Aici descoperim
dreptul tehnologiei

light-bulb-people-discussing-ideas-working_1262-19265.jpg

Autor Elena Marc – Specialist Protecția Datelor, Consultant EMPIRE LOGISTICS SRL

După aplicarea directă a Regulamentului General privind Protecția datelor organizațiile au efectuat analize pentru a vedea ce date personale prelucrează.  În unele cazuri s-au ajustat procedurile existente, s-au  implementate proceduri noi, astfel încât să fie respectă legislația.

Numai că mesajul privind protecția datelor cu caracter personal ar trebui să ajungă la toți membrii personalului indiferent dacă colectează, prelucrează, utilizează și partajează date cu caracter personal sau nu.

De ce? 

Deoarece în conformitate cu noul regulament, întreaga echipă este responsabilă pentru protecția datelor, nu numai departamentul IT.

GDPR afectează toate laturile unei activități și de aceea toți membrii personalului trebuie să joace un rol activ în protejarea datelor cu caracter personal. Pentru a menține conformitatea cu GDPR, angajații trebuie să înțeleagă cum și unde circulă datele. De asemenea, trebuie să știe unde sunt riscurile și care sunt responsabilitățile lor individuale.

Scopul instruirii este încurajarea unei culturi a protecției datelor prin întreaga companie. Este util dacă toată lumea are aceeași pregătire generală, astfel încât în ​​rândul colegilor să planeze încrederea că participă cu toții la un obiectiv comun, respectiv angajamentul pentru protecția datelor. Desigur, nu toți membrii personalului au nevoie de o cunoaștere detaliată a reglementării protecției datelor, dar toată lumea trebuie să știe despre ce este vorba și cum afectează activitatea.

Factorul care va face cea mai mare diferență pentru implementarea GDPR este protecția personalului.

La fel cum într-un lanț ești la fel de puternic ca cea mai slabă verigă, angajamentul organizației de respectare a GDPR este la fel de puternic ca disponibilitatea personalului de a-și asuma răspunderea și de a face ceea ce trebuie atunci când vine vorba de date cu caracter personal – legate de client sau organizație.

Acest lucru face ca alinierea la GDPR să fie o problemă de resurse umane, indiferent cât de mult ar părea că aparține IT, marketing-ului sau unui alt departament, în majoritatea cazurilor, așa cum am văzut, scurgerile de date și încălcările nu sunt doar o problemă IT. Cele mai multe sunt cauzate de erori ale personalului, datorită lipsei de cunoștințe despre cele mai bune practici de protecție a datelor și prin ignoranța consecințelor.

Fundamental, cu toții trebuie să schimbăm nu doar ceea ce facem cu datele, ci și cum gândim despre protecția acestora, iar personalul trebuie să fie instruit corespunzător pentru a ști cum să protejeze datele, cum să prevină și să recunoască un incident de securitate și ce să facă atunci când intervine un incident de securitate.

Cum facem?

Prin programe de formare cu scopul de a convinge forța de muncă că respectarea GDPR-ului  este o prioritate. Întreg personalul are nevoie atât de o înțelegere la nivel înalt a GDPR – chiar dacă este simplificată – cât și de o vedere clară a impactului asupra activității lor. Trebuie să înțeleagă în primul rând  problemele legate de consimțământul personalului, securitatea și responsabilitatea pentru sine, despre ce trebuie făcut și ce nu trebuie făcut, și tot ceea ce înseamnă GDPR.

Când personalul aude de incident de securitate, se gândește la actori externi. Dar incidentele reale de securitate sunt aproape toate interne.  De ex: o persoana care, în mod involuntar, trimite un e-mail către persoana greșită sau lasă date descoperite pe cloud-ul public al companiei (sau tava imprimantei), care învinge cu adevărat eforturile organizației de conformitate GDPR.

