prelucrarea trebuie să fie necesară. Dacă puteți obține în mod rezonabil ceea ce doriți fără a prelucra datele personale, acest temei nu se poate aplica.
  • Trebuie să documentați decizia dvs. de a vă baza pe contract și să puteți justifica raționamentul.

Ce spune GDPR?

Articolul 6 alineatul (1) litera (b) oferă un temei pentru prelucrare în cazul în care:

“Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a lua măsuri premergătoare contractului, la cererea persoanei vizate”

Când se aplică temeiul contractului?

  • atunci când aveți un contract cu persoana vizată și trebuie să prelucrați datele personale pentru a executa obligațiile în baza contractului.
  • nu ați încheiat încă un contract cu persoana, dar v-a cerut să faceți un prim pas (de exemplu, oferiți un citat) și trebuie să prelucrați datele personale pentru face acest lucru.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/contract/

  • Nu se aplică dacă trebuie să prelucrați datele unei persoane și contractul este încheiat cu altcineva.
  • Nu se aplică dacă luați măsuri precontractuale din proprie inițiativă sau la cererea unei terțe părți.

Exemplu

O persoană care caută să încheie asigurarea unei mașini solicită o ofertă. Asigurătorul trebuie să prelucreze anumite date pentru a pregăti oferta, cum ar fi marca și vechimea mașinii.

În acest context, un contract nu trebuie să fie un document formal semnat sau chiar scris, atât timp cât există un acord care îndeplinește cerințele dreptului contractual. Aceasta înseamnă că termenii au fost oferiți și acceptați și există un element de schimb (poate fi vorba despre orice lucru evaluabil).

Când este prelucrarea necesară pentru un contract?

“Necesară” nu înseamnă că prelucrarea trebuie să fie esențială pentru realizarea unei activități contractuale sau pentru luarea unor măsuri precontractuale relevante. Acest temei nu se aplică dacă există alternative rezonabile și mai puțin intruzive de a îndeplini obligații contractuale sau de a face pașii solicitați.

Prelucrarea trebuie să fie necesară pentru a vă îndeplini partea dvs. de contract. În cazul în care prelucrarea este necesară numai pentru a vă menține modelul de afaceri în general, acest temei nu va fi aplicabil și ar trebui să luați în considerare un alt temei, cum ar fi interesul legitim.

Ce altceva ar trebui să avem în vedere?
  • Dacă prelucrarea este necesară pentru un contract cu persoana fizică, prelucrarea este legală pe acest temei și nu trebuie să obțineți consimțământul separat.
  • Dacă prelucrarea datelor din categorii speciale este necesară pentru contract, trebuie să identificați și o altă condiție pentru prelucrarea acestor date.
  • În cazul în care contractul este încheiat cu un copil cu vârsta sub 18 ani, trebuie să vă gândiți dacă are competența de a încheia un contract. Dacă aveți îndoieli, vă recomandăm să luați în considerare un temei alternativ, cum ar fi interesul legitim, care vă poate ajuta să demonstrați că drepturile și interesele copilului sunt protejate corespunzător.
  • Dacă prelucrarea nu este necesară pentru contract, trebuie să luați în considerare un alt temei, cum ar fi interesul legitim sau consimțământul. Rețineți că, dacă doriți să vă bazați pe consimțământ, nu veți putea, în general, să considerați prelucrarea o condiție a contractului.
  • Dacă prelucrați pe baza contractului, dreptul persoanei la opoziție și dreptul de a nu fi supus la o decizie bazată exclusiv pe prelucrarea automată nu se vor aplica. Cu toate acestea, va avea dreptul la portabilitatea datelor.

Amintiți-vă să comunicați decizia că prelucrarea este necesară pentru contract și includeți informații despre scop și temei în notificarea dvs. de confidențialitate.

 


Reține-principiile-de-mai-sus.-Te-va-ajuta-să-respecți-GDPR-2.png

Ce trebuie să știm?

  • Obligația legală reprezintă unul dintre cele șase temeiuri de prelucrare prevăzute de GDPR.
  • Articolul 6 alineatul (1) litera (c) din GDPR prevede un temei pentru prelucrare atunci când:

“Prelucrarea este necesară pentru respectarea unei obligații legale care îi revine operatorului”.

  • Vă puteți baza pe acest temei dacă trebuie să prelucrați datele cu caracter personal pentru a respecta o lege sau o obligație legală, însă acest lucru nu se aplică obligațiilor contractuale.
  • Prelucrarea trebuie să fie necesară. Dacă vă puteți conforma în mod rezonabil fără a prelucra datele personale, acest temei nu se aplică.
  • Trebuie să documentați decizia de a vă baza pe acest temei și să vă justificați raționamentul. Trebuie să identificați dispoziția legală specifică sau o sursă adecvată de sfaturi sau îndrumări care să vă stabilească în mod clar obligația.

Când se aplică temeiul obligației legale?

Pe scurt, atunci când sunteți obligat să prelucrați datele personale pentru a respecta legea. Articolul 6 alineatul (3) prevede că obligația legală trebuie stabilită de legislația națională sau UE. Aceasta nu trebuie să fie o obligație legală explicită, atât timp cât aplicarea legii este previzibilă pentru persoanele vizate. Prin urmare, sunt incluse obligațiile din domeniul dreptului comun.

Acest lucru nu înseamnă că trebuie să existe o obligație legală care să impună în mod specific activitatea de prelucrare. Ideea este că scopul dvs. general trebuie să fie acela de a respecta o obligație care are o bază legală în dreptul comun sau statut. Trebuie să identificați obligația fie prin referire la dispoziția juridică specifică, fie indicând o sursă adecvată de sfaturi sau îndrumări în care aceasta se regăsește. De exemplu, vă puteți referi la un site web guvernamental sau la îndrumări din industrie care expun în general obligații legale aplicabile.

Când este prelucrarea “necesară” pentru conformare?

Deși prelucrarea nu trebuie să fie esențială pentru îndeplinirea obligației legale, ea trebuie să fie rezonabilă și proporțională pentru atingerea conformității. Nu vă puteți baza pe acest temei dacă în afară de prelucrarea datelor cu caracter personal există și un alt mod de conformare.

Ce altceva ar trebui să luăm în considerare?

Dacă prelucrați datele pe baza unei obligații legale, persoana fizică nu are dreptul la ștergere, dreptul la portabilitate sau dreptul la opoziție.