Luați în considerare implementarea instrumentelor care fac dificilă partajarea informațiilor accidental, dar educați personalul despre ce înseamnă cerințele GDPR pentru comunicațiile interne. Îmbunătățiți măsurilor de control al accesului către sistemele care dețin date cu caracter personal asigurați-vă numai persoanelor autorizate li se acordă drepturi de acces corecte.

Instruirea ar trebui să fie un proces continuu, GDPR este un fapt de viață și orice personal trebuie să știe despre asta.

Elena Marc este consultant GDPR și autoare a unui curs online de GDPR în domeniul medical pe care îl puteți parcurge pe platforma Focus chiar aici. 

 

 


corporate-suit-white-man-background_1150-1776.jpg

Autor Elena Marc – Specialist Protecția Datelor, Consultant EMPIRE LOGISTICS SRL

Dreptul persoanelor fizice la despagubire pentru prejudiciul cauzat

Cu toate că amenzile din GDPR sunt semnificative, companiile trebuie să fie preocupate de încă două lucruri.

  1. faptul că persoanele vizate pot să aibă opțiunea de a solicita despăgubiri în cazul în care acțiunile operatorului sau ale operatorului împuternicit duc la daune. 
  2. amenzile sunt, de asemenea, susceptibile de a crea daune reputaționale, care nu pot fi cuantificate cu ușurință.

Deocamdată nu se sție ce nivel de compensare va fi  acordat  victimelor  unei încălcări a datelor. GDPR afirmă că persoanele fizice pot solicita despăgubiri (fie de la operatorul  de date, fie de la persoana împuternicită de operatorul de date) dacă au suferit daune ca rezultat al încălcării GDPR. Considerentul 146 afirmă că există o obligație de răspundere:

”Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament.”  Ceea ce înseamnă  că este probabil ca o organizație să fie, de asemenea, răspunzătoare pentru cererile de despăgubire, în cazul în care aceasta va fi amendată de autoritate.

În schimb, pretenția persoanelor vizate ar putea fi bazată pe daune nefinanciare, cunoscute sub denumirea de daune morale, un exemplu ar putea fi epuizare emoțională. Cu toate acestea, nu există încă exemple privind cât de mult ar putea fi acordat astfel în cazul unei încălcări a datelor.

Citește mai multe despre daunele morale în temeiul GDPR în articolul nostru: 10.000 lei- daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

GDPR face obligatorie, în unele cazuri, notificarea încălcării, ceea ce va spori gradul de conștientizare al clientului și, astfel, ar putea să complice probabilitatea creanțelor. Unii dintre cei afectați au fost ulterior victime ale fraudei și astfel au suferit o pierdere financiară care ar putea fi evaluată separat. Cei care nu au suferit o pierdere financiară ar fi putut fi totuși extrem de îngrijorați de ceea ce sa întâmplat. Unii ar putea fi  îngrijorați că vor fi victime în viitor sau că ar fi putut fi furați banii din conturile lor. Acest lucru poate însemna că au avut un caz de daune morale.

În timp ce unele companii încalcă în mod intenționat legea, putem supune că majoritatea încălcărilor se datoreze lipsei de pregătire.

Articolul 83 din GDPR prevede 11 considerente diferite de care se ține cont  la stabilirea mărimii amenzii.Vezi: http://www.privacy-regulation.eu/ro/83.htm

Acestea includ factori precum:

  • natura, gravitatea și durata încălcării
  • încălcarea intenționată sau din neglijență
  • categoriile de date cu caracter personal afectate
  • numărul de persoane vizate și impactul asupra acestora
  • măsurile care au fost în vigoare pentru a proteja datele
  • nivelul de cooperare cu autoritatea de supraveghere
  • respectarea standardelor din industrie
  • istoric al încălcărilor anterioare

Există o mulțime de discuții despre amenzi, dar cel mai bine este să învățăm o lecție din acestea și să începem să ne pregătim  de conformare. Deci, nu așteptați și acționați înainte de a fi prea târziu.

Mai jos găsiți o lista de verificare, sub forma de întrebări care vă vor ajuta să evaluați dacă sunteți OBLIGAT să respectați GDPR sau nu.

Dacă toate răspunsurile dvs. sunt DA, nu există nici o îndoială că trebuie să vă conformați. Dacă majoritatea răspunsurilor dvs. sunt NU, dar câteva sunt DA, vă rugăm să consultați un specialist.

  1. Compania dvs. colectează date personale?
  2. În mod regulat, vă ocupați de activități cum ar fi salarizarea lunară, pregătirea și trimiterea de facturi, trimiterea de e-mailuri promoționale, prelucrarea și colectarea cererilor de la solicitanții de locuri de muncă, administrarea pacienților?
  3. Firma dvs. procesează orice tip de date speciale (cum ar fi date privind sănătatea, date generice sau biometrice, date care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase, calitatea de membru al sindicatelor, datele privind viața sexuală a unei persoane fizice sau orientarea sexuală )?
  4. Firma dvs. prelucrează date cu caracter personal privind condamnările penale și infracțiunile sau măsurile de securitate aferente?
  5. Este probabil ca prelucrarea datelor să ducă la un risc pentru drepturile și libertățile persoanelor vizate (adică supravegherea video, procedurile de evaluare a creditului și de prevenire a fraudei, localizarea angajaților)?

 

Te-ar putea interesa și:

 

 

 

 


empireee-1200x675.jpg

Securitatea datelor medicale și instruirea personalului

Autori:

Elena Marc – Consilier juridic în domeniul sanitar / Formator / Specialist protectia datelor / Membru ASCPD

 

Există întotdeauna riscuri implicate atunci când lucrați cu date cu caracter personal, dacă este vorba despre un dosar electronic al pacientului sau pe suport de hârtie. Acesta este motivul pentru care GDPR prevede dispoziții referitoare la securitatea datelor medicale și a celorlalte date cu caracter personal. Securitatea informațiilor acoperă trei aspecte:

  1. Confidenţial;
  2. Integritate;
  3. Disponibilitate.

Pentru a asigura un nivel adecvat de protecție și a contribui la securitatea datelor medicale, GDPR prevede că trebuie luate măsuri tehnice și organizatorice adecvate, cum ar fi anonimizarea, pseudonimizarea sau criptarea datelor, dar și politicile specifice organizației care abordează riscurile procesării respectivei organizații. Aceste politici sunt necesare, având în vedere că riscurile nu pot fi întotdeauna evitate.

Unul dintre riscurile implicate este accesul neautorizat. Dacă un fișier al unui pacient este accesat de cineva care nu este autorizat, din punct de vedere GDPR există o încălcare a datelor. Această încălcare trebuie notificată Autorității Naționale de Supraveghere și, în unele cazuri, comunicată pacientului.

O altă modalitate de a preveni încălcarea datelor este păstrarea datelor atat cât este necesar. Atunci când datele de sănătate nu mai sunt necesare pentru tratamentul pacientului, GDPR stabilește că pacientul are dreptul de a solicita ștergerea acestor date. În plus, legea prevede că datele sunt păstrate pentru o perioadă maximă de timp. Durata de păstrare a datelor depinde de scopul pentru care au fost colectate inițial datele personale, ceea ce înseamnă că este important ca acest scop este clar pentru persoana vizată. Dacă este necesar în scopuri de tratament, datele privind sănătatea pot fi păstrate mai mult de 15 ani. Dacă vorbim de cercetare medicală, ar putea fi importantă stocarea datelor pentru o perioadă mai lungă de timp.

O altă protecție importantă pe care GDPR o oferă persoanei vizate este desemnarea unui responsabil de protecție a datelor (DPO) ( articolul 37 GDPR ). GDPR cere ca, în anumite cazuri, inclusiv atunci când datele sensibile sunt prelucrate pe scară largă, trebuie să fie desemnat un DPO. Instituțiile mari de asistență medicală, cum ar fi spitalul, trebuie să desemneze un DPO, având în vedere că procesează datele de sănătate pe scară largă.