Amintiți-vă să:
  • demonstrați că prelucrarea este necesară pentru respectarea unei obligații legale;
  • identificați o sursă adecvată pentru obligația în cauză; și
  • includeți informații despre scopurile dvs. și temei în notificarea privind confidențialitatea.

 


date-12.png

Autor Ruxandra Sava

Avocat și consultant GDPR

CIPP/E

 

Ce este GDPR?

Regulamentul general privind protecția datelor (denumit în continuare „GDPR” sau „Regulament GDPR”) a devenit lege în România începând cu 25 mai 2018. Pentru nerespectarea cerințelor de protecție, sancțiunile pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro. Investigația unei organizații române se face de Autoritatea de supraveghere din România, dar, în unele cazuri și de autoritățile de supraveghere din alte state membre UE, cum ar fi, de exemplu, situația în care o organizație prelucrează date ale unei persoane fizice străine, iar aceasta are dreptul de a se adresa cu o plângere la ea acasă sau chiar de a se adresa instanțelor de judecată din țara de proveniență. Provocarea este mare, având în vedere că majoritatea site-urile pot fi accesate de oriunde, iar unele companii din România vând bunuri, prestează servicii sau interacționează în alte modalități cu cetățeni ai Uniunii.

Regulamentul GDPR are în centru său un element primordial: persoana fizică. Datele persoanei fizice trebuie protejate prin măsuri adecvate.

Regulament GDPR introduce un principiu important: responsabilitatea.

Pe scurt, responsabilitatea înseamnă că operatorul de date este singurul responsabil de a implementa măsurile adecvate pentru protecția datelor cu caracter personal și că poate demonstra că aceste măsuri au fost implementate. Cu alte cuvinte, nu este suficient să protejăm datele cu caracter personal, ci trebuie și să documentăm aceste procese prin politici și proceduri adecvate, precum registre, analize, acorduri cu partenerii comerciali, consimțăminte documentate, informări către persoane.

În pas de traziție către era digitală, protecția datelor cu caracter personal este un subiect serios pe agenda fiecărei companii.

În continuare, vom rezuma pe scurt GDPR, cu mențiunea că pe blogul LegalUp publicăm constant articole despre Regulamentul GDPR pentru a veni în spirijinul companiilor.

 

Regulament GDPR. Principiile 

GDPR introduce șase principii care trebuie respectate de către orice Organizație care prelucrează date așa cum sunt ele descrise pe scurt mai jos:

  • Legalitate, echitate și transparență

prelucrează datele legal și corect față de persoana vizată și explică-i de ce îi prelucrezi într-un limbaj pe care îl poate înțelege, fără jargon juridic.

  • Limitarea scopuluinu folosi datele în altă manieră decât aceea prezentată persoanei fizice;
  • Minimizarea datelornu prelucra mai multe date decât îți trebuie;
  • Exactitatepăstrează datele actualizate;
  • Integritate și confidențialitateprotejează datele prin măsuri adecvate;
  • Responsabilitatedocumentează procesele și fii capabil să demonstrezi respectarea principiilor de mai sus.

 

Regulament GDPR. Legalitatea

Toate operațiunile asupra datelor trebuie să fie legale, adică să se bazeze pe cel puțin unul dintre temeiurile de mai jos:

  • Consimțământul – persoana și-a dat în mod valabil consimțământul;
  • Contractul – există un contract sau urmează să se încheie un contract;
  • Obligația legală – există o obligație legală;
  • Interesul vital – protejezi viața sau sănătatea persoanei;
  • Interesul public;
  • Interesul tău legitim – atâta timp cât nu intră în conflict cu interesul persoanei fizice;

Indiferent de temei (consimțământul, contractul, obligația legală etc), trebuie să respecți GDPR și să pui în practică politici adecvate de protecție a datelor.

Cele șase temeiuri enumerate mai sus se află pe poziție de egalitate. Consimțământul este important, însă el vine cu dezavantaje, cum ar fi dreptul de retragere a consimțământului, imposibilitatea de a obține consimțământul tuturor persoanelor, refuzul de a-și da consimțământul. De aceea, ai putea considera util să verifici dacă nu cumva poți prelucra datele în baza altui temei. Există o obligație legală? Ai un contract cu persoana? Nu ai nevoie de consimțământ.

Interesul legitim se va folosi cu precauție. El se folosește, de regulă, pentru situații în care nu există nu se poate sau nu se dorește obținerea consimțământului și nu există alt temei (supraveghere CCTV, monitorizare locație gps, recrutare, organizări evenimente etc). Pentru a se putea utiliza interesul legitim, este nevoie ca Organizația să documenteze în scris că interesul ei primează asupra drepturilor și intereselor persoanelor vizate.

 

Consimțământul

Comsimțământul persoanei trebuie să îndeplinească o serie de condiții, printre care să fie cert și informat. Căsuțele pre-bifate, tăcerea sau inacțiunea nu valorează consimțământ. Persoana trebuie să îți dea consimțământul printr-o acțiune reală, precum bifarea unei căsuțe, o semnătură, un DA categoric înregistrat.

Consimțământul trebuie să fie însoțit de o notă de informare prin care persoana să afle pentru ce anume își dă consimțământul.

Va trebui să poți demonstra că ai obținut consimțământul valabil și să îi permiți persoanei să își retragă în orice moment consimțământul și la fel de simplu cum l-a dat, dar nu neapărat prin aceeași acțiune.

Pentru copii sub 16 ani, își vor da părinții consimțământul. Iar în anumite cazuri, precum prelucrarea datelor sensibile sau transferul international de date, consimțământul trebuie să fie explicit: verificare în doi factori, semnătură scrisă, semnătură electronica etc.

 

 

Ce drepturi are persoana fizică?

Regulament GDPR introduce un set de drepturi pentru persoana fizică vizată pe care  operatorul trebuie să le respecte și să răspundă în timp util la cererile persoanei, de obicei, în termen de maxim o lună.

 

1 Dreptul la informare persoana trebuie să fie informată, printre altele, cu privire la ce date sunt prelucrate, de ce, în ce scopuri, cui sunt transmise și ce drepturi are

 

2 Dreptul de acces persoana are dreptul să acceseze propriile informații personale prelucrate
 

3

 

 

 

 

Dreptul la rectificare

 

 

 

 

 

persoana are dreptul de a obține rectificarea informațiilor incomplete și inexacte care o privesc
 

4

 

 

 

 

Dreptul la ștergere

 

 

 

 

 

În unele situații, persoana are dreptul de a solicita ștergerea datelor care nu mai sunt necesare

5 Dreptul la restricționarea prelucării  

Restricționarea prelucrării atunci când există temei

 

6  

 

 

Dreptul de a portabilitate

 

 

 

Dreptul persoanei de a solicita portarea datelor de la un operator la altul
 

7

 

Dreptul la obiecție

 

Dreptul persoanei de a se opune prelucrării, atunci când există temei

 

8

 

Dreptul de a nu fi supusă unei decizii automate, inclusiv crearea de profiluri

 

Persoana are dreptul la intervenție umană în cazul deciziilor importante care o privesc

 

9

 

Dreptul de a depune o plângere la Autoritatea de supraveghere

 

Atunci când este nemulțumită de modalitatea în care i se prelucrează datele sau când drepturile nu i-au fost respectate

 

10

 

Dreptul de a se adresa instanței de judecată

 

Pentru a obține daune materiale și/sau morale dacă a rezultat un prejudiciu

 

Responsabilul cu protecția datelor

În funcție de specificul organizației dumneavoastră, sunteți obligat sau nu să desemnați un responsabil cu protecția datelor.

Sunteți obligat să desemnați unul dacă:

  • Sunteți o autoritate sau un organism public;
  • Monitorzați persoanele vizate pe scară largă;
  • Prelucrați volume mari de date speciale.

Responsabilul cu protecția datelor monitorizează respectarea Regulament GDPR de către Organizație și reprezintă principalul punct de contact dintre Organizație, pe o parte și Autoritatea de supraveghere și persoanele vizate, pe de altă parte. El are diverse atribuții și funcții pentru a ajuta Organizația să protejeze datele personale.

 

Evidența activităților de prelucrare

Regulament GDPR obligă operatorii și persoanele împuternicite să țină o evidență a activităților de prelucrare, în următoarele situații:

  • atunci când entitatea are mai mult de 250 angajați;
  • prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate prelucrarea include categorii speciale de date;
  • prelucrarea nu este ocazională.

Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizație să aibă o evidență internă a activităților care să fie revizuită periodic.

Evidența poate fi ținută sub forma unui registru și trebuie să cuprindă:

  • Numele și datele de contact ale operatorului;
  • descrierea activiților de prelucrare;
  • scopurile prelucrării;
  • categoriile de date prelucrate;
  • categoriile de persoane vizate;
  • categoriile de destinatari;
  • transferurile internaționale de date, dacă e cazul;
  • durata de stocare;
  • măsurile tehnice și organizatorice luate.

Acordurile între Operator și Împuternicit

GDPR este foarte clar într-o privință: trebuie să existe acorduri scrise între operatorul de date și persoana împuternicită (furnizorul care are acces la date) și stabilește ce anume trebuie să conțină acest contract. Împuternicitul trebuie să respecte termeni clari în materie de protecție a datelor, iar contractele existente trebuie actualizate cu acorduri de prelucrare. Chiar dacă nu există un contract scris între operator și furnizor, Regulament GDPR cere un contract scris în materie de proitecție a datelor.

 

Autoritățile de supraveghere

Fiecare stat membru UE are o autoritate de supraveghere independentă responsabilă, printre altele, cu monitorizarea respectării legislației în materie de protecție a datelor, efectuarea investigațiilor, aplicarea sancțiunilor și spirijinul persoanelor vizate. În România, funcționează Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal. Conform raportului anual publicat pe site-ul Autorității, în anul 2017 ANSPDCP a dat 217 avertismente și 128 de amenzi.

 

Regulament GDPR. Transferurile internaționale de date

Transferul de date ale cetățenilor europeni către state din afara UE ridică întrebări despre cât de bine pot fi protejate aceste date. RGPD nu interzice în mos expres transferurile internaționale, ci precizează că acestea pot avea loc dacă există garanții corespunzătoare, de exemplu:

  • decizii adecvate, așa cum este cazul Privacy Shield unde sunt incluși marii furnizori de tehnologie (Google, Facebook, Amazon) și a alte companii.
  • Reguli corporatiste obligatorii;
  • Clauze standard

Există și derogări pentru situații specifice, cum ar fi consimțământul explicit al persoanei sau necesitatea executării unui contract.

 

Regulament GDPR. Căi de atac, răspundere și sancțiuni

Și așa ajungem la motivul pentru care implementați normele GDPR: amenzile. RGPD prevede faptul că amenda poate ajunge până la 4% din cifra de afaceri. Legea națională de punere în aplicare a RGPD (Legea nr. 190/2018) confirmă acest lucru.

Atunci când optează între a aplica un avertisment sau o amendă, iar în cazul amenzii, cuantumul acesteia, ANSPDCP ia în calcul mai mulți factori printre care: gradul de conformare, măsurile implementate, gravitatea abaterii, numărul încălcărilor, prejudiciile aduse persoanelor vizate și măsurile întreprinse de operator sau împuternicit pentru prevenirea limitarea prejudiciului.

Persoanele vizate nemulțumite de modul în care o Organizație le prelucrează datele au drepturile de a depune o plângere la Autoritatea de supraveghere și de a se adresa instanțelor de judecată pentru obținerea despăgubirilor.

Vrei să implementezi GDPR? Consultă tutorialul nostru de implementare aici sau consultă oferta noastră aici .

 

Articolul este scris de Ruxandra Sava. 

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. 

În iunie 2017, Ruxandra a fondat LegalUp cu scopul de fi principalul punct de informare în domeniul legislației privind protecția datelor cu caracter personal.


Pasionată de domeniu, a publicat în mediul online peste 100 de articole referitoare la GDPR, a implementat GDPR în cadrul a peste 20 de companii  (mici, medii, mari) și a lansat prima carte în domeniul intitulată „GDPR pe înțelesul tău”. 

Ruxandra a lansat în mai 2018, în colaborare cu o altă companie, primul KIT de implementare GDPR, care a fost achizitionat și implementat de numeroase companii, printre care Starbucks, Qfort, Regio Călători SRL, Aqua Carpatica. 4 luni mai târziu, Ruxandra Sava a dus proiectul la următorul nivel, potrivit feedback-ului din partea clienților: a îmbunătățit, a simplificat procedurile și a adăugat altele noi cu ajutor din partea specialiștilor în securitate și a lansat pe propria platformă, LegalUp, KIT GDPR Premium, incluzând și suportul la implementare.

Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.


businessman-character-meditating_1012-332.jpg

ANSPDCP a publicat pe 1 octombrie, un proiect de decizie, aflat în prezent în dezbatere publică, privind lista operațiunilor pentru care este necesară realizarea evaluării impactului asupra protecției datelor.

Potrivit proiectului de decizie, evaluarea impactului asupra protecției datelor cu caracter personal de către operatori este necesară în următoarele cazuri:

a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări
sistematice și cuprinzătoare a aspectelor personale referitoare la persoane
fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri,
și care stă la baza unor decizii care produc efecte juridice privind persoana
fizică sau care o afectează în mod similar într-o măsură semnificativă;

b) prelucrarea pe scară largă a datelor cu caracter personal care dezvăluie
originea rasială sau etnică, opiniile politice, confesiunea religioasă sau
convingerile filozofice sau apartenența la sindicate, a datelor genetice, a
datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor
privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane
fizice sau a datelor cu caracter personal referitoare la condamnări penale și
infracțiuni;

c) prelucrarea datelor cu caracter personal având ca scop monitorizarea
sistematică pe scară largă a unei zone accesibile publicului, cum ar fi
supravegherea video în zone publice, precum căi de acces, piețe, parcuri sau
alte asemenea spații;

d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor
vulnerabile, în special ale minorilor, prin mijloace automate de monitorizare
și/sau înregistrare sistematică a comportamentului, inclusiv în vederea
desfășurării activităților de reclamă, marketing și publicitate;

e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea
inovatoare sau implementarea unor soluții tehnologice automate noi, în special
în cazul în care operațiunile respective limitează capacitatea persoanelor vizate
de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere
facială în vederea facilitării accesului în diferite spații;

f) prelucrarea pe scară largă a datelor generate prin intermediul dispozitivelor cu
senzori care transmit date prin Internet sau alte mijloace (aplicații „Internetul
lucrurilor” cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării
inteligente, orașe inteligente sau alte asemenea aplicații) în scopuri precum
evaluarea situației economice, a stării de sănătate, a preferințelor sau
intereselor personale, a solvabilității sau comportamentului, localizarea
geografică a persoanelor vizate;

g) prelucrarea pe scară largă și/sau sistematică a datelor de telefonie, de internet
sau a altor date de comunicare, a metadatelor sau a datelor de localizare sau
urmărire a persoanelor fizice (cum ar fi urmărirea prin Wi-Fi, prelucrarea
datelor de localizare geografică a pasagerilor în transportul public sau alte
asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea
unui serviciu solicitat de persoana vizată.

Propunerile, sugestiile și opiniile persoanelor interesate pot fi transmise în termen de 10 zile calendaristice, calculate de la data publicării anunțului (1.10.2018), la adresa anspdcp@dataprotection.ro.

 

IMPLEMENTEAZĂ GDPR


gdpr-1200x880.png

Mă ocup cu GDPR de aproape doi ani. M-a fascinat, m-a încântat, m-a enervat, m-a fascinat din nou și i-am rămas fidelă. Pentru că am creat, aici pe LegalUp, cel mai mare portal de informații despre GDPR, în perioada martie – mai 2018, primeam în jur de 50 de apeluri pe zi și 30 de mail-uri. Am avut peste 50 de întâlniri.

Cunosc piața consultanței GDPR ca în palmă. S-au supărat pe mine pentru că vând șabloane online. Dar de ce ar începe toți cum am început eu cu o foaie goală și un pix? Cred că scopul nostru, al tuturor, e să protejăm datele și să găsim cele mai bune soluții. Am peste 30 de foldere denumite „KIT” în PC. Crede-mă, nu ai vrea să faci toata munca de acolo. Poate ai vrea să protejezi totuși datele. Șabloanele există acum și pot fi adaptate ușor. Responsabilii nu scriu documentația, sau cel puțin nu ar trebui să o facă.

Recunosc că m-am gândit la varianta să fiu DPO externalizat. După ce am oferit consultanță GDPR în cadrul a aproape 20 de firme, mi-am sfătuit clienții să numească un responsabil intern. Pentru că eu, oricât de mult aș vrea, nu pot fi întotdeauna acolo să realizez când intervine o breșă de securitate, să răspund la o cerere a unei persoane vizate, să fac training-ul constant al angajaților, să atrag atenția angajatului X atunci când face fotografii cu telefonul personal la documente care conțin date personale. Cum aș mai putea să mă perfecționez constant dacă nu aș face altceva zilnic în afară de a explica de 100 de ori aceleași lucruri către X persoane? Și, la câte firme aș putea să fac treaba asta pe lună? Maxim 3. Nu ar renta nici din punct de vedere financiar… Și așa mă întreb: care e calitatea serviciilor oferite de responsabilii externi care au în grijă câteva zeci de firme?

Am făcut ce am considerat de cuviință. Acum sunt consultant al responsabililor interni. La un moment dat se vor descurca singuri. Mă fascinează cum evoluează și cât de multe învață. Unii sunt mai norocoși, au și consultanța inclusă, dar alții își cumpără din banii lor KIT-ul meu. Mă întristează cumva. Le spun că angajatorul ar trebui să le dea resursele, așa cum spune și Regulamentul. Îmi răspund că ei ar trebui să știe ce trebuie să facă. Dar cum așa? A învățat cineva la școală GDPR? Au existat cursuri serioase pe piață? Nici măcar la Facultatea de Drept nu se predă. Noi, care încă suntem aici, am învățat din pasiune. Și dacă nu ești din pasiune și o faci doar pentru bani, măcar nu îți bate joc. 

Unii asta își doresc. Vor să găsească un consultant, să îi dea o sumă, să le facă dosarul și să doarmă liniștiți. Și să îl numească apoi DPO, în speranța că au pasat răspunderea. Ei bine, nu e chiar așa. Documentația dă bine la un control, dar să nu uităm că ea trebuie înțeleasă de companie, nu doar semnată. Iar consultantul nu va fi întotdeauna lângă tine să îți spună că trebuie să îi dai să semneze nota de informare candidatului la interviu sau că trebuie să închei un acord de prelucrare cu noua agenție de marketing. Iar DPO-ul externalizat, ce știe el?

La companiile medii și mari, e mai simplu. Au documentația, cumpărată sau venită din afară, juriștii lor o personalizează, avocatul o verifică, IT-ul o implementează, iar responsabilul trebuie să fie în centrul acțiunii: el nu scrie documentația, dar o înțelege, el nu implementează tehnic, dar verifică să fie în regulă, el verifică toate departamentele și toți angajații respectă GDPR și se asigură că drepturile personelor vizate se respectă.

La companiile mici observ că nu se dorește implementarea. Sau se dorește, dar se crede că dacă au numit un responsabil, au pasat responsabilitatea. Ca să înțelegeți unde bat: asemănați GDPR cu contabilitatea – o contabilitate a datelor. Orice companie are un contabil, dar asta înseamnă că nu mai trebuie emise facturi? Așa e și aici, cu diferența că GDPR are impact asupra tuturor proceselor. Așa cum ai învățat odată să emiți o factură, așa acum va trebui să înveți cum și când să informezi persoana fizică, cum și când să închei un acord de prelucrare, cum să identifici și să răspunzi la o cerere de acces etc. Desigur, poți angaja un DPO intern, dar nu îți vei permite unul care știe ce să facă. Poți apela la un serviciu externalizat de DPO, dar nu va funcționa – el e departe, tu ai nevoie de ajutor acum. Așa că singura soluție care rămâne este să îți faci curaj să înțelegi despre ce e vorba. Nu vei înțelege și nu vei implementa totul din prima. Nu există nicio companie 100% GDPR compliant azi. Mergi la un curs. Citește un ghid.  Ia-ți șabloane de documente și implementează. Ai și suportul meu. Pentru că răspunsurile pe care eu ți le dau le reutilizez. Întrebările pe GDPR se repetă. Tu mă întrebi ceva, eu întocmesc un ghid și îl trimit mai departe. Poate îl public pe blog. Dar scrie-mi, nu mă suna. Am nevoie ca răspunsurile să fie în scris, ca să le reutilizez.

Evident că se poate întâmpla să ai ghinionul să vină ANSPDCP în control. Dar în afară de asta, ar trebui să știi că e și afacerea ta la mijloc. Oamenii își cunosc drepturile (clienții, angajații) și așteaptă ca tu să le respecți. Zilnic, îmi scriu, aici, pe chat, persoane nemulțumite de modul în care organizațiile le prelucrează datele. Iar dacă ești împuternicit (furnizor de servicii), vei vedea cum drumul tău se închide. Îmi amintesc că am negociat cu Carrefour ceva pentru ca un start-up să nu piardă un contract. Au cerut de toate (politică de securitate, acces, ștergere, registru). Atunci mi-am luat inima în dinți și am scris eu, cu ajutor de la niște băieți în IT, și politicile tehnice. Și în cele din urmă a fost bine. Nu s-a pierdut contractul. Le-am inclus ulterior în KIT. Și așa, mediul de afaceri se divide în două: cei care respectă GDPR și cei care nu respectă GDPR. Și cei din prima categorie nu vor să lucreze cu restul. Azi economia funcționează pe schimb de date și schimbul de date nu mai e posibil între cele două categorii. Pe termen mediu, firmele care nu își implementează GDPR vor dispărea de pe piață pentru că nu vor mai avea cu cine să lucreze. Și așa am insistat la un fenomen interesant. Companii române au renunțat să lucreze cu furnizori IT români și au migrat către Cloud. Au apelat la Google, Microsoft etc. Și e foarte simplu să îți dai seama dacă firma X a implementat GDPR. Verifici site-ul. Acolo trebuie să existe documentația legală pusă la punct și nu copy-paste. Știți cât îmi ia să îmi dau seama dacă o firmă a implementat GDPR? 3 click-uri și maxim un minut. Urmează apoi chestionarea și verificarea documentației. Și abia după aceea se poate încheia contractul. Astea fiind spuse, cum ai putea crede că poți pasa responsabilitatea total fără ca tu să nu vrei să știi nimic? Cum poți crede că un serviciu DPO externalizat poate funcționa în România?

Ce am scris mai sus e perspectiva antreprenorială. 

Msi există și o perspectivă a riscurilor. Întotdeauna trebuie să știi care date trebuie protejate mai bine. Unele sunt sensibile (știu că termenul e inactual, dar îl folosesc pentru că îmi place), altele nu. Cine stabilește riscurile? La mine e simplu, fiind empatică, le simt. Și aici întotdeauna e vorba de potențialul prejudiciu adus unei persoane fizice dacă datele ar fi dezvăluite. Utilizez și eu scheme și grafice, dar pentru a mă verifica. Și întotdeauna e același rezultat.

Mai există și o perspectivă a viitorului. Privacy by design. Noile tehnologii care azi se construiesc – IoT, AI. Dacă legea iartă actualele sisteme pentru că nu prea avem ce să le facem, ce urmează trebuie să se conformeze. Mai ales că intruziunea noilor tehnologii în viața privată este din ce în ce mai mare. Și tehnologia nu face diferențe între adulți și copii. Datele noastre, combustibilului lor. Iar aici nu doar adultul, ci și copilul trebuie să știe și să înțeleagă pe ce anume dă click. Iar dacă ție nu îți pasă, fii sigur că părintelui care simte că a pierdut controlul când copilului lui de 9 ani stă tot timpul cu ochii în tabletă îi pasă.

GDPR… Ei bine, vom auzi multă vreme de acum încolo de el. Ai crezut că ai închis dosarul? Încă nu. Te afectează zi de zi, în activitatea ta. Până acum a fost etapa de conștientizare. Piața consultanței se cerne… Dacă ai crezut că poți pasa responsabilitatea, te-ai înșelat.

Despre responsbailii cu protecția datelor externalizați am zis suficient. Vrei să faci business în 2018? Ar trebui să îți pese de domeniu. Și nu prin numirea unui DPO externalizat, care mai are încă zeci de firme ca a ta, ca să renteze la final de lună. Câtă informație să încapă într-un singur om? Aș fi putut și eu să o fac, dar am ales să fiu corectă. Am depus două jurăminte: unul la Barou în 2014 și altul la IAPP în 2018. De asta prefer să fiu aici pentru a oferi șabloane, a da consultanță și a mentora noua generație de DPO interni și nu pentru a deveni complice la o minciună împachetată frumos: responsabilul cu protecția datelor externalizat.

 

Poate cândva va fi posibil și acest serviciu. Dar e nevoie de multă carte, educație și etică profesională.

 

Ruxandra Sava

Avocat

CIPP/E


privacy-10x10-FB-1200x1200.jpg

Scopul acestui manual de implementare GDPR este de a ajuta organizațiile să respecte prevederile GDPR utilizând KIT GDPR Premium LegalUp. Există mai multe soluții disponibile pentru implementarea GDPR în cadrul companiei dumneavoastră, însă metoda noastră este una eficientă și completă, incluzând atât documentația tehnică, cât și cea juridică și organizatorică.

Documentația este un factor important pentru demonstrarea conformității Organizației cu prevederile GDPR. Ea este solicitată de către autoritățile de supraveghere la fiecare investigație și pe bună dreptate: Cum poate o organizație care nu își ține în ordine politicile și procedurile de protecție a datelor să pretindă că asigură protecția datelor personale?

Cum încep implementarea GDPR?

După de ai achiziționat KIT GDPR Premium, vei putea începe implementarea GDPR. KIT GDPR Premium vine cu suport inclus nelimitat pe e-mail timp de 12 luni. 

 

Pasul 1. Întocmirea planului de implementare  

Primul pas în procesul de implementare GDPR este organizarea.

1.1. Deschide cu încredere folderul 1. 

 

Vei găsi acolo un document denumit „Planul operatorului pentru conformarea la GDPR” unde se structurează, în funcție de priorități, acțiunile pe care trebuie să le întreprinzi pentru a respecta RGPD.

1.2. Creează-ți planul de implementare GDPR. Vei putea trece termene-limită pentru implementarea acțiunilor, vei putea trece rolurile și responsabilitățile persoanei/persoanelor responsabile în procedura de aliniere la prevederile RGPD.

Ar fi util ca, pe tot parcursul implementării, să ai Planul la îndemână pentru a ști ce anume s-a început, ce s-a finalizat și ce mai este de făcut.

CUMPARĂ KIT

 

 

Pasul 2. Audit 

Înainte de a începe implementarea ar trebui să știi unde te situezi. Este posibil să fi implementat deja o parte din proceduri.

Audit-ul unui specialist în protecția datelor este scump și, în majoritatea cazurilor, chiar dacă ai angajat un specialist, cea mai mare parte din muncă o faci singur.

Doar tu știi cum funcționează Organizația, de aceea:

2.1. Deschide „Folderul 2 – Audit” și răspunde la întrebările din „Chestionar audit protecția datelor cu caracter personal”.

Ulterior

2.2. Deschide documentul „Raport audit” și urmează instrucțiunile pentru a afla în ce stadiu te afli și care este gradul de conformare al companiei.  

 

 

Cumpără acum

 

Pasul 3. Cartografierea

Acest pas este foarte important și ar trebui parcurs cu multă atenție. El te va ajuta să implementezi corect și complet pașii următori, ca de exemplu completarea Registrelor Activităților de Prelucrare sau redactarea notelor de informare către persoanele vizate.

3.1. Începe prin a răspunde la chestionare pentru a conștientiza, printre altele, ce categorii de date prelucrezi, care sunt persoanele vizate, care sunt scopurile, care este temeiul legal cui transmiți datele, ce proceduri ai implementat sau trebuie să implementezi.

 

cartografierea

Utilizează cu încredere cele 8 chestionare structurate pe departamente din folderul 3.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

SUNT HOTARAT

 

Pasul 4. Întocmirea Registrului activităților de prelucrare

Așa cum am precizat mai sus, întocmirea acestui registru este obligatorie pentru aproape toate Organizațiile din România. În funcție de calitatea ta, operator sau împuternicit sau ambele va trebui să ai un registru pentru fiecare calitate.

 

Ambele registre vin cu exemple de completare.

Dacă ai parcurs cu succes, Pasul 3, completarea registrului nu va fi dificilă, deoarece vei utiliza răspunsurile pe care le-ai dat deja la întrebările din chestionare. Registrele sunt în format excel.

Reține faptul că registrul trebuie revizuit periodic. Ar fi util să stabilești date pentru revizuire, ca de exemplu, de două ori pe an. Pe măsură ce afacerea evoluează sau se schimbă (de exemplu, adoptă noi tehnologii care pot avea impact asupra vieții private), noile procese trebuie trecute în registru. Păstrează și versiunile anterioare.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

VREAU KIT-UL

 

 

Pasul 5. Înformarea persoanelor fizice

Clienții, angajații, candidații, voluntarii, vizitatorii pe site, reprezentații legale sau persoanele de contact din cadrul partenerilor comerciali etc – toți trebuie informaț icu privire la modalitatea în care le prelucrezi datele.

5.1. Deschide folderul 5 și completează notele de informare.

Am construit note de informare pentru majoritatea categoriilor de persoane vizate: angajați, candidați, clienți, vizitatori pe site, parteneri comerciali. Notele de informare sunt redactate de avocați specializați în protecția datelor și respectă cerințele GDPR și sunt construite utilizând un format stratificat și un limbaj ușor de înțeles. Ele sunt standardizate. 

dreptul la informare

După ce ai completat notele de informare, va trebui să informezi persoanele vizate, alegând canalul de comunicare (înmânarea documentului scris, comunicarea pe e-mail etc).

Ai nevoie de o notă de informare care nu se regăsește acolo? Scrie-ne la adresa de e-mail furnizată și ți-o vom trimite pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

Cumpără acum

 

Pasul 6. Obținerea consimțământului

În unele cazuri este obligatoriu să iei consimțământul. Deschide folderul 6 și acolo vei găsi șabloanele de consimțământ:

  • Formular consimțământ angajat;
  • Formular consimțământ client;
  • Formular consimțământ părinte pentru minor;
  • Formular consimțământ pacient;
  • Formular consimțământ explicit prelucrare date sensibile;
  • Formular consimțământ explicit transfer international;
  • Formular consimțământ marketing.

 

 

Ai nevoie de un formular care nu se regăsește mai sus? Scrie-ne la adresa de e-mail furnizată și ți-l vom trimite în scurt timp pe e-mail deoarece, ulterior, îl vom standardiza și îl vom include în KIT. 

CUMPARĂ KIT

 

Pasul 7. Respectă drepturile persoanelor vizate

În folderul 7 vei găsi documentul „Procedura privind respectarea drepturilor persoanelor vizate”. În fiecare companie trebuie să existe o astfel de procedură. În cele mai multe cazuri, existența unui control sau nu depinde de existența unei plângeri a unei persoane vizate. Utilizează „Registrul cererilor persoanelor vizate” pentru a documenta cererile în temeiul GDPR.

 

drepturi gdpr

 

Pasul 8. Încheie contracte cu furnizorii

În primul rând, trebuie să întocmești o listă cu toate organizațiile terțe cărora le transferi într-o formă sau alta date personale. Contabilitate, SSM, agenții de marketing, firme de recrutare, furnizori de servicii IT etc – toți sunt împuterniciți și tu ai obligația de a te asigura că ei respectă RGPD și de a încheia acorduri scrise cu ei.

GDPR cere ca operatorul să contracteze doar cu împuterniciții (furnizorii de servicii care au acces la date) care prezintă garanții că respectă GDPR. În folderul 8 vei găsi un chestionar prin care îl vei trimite împuterniciților pentru a verifica dacă respectă GDPR.

De asemenea, GDPR cere ca între operator și împuternicit să existe un contract scris. În folderul 8 vei găsi un astfel de contract.

8.1. Trimite chestionarul furnizorilor pentru a-i verifica

8.2. Încheie acordurile de prelucrare. 

 

Pasul 9. Încheie contracte cu partenerii comerciali

Pot exista situații în care partajezi date cu diverși parteneri comerciali din dorința de a oferi împreună un bun sau un serviciu. GDPR spune că trebuie să existe un contract pentru a stabili cine informează persoana vizată și cine răspunde la cererile de acces. În folderul 9 găsești un astfel de contract.

 

Pasul 10. Încheie contracte de confidențialitate

Datele cu caracter personal trebuie protejate și GDPR cere încheierea acordurilor de confidențialitate. Bazele de date și secretele comerciale trebuie, de asemenea, protejate. Noi am reușit prin acordurile de confidențialitate din Folderul 10 (Acord de confidențialitate angajat și Acord de confidențialitate partener comercial) să împușcăm doi iepuri dintr-un foc: protejarea afacerii (secrete comerciale și alte informații) și protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

 

Pasul 11. Prevenirea și managementul incidentelor de securitate

Procedurile din folderul 11 sunt necesare atât pentru respectarea GDPR, cât și pentru prevenirea și managementul adecvat al incidentelor de securitate.

 

 

Pasul 12. Interesul legitim

Există situații în care nu poți să iei consimțământul și nu te poți baza nici pe alt temei legal, așa că singura variantă rămâne interesul legitim. Dar pentru a utiliza interesul legitim, trebuie să afli dacă interesul Organizației prevalează asupra intereselor și drepturilor persoanelor fizice. În folderul 12 găsești analize ale interesului legitim:

  • Analiză interes legitim – supraveghere CCTV;
  • Analiză interes legitim – monitorizare GPS;
  • Analiză interes legitim standard – pentru a fi adaptată la alte situații.

Necesitatea unei analize a interesului legitim în situația supravegherii CCTV a fost introdusă de legiuitorul roman prin Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR.

Ai nevoie să păstrezi baza de date și vrei să mergi pe interes legitim? De exemplu, recrutezi sau organizezi evenimente? Scrie-ne la adresa de e-mail furnizată și îți vom trimite analiza în scurt timp pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

 

 

Cumpără acum

Pasul 13. Instruirea angajaților

Angajații trebuie să înțeleagă și să protejeze datele cu caracter personal. Cele mai multe incidente de securitate provin de la fapta angajatului, iar Organizația are obligația de a instrui corespunzător angajații. În folderul 13 găsești proceduri în relația cu angajații, documente prin care angajatul se oblige să respecte politicile RGPD și Capitol ROI privind protecția datelor cu caracter personal.

 

 

IMPLEMENTEAZĂ GDPR

Pasul 14. Securitatea. Politici tehnice și organizatorice

 

Am reușit să elaborăm, printr-o strânsă colaborare între juriști și experți în securitate cibernetică, următoarele Politici:

  • Politică Anti-Spam – pentru a ști cum să faci marketing care să respecte GDPR;
  • Politica de retenție – pentru a stabili termene-limită pentru stocarea datelor, așa cum cere RGPD;
  • Politica privind accesul la date – cum se face accesul la date pentru a se preveni accesul neautorizat;
  • Politica privind anonimizarea și pseudonimizarea – cum se anonimizează și pseudonimizează datele pentru a respecta GDPR;
  • Politică privind Securitatea informației – ce măsuri se vor întreprinde pentru a preveni incidentele de securitate;
  • Politica de ștergere – cum se șterg datele cu caracter personal de pe diver medii de stocare.

 

Cumpără acum

Folderul 15.  Responsabilul cu protecția datelor

Folderul 15 conține documentele necesare pentru desemnarea responsabilului cu protecția datelor.

 

 

 

Ce altceva mai este inclus în KIT-ul meu?

Kit-ul tău include

  • Un abonament de un an la actualizări gratuite
  • Suport nelimitat pe e-mail timp de 12 luni la implementarea documentelor.

 

VREAU KIT-UL


andra.jpg

Ruxandra Sava, avocat și fondatoare LegalUp, a obținut certificarea CIPP/E (Certified Information Privacy Professional/Europe) prin intermediul IAPP (International Association of Privacy Professionals).

Ruxandra Sava este avocat specializat în domeniul dreptului digital și al protecției datelor cu caracter personal. Ruxandra a oferit consultanță în vederea implementării normelor GDPR în cadrul a peste 20 companii (start-ups, companii mici, medii și mari, ONG-uri). A lansat primul blog în care a explicat GDPR pe înțelesul tuturor și a publicat în spațiul public numeroase materiale gratuite (articole, ghiduri, infografice). Din dorința de a oferi soluții practice companiilor, în mai 2018, în parteneriat cu Avocatoo și co-autorat cu Ana-Maria Udriște și sub deviza #wemakeGDPRsimple a dezvoltat și lansat primul KIT de implementare GDPR prin intermediul căruia companiile își pot face singure implementarea GDPR, la prețuri minime, utilizând șabloanele pre-completate însoțite de ghiduri și îndrumări la fiecare pas.

3 luni mai târziu, Ruxandra Sava a dus proiectul la următorul nivel și a lansat pe propria platformă, LegalUp, KIT GDPR Premium, primul KIT de implementare din România unde actualizarea documentelor se realizează timp de un an, iar orice documentat solicitat suplimentar va fi furnizat pe e-mail, atâta timp cât el poate fi standardizat pentru a fi inclus ulterior în KIT. 

În prezent, misiunea profesională a Ruxandrei este de a oferi cele mai bune soluții și resurse acolo unde dreptul se intersectează cu tehnologia și protecția datelor cu caracter personal.

Specialiștii în domeniul protecției datelor cu caracter personal acreditați de IAPP sunt arbitrii încrederii într-o societate bazată pe schimb de date la un nivel fără precedent. Ele ajută organizațiile să gestioneze rapid amenințările la adresa securității și confidențialității datelor personal și să preîntâmpine efecte nefaste, precum pierderi de date, incidente de securitate, litigii cu persoanele fizice sau eventualele sancțiuni ale autorităților de supraveghere. IAPP este prima organizație care a stabilit standardele profesionale ale specialiștilor în domeniul protecției datelor. Certificarea IAPP se bucură de o reputație recunoscută la nivel international.

CIPP este standardul global al specialiștilor în protecția datelor. Dezvoltat și lansat de IAPP în colaborare cu experți de prim rang (precum Bird and Bird si Field Fisher), CIPP este primul program global de certificare în domeniul protecției datelor cu caracter personal. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date. Ruxandra Sava se alătură celor profesioniștilor de prim-rang la nivel global în protecția datelor cu caracter personal, care dețin una sau mai multe certificări IAPP.

 

 



Portabilitatea datelor

Ce reprezintă portabilitatea datelor?

Portabilitatea datelor este un drept nou oferit de către Regulament persoanelor fizice cetățeni ai unui stat membru al Uniunii Europene.

Dreptul la portabilitatea datelor reprezintă dreptul unei persoane fizice “… de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și … dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal… “

Scopul acestui drept este de a susține alegerea utilizatorului și de a extinde și întări controlul  pe care acesta îl are asupra datelor sale personale.

Ce tipuri de date beneficiează de portabilitate?

Potrivit Ghidului privind dreptul la portabilitatea informațiilor , ghid adoptat de Comisia Europeană în data de 13 decembrie 2016 și revizuit în data de 5 aprilie 2017, acest drept nu este deplin ci se supune unor condiții prealabile.

Pentru a beneficia de portabilitate datele trebuie să îndeplinească în mod cumulativ următoarele condiții:

  1. Datele personale să privească utilizatorul

Se exclud astfel datele anonime sau datele care nu privesc utilizatorul.

Datele pseudonimizate care pot fi folosite pentru a identifica utilizatorul chiar dacă identificarea se face cu ajutorul acestuia fac obiectul acestui drept.

  1. Datele personale să fie furnizate operatorului de către utilizator

În acest sens avem:

Date furnizate în mod activ de către utilizator prin mijloacele tehnice puse la dispoziție de către operator, ca de exemplu: adresă de e-mail, vârstă, locație, număr de telefon, adresă poștală, nume utilizator, etc.

sau

Date rezultate din activitatea utilizatorului cum ar fi: date privind locația, pulsul, istoricul de c ăutari, paginile accesate, etc.

Datele inferate sau derivate din datele oferite operatorului de către utilizator nu beneficiează de dreptul de portabilitate.

Noțiunea de date furnizate de către utilizator trebuie interpretată și înțeleasă în mod extensiv. Aceasta cuprinde toate datele deținute de către operator cu privire la persoana utilizatorului cu excepția datelor inferate sau derivate.

  1. Dreptul la portabilitatea datelor să nu afecteze drepturile și libertățile celorlalți utilizatori

Obligațiile operatorului

  1. Să informeze utilizatorii cu privire la existența dreptului de portabilitate
  2. Să pună la dispoziția utilizatorului, la cererea acestuia, o copie a datelor furnizate de către acesta într-un format accesibil și utilizabil.
  3. Să onoreze cererea utilizatorului în cel mai scurt timp posibil însă fără să depășească o lună de la data solicitării, sau, în cazurile complexe nu mai mult trei luni cu condiția ca operatorul să informeze utilizatorul despre motivele care duc la întârzierea onorării cererii în termen de o lună.
  4. Să răspundă cererii utilizatorului chiar dacă acest răspuns este unul negativ (de refuz).

Operatorul poate refuza onorarea unei astfel de cereri a utilizatorului dacă aceasta este nefondata sau dacă are un caracter repetitiv.

Costul impus de onorarea unei astfel de cereri nu poate reprezenta un motiv legitim de refuz.

De asemenea, aceste cereri nu pot fi considerate ca fiind excesive dacă prin natura sa Operatorul oferă servicii de informare sau procesare automată a datelor personale.

  1. Să onoreze cererile în mod gratuit.
  2. Să ia toate măsurile de siguranță, astfel încât datele transmise să ajungă în mod sigur (de exemplu prin utilizarea encripției) la utilizatorul corect.

Aceste măsuri de siguranță nu trebuie să împiedice utilizatorii să își exercite drepturile.

Care este formatul recomandat pentru o astfel de cerere?

Regulamentul recunoaște ca format adecvat orice format electronic, structurat  și codificat într-o manieră care nu limitează procesarea automată, reutilizarea datelor și care poate fi recunoscut ușor de către aplicațiile software.

Cine oferă servicii de portare a datelor?

Instrumente de portabilitate a datelor sunt deja disponibile pe Slack, Oracle Cloud,  Spotify, Twitter, Facebook și Instagram.

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

Bibliografie

  1. http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN accesat la 2 iunie 2018
  2. https://www2.deloitte.com/nl/nl/pages/risk/articles/gdpr-top-ten-1-data-portability.html accesat la 2 iunie 2018
  3. https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf accesat la 2 iunie 2018
  4. https://slack.com/gdpr#data-portability accesat la 2 iunie 2018
  5. http://www.oracle.com/us/gdpr-oracle-cloud-apps-4070546.pdf accesat la 2 iunie 2018
  6. https://support.spotify.com/ro/account_payment_help/privacy/data-rights-and-privacy-settings/ accesat la 2 iunie 2018
  7. https://techcrunch.com/2018/04/24/instagram-export/ accesat la 2 iunie 2018