Tehnologiile moderne implică multe riscuri, cu toate acestea, există o mulțime de modalități de a proteja datele de sănătate și de îmbunătățire a  tehnicilor. Ca atare va invitam sa urmati acest plan simplu pe care orice angajat il poate respecta pentru un grad de siguranța cibernetică la locul de munca:

  1. Numai încredere în https-URL-uri! Utilizați site-urile de încredere numai când furnizați informațiile personale. O regulă bună este să verificați adresa URL. Dacă site-ul include “https: //”, atunci este un site securizat. Dacă adresa URL include “http: //” – notați “s” lipsă – evitați introducerea informațiilor sensibile cum ar fi datele cărții de credit.
  2. Nu deschideți atașamente / link-uri necunoscute! Nu deschideți atașamentele de e-mail sau faceți clic pe link-uri din e-mailuri din surse necunoscute. Unul dintre cele mai frecvente moduri în care oamenii sunt atacați este prin e-mailuri deghizate ca fiind trimise de cineva în care aveți încredere.
  3. Păstrați-vă dispozitivele actualizate! Mențineți întotdeauna dispozitivele actualizate.Actualizările de software conțin update-uri importante pentru a remedia problemele de securitate. Cyber-attackerii se dezvoltă pe dispozitivele depășite, deoarece nu au cel mai actual software de securitate.
  4. Actualizați în mod regulat fișierele! Faceți copii de rezervă în mod regulat pentru a preveni atacurile de securitate cibernetică.

Pentru ca tinem la siguranta PC-ului d-voastra la locul de munca, va oferim cateva tips-uri orientative in plus privind securitatea datelor medicale:

  1. Investiti intr-un antivirus cu licenta actualizata. Cu totii ne amagim cand vine vorba de un program la care trebuie reinoita licenta anual, DAR totul raul inspre bine. ’’Da dar imi mananca din resurse.’’ Printr-o defragmentare periodica a unitatii de lucru (eliminati fisierele temporale si documentele de care nu aveti nevoie) este un ’’win’’ mult mai mare decat sa iti manance altii datele printr-un banal Keylogger sau KeySniffer doar pentru ca nu aveti un paravan de protectie.
  2. Parole mai puternice, si nu glumesc. Ionut1234 sau lipsa in totalitate a parolelor nu va va salva prea mult timp de un potential atac mai ales daca detineti informatii de mare pret pentru cel care le vrea. In caz ca aveti probleme in a va genera parole mai complexe, sau nu le puteti tine evidenta, folositi un Password Manager cum ar fi Password Generator, Dashlane, LastPass, Roboform.
  3. Software de criptare a datelor in momentul cand efectuati un back-up, astfel banala encriptie AES-256 byti va salveaza de multe peripetii. Va recomandam unele dintre cele mai uzuale la ora actuala: VeraCrypt, Bitlocker sau PGP (Pretty Good Privacy).
  4. Evident, procesul de educare privind noile ’’security threats’’ ce apar zi de zi nu tine doar de un sector anume, toate departamentele operatorului ar trebui implicate in training-uri periodice care sa ridice pragul de awareness in acest domeniu, si aici vorbim de marketing, front-end desk, etc. Investiti in educatia d-voastra sau a angajatilor!

Vrei să înveți cum să securizezi datele medicale pentru a evita incidentele de securitate? A fost personalul instruit corespunzător pentru a proteja datele medicale? Vrei să afli mai multe despre aplicabilitatea GDPR în domeniul medical? Atunci îți recomandăm să parcurgi cursul nostru online (click aici ) la finalul căruia vei obține și certificatul de absolvire. 

 



arhive-medical-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord