Aici descoperim
dreptul tehnologiei

lock-key_0.png

La începutul acestei luni, Autoritatea de Supraveghere din UK (ICO) a publicat instrucțiuni de securitate în Ghidul GDPR. Instrucțiunile se concentrează în special pe criptare și parole. Aceastea indică ce trebuie făcut în procesul de implementare și conțin informații “așa da” și “asa nu” foarte utile.

Criptarea

Articolul 32 din GDPR prevede criptarea ca exemplu de măsură tehnică și organizatorică adecvată. Ghidul specifică patru lucruri care trebuie luate în considerare atunci când implementăm criptarea:

  1. Aceasta trebuie să fie adecvată și ar trebui evaluată periodic pentru a rămâne adecvată;
  2. Dimensiunea cheii. Aceasta ar trebui să fie suficient de mare pentru a asigura protecția împotriva atacurilor, iar aprecierea acesteia ar trebui evaluată în mod regulat;
  3. Software-ul. ICO afirmă că acesta trebuie să respecte standardele actuale, cum ar fi FIPS 140-2 și FIPS 197; și
  4. Securitatea cheii. Cheile trebuie să fie păstrate în siguranță și companiile trebuie să aibă procese în vigoare pentru a genera noi chei atunci când este necesar.

ICO clarifică faptul că, în funcție de contextul incidentului, trebuie pornită acțiunea de reglementare atunci când datele sunt pierdute sau distruse și nu au fost criptate.

Parolele

Deși GDPR nu include prevederi specifice referitoare la parole, acestea reprezintă un mijloc utilizat în mod obișnuit pentru a asigura accesul la sistemele care prelucrează date cu caracter personal. Îndrumările se concentrează asupra stocării parolelor, a modului în care utilizatorii trebuie să trimită parole, cereri de parole, expirare, resetări și apărare împotriva atacurilor.

 

Principalele puncte din instrucțiunile ICO includ:

  1. Parolele nu ar trebui să fie stocate într-un simplu text. Trebuie utilizat un algoritm de ștergere sau un alt mecanism adecvat.
  2. Parolele nu ar trebui să fie rulate prin algoritmi de tip hash, cum ar fi MD5 și SHA1, deoarece acestea nu sunt potrivite pentru protecția prin parolă datorită punctelor slabe de securitate cunoscute. Hashing-ul trebuie să fie efectuat pe partea de server.
  3. Utilizatorii ar trebui să introducă parolele lor pe paginile de conectare care sunt protejate cu HTTPS sau o protecție echivalentă, iar hash-ul ar trebui să fie efectuat de către server.
  4. Cu excepția cazului în care este absolut necesar, singurele restricții care trebuie aplicate parolelor sunt o lungime minimă a parolei și introducerea pe lista neagră a parolelor comune, slabe. Caractere speciale trebuie să fie permise, însă nu obligatorii.
  5. Încercările de conectare ar trebui limitate. Natura limitărilor ar trebui să se bazeze pe comportamentul observat și pe circumstanțele organizației dvs.

De asemenea, instrucțiunile evidențiază o serie de practici despre care, în mod eronat, se crede că sporesc securitatea. În schimb, ICO recomandă următoarele:

  1. Utilizatorilor nu trebuie să le fie împiedicată introducerea parolelor în câmpul de parolă. În loc de a spori securitatea, acest lucru împiedică utilizatorii să poată folosi în mod eficient administrarea de parole.
  2. Sistemele nu ar trebui să impună cerințe inutile asupra parolelor, deoarece aceasta îi determină pe utilizatori să repete parolele din alte conturi, să creeze parole slabe sau să-și uite parolele, toate acestea îngreunând inutil procesul de resetare a parolelor.
  3. Parolele ar trebui resetate numai dacă există motive întemeiate pentru a face acest lucru, cum ar fi încălcarea datelor cu caracter personal. Expirarea regulată încurajează utilizatorii să creeze o serie de parole slabe.

 

https://www.lexology.com/library/detail.aspx?g=699bd516-762d-4f28-8677-57542e82b642&utm_source=lexology%20daily%20newsfeed&utm_medium=html%20email%20-%20body%20-%20general%20section&utm_campaign=lexology%20subscriber%20daily%20feed&utm_content=lexology%20daily%20newsfeed%202018-11-09&utm_term=&fbclid=IwAR2hRh9TBnhy4Aevd_PabP9zOuvxZKLzCaQSI1ZJGbncTNhZZFpFxbGrOd4

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/security/encryption/

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/security/passwords-in-online-services/


privacy-10x10-FB-1200x1200.jpg

Spitalul Barreiro din Portugalia a fost amendat cu 400.000 de euro de către Autoritatea portugheză pentru protecția datelor pentru nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR) prin faptul că nu a separat drepturile de acces la datele pacientilor.

Spitalul din sectorul public a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective.  Mai mult, datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital, iar mecanismele de autentificare a accesului au fost considerate insuficiente.

 CNPS a afirmat că au fost încălcate principiile integrității și confidențialității, principiul minimizarii datelor pentru a limita accesul la datele clinice ale pacienților și incapacitatea Spitalului de a asigura confidențialitatea și integritatea datelor din sistemul lor (securitatea datelor). Primele două încălcări au au fost amendate cu 150.000 € fiecare, în timp ce a treia a primit 100.000 €, rezultand o amenda totala de 400.ooo euro.

Spitalul a spus faptul ca va contesta decizia.

Sursa aici

Ai nevoie de o Politica de acces prin care sa te asiguri ca accesul la date se desfasoara in mod legal si ca nicio persoana neautorizata nu are acces? O gasesti in kitul nostru de implementare, impreuna cu celelalte politici tehnice si organizatorice necesare.

 



Regulamentul general privind protecția datelor (GDPR) protejează datele personale ale rezidenților UE și a dreptul la viața privată. Oragnizațiile au deadline 25 mai să fie pregătite pentru GDPR. Firmele de recrutare trebuie să trebuie să aibă grijă să fie transparente atunci când prelucrează datele candidaților și să se asigure că respectivii candidați își pot exercita drepturile în cadrul GDPR.

Cerințele GDPR care se referă la recrutare (pe scurt):

Interesul legitim: Trebuie să aveți un interes specific, explicit și legitim pentru colectarea datelor candidatului. Pentru categoriile obișnuite de date nu aveți nevoie de consimțământ, însă trebuie efectuat un test de echilibrare a intereselor.

Consimțământul (pentru date sensibile): Ca firmă, aveți un interes legitim de a prelucra datele candidatului. Trebuie să cereți consimțământul numai dacă aveți nevoie de date sensibile, cum ar fi informații privind starea medicală sau credințele religioase ale candidaților.

Transparență: trebuie să furnizați informații candidaților cu privire la prrelucrare și să le dați posibilitatea să își exercite drepturile.

„Dreptul de a fi uitat”: Trebuie să vă conformați dorinței unui candidat de a șterge propriile date din toate sistemele în cel mult o lună.

Dreptul de a accesa și de a rectifica datele: Trebuie să vă conformați dorinței unui candidat de a accesa propriile date din toate sistemele în cel mult o lună.

Responsabilitate: Trebuie să vă asigurați că aveți procese de informare adecvată a candidaților și că aveți relații comerciale doar cu parteneri care respect GDPR.

 

Ce trebuie să faceți în cel mai scurt timp:

Auditați fluxul de date

Răspundeți la următoarele întrebări ca parte a auditului:

  • Care sunt sursele de unde colectăm datele personale și cum o facem?
  • Ce fel de date colectăm și cât de mult folosim de fapt?
  • Cum folosim datele personale în operațiunile noastre?
  • Unde stocăm datele și cine are acces la ele?
  • Cum funcționează fluxul de date în cadrul companiei noastre în cadrul proceselor / funcțiilor / departamentelor?
  • Care sunt procesele noastre de partajare, transfer, modificare și ștergere de date?

Creați o politică de confidențialitate specifică recrutării

Asigurați-vă că includeți

  • Numele și datele de contact ale organizației dvs. și ale DPO, după caz.
  • O explicație a interesului  legitim și o declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri de recrutare.
  • Tipurile de informații despre un candidat care se află în fișierele companiei.
  • Cu cine veți împărți datele.
  • Unde ați găsit datele candidaților.
  • Temeiul legal
  • Cât timp intenționați să stocați datele candidatului.
  • Drepturile candidaților.
  • Cum facilitați exercitarea drepturilor.
  • Cum protejați datele candidatului

Modificați practicile de colectare a datelor pentru a vă conforma cu GDPR

Asigurați-vă că:

  • Colectați datele candidatilor pentru scopuri specifice și legitime.
  • Colectați numai cantitatea și tipurile de date absolut necesare pentru scopurile dumneavoastră.
  • Informați candidatul cu privire la colectarea datelor sale în cel mult o lună.
  • Obțineți datele dintr-o sursă legitimă.

Creați un șablon de e-mail pentru a contacta candidații, care trebuie să conțină:

  • un link către politica de confidențialitate pentru recrutare.
  • Numele și datele de contact ale organizației.
  • declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri de recrutare.

 

Asigurați-vă că procesul de aplicare la un job este în conformitate cu GDPR

  1. Solicitați numai datele personale care sunt necesare și relevante pentru respectivul post
  2. Fiți transparent:
  • Menționați că intenționați să utilizați datele lor doar în scopuri de recrutare.
  • Specificați cât timp o să păstrați aceste date.
  • Oferiți link către politica de confidențialitate
  • Asigurați-vă că răspundeți la cererile candidaților cu pririvre la exercitarea drepturilor.

Asigurați-vă că respectați GDPR atunci când respingeți candidații

  • Ștergeți toate datele pe care le aveți despre candidații pe care nu le veți lua în considerare pentru alte roluri.
  • Informați candidații ale căror date doriți să le păstrați că veți continua să le prelucrați datele (dacă le-ați spus că le veți procesa datele numai până când ați completat poziția.)
  • Explicați de ce doriți să păstrați datele candidatului.
  • Menționați cât timp veți păstra datele.
  • Oferiți link politica de confidențialitate.
  • Spuneți candidaților că își pot retrage consimțământul (dacă este cazul) în orice moment.

 

Revizuiți bazele de date existente:

  • Verificați baza de date și dacă este puțin probabil ca un candidat să fie calificat pentru roluri viitoare sau nu mai este relevant, ștergeți datele.
  • Dacă doriți să păstrați un candidat în baza de date, contactați-l pentru a-l informa că îi prelucrați datele.

Asigurați-vă că furnizorii de software sunt conformi GDPR

  • Chestionați furnizorii pentru a vă asigura că sunt conformi GDPR.
  • Cereți-le să semneze acorduri de prelucrare a datelor care îi vor obliga să prelucreze datele candidatului în conformitate cu cerințele GDPR.

Facilitați exercitarea drepturilor candidaților

  • Implementați o politică pentru a facilita exercitarea drepturilor candidaților;
  • Implementați proceduri pentru a permite candidaților să își acceseze datele;
  • Stabiliți procese pentru a șterge, restricționa sau rectifica date.
  • Creați un proces pentru a permite candidaților să își retragă consimțământul, dacă este cazul.
  • Furnizați pe site toate informațiile necesare cu privire la modalitatea în care candidații își pot exercita drepturile.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

 



Majoritatea firmelor prelucrează date cu caracter personal referitoare la angajații lor zi de zi. Datele personale prelucrate de firmă pot fi oricare, de la datele de identificare până la informațiile medicale prezentate de angajați pentru a justifica absența. În consecință, majoritatea întreprinderilor vor fi afectate de Regulamentul UE privind protecția generală a datelor (“GDPR”), care va reglementa prelucrarea datelor cu caracter personal atunci când devine direct aplicabil începând cu 25 mai 2018.

Acest articol cuprinde măsuri practice pe care ar trebui să le luați în considerare în ceea ce privește prelucrarea datelor angajaților.

1. Ce este GDPR?

Multe organizații se străduiesc să evalueze unde ar trebui să înceapă în ceea ce privește pregătirea pentru GDPR. Este util să ne amintim că am avut legislație privind protecția datelor în România încă din 2001 și, prin urmare, firmele care au respectat în mod serios respectarea protecției datelor sunt deja în bună formă pentru a îndeplini standardele de respectare a standardelor GDPR. GDPR se bazează și consolidează multe dintre cerințele și principiile existente privind protecția datelor în conformitate cu legislația actuală privind protecția datelor. GDPR ar trebui văzută ca o oportunitate de a revizita nivelul de protecție a datelor de către firma.

Începând cu 25 mai 2018, GDPR va înlocui Directiva din 1995 privind protecția datelor, care este legislația UE, pe care se bazează principala legislație română privind protecția datelor, Legea 677/2001. GDPR, fiind un Regulament, se va aplica direct în România, indiferent că se adoptă sau nu o lege națională.

2. „Consimțământul” în contractele de muncă

Ca și în cazul actualei legislații, pentru a prelucra datele personale ale unui angajat, firma are nevoie de o bază legală pentru a face acest lucru. Multe dintre bazele juridice pe care angajatorii le utilizează în prezent pentru a procesa datele cu caracter personal ale angajaților vor continua să existe în cadrul GDPR. Cele mai relevante baze juridice pentru angajatori, atât în ​​cadrul DPA, cât și în GDPR, sunt următoarele:

  • angajatul și-a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru executarea unui contract la care angajatul este parte;
  • prelucrarea este necesară pentru a lua măsuri la cererea angajatului înainte de a încheia un contract;
  • respectarea unei obligații legale;
  • prelucrarea este necesară pentru a proteja ale angajatului; și
  • în scopul intereselor legitime ale firmei.

În practică, constatăm că mulți angajatori tind să se bazeze pe prima bază juridică menționată mai sus pentru prelucrarea datelor, adică consimțământul, care este de obicei luat în contractul de muncă. Pentru ca consimțământul să fie valabil, acesta trebuie, printre altele, să fie „acordat în mod liber”, ceea ce ridică preocupări în contextul ocupării forței de muncă, deoarece este discutabil dacă consimțământul unui angajat este acordat în mod liber pe baza dezechilibrului puterii dintre un angajator și un angajat . Grupul de lucru „Articolul 29″, care este grupul reprezentativ al autorităților UE pentru protecția datelor, a comentat recent că un angajat este rareori în măsură să dea un consimțământ liber.

 

Te-ar putea interesa și: 

 

Un alt punct de reținut atunci când se bazează pe consimțământ este acela că anumite drepturi ale persoanelor vizate pot fi exercitate numai atunci când consimțământul este temeiul juridic, de exemplu dreptul la portabilitatea datelor și așa-numitul „drept de fi uitat”.

Având în vedere dificultățile legate de consimțământ, acum este momentul să te gândești dacă nu cumva firma ta poate invoca baze juridice alternative pentru o anumită prelucrare a datelor cu caracter personal. De exemplu, prelucrarea detaliilor unui angajat în cadrul salarizării ar putea fi întemeiată pe baza legală a executării unui contract cu angajatul. Cu toate acestea, pot exista situații în care consimțământul este singurul temei juridic adecvat pentru a se baza. O astfel de situație poate apărea, de exemplu, în contextul procesării informațiilor medicale ale unui angajat, în cazul în care o asemenea prelucrare nu este cerută de legislația muncii. În cazul în care este necesar să se bazeze pe consimțământul ca temei juridic, consimțământul ar trebui să fie obținut printr-o declarație sau alt document separat de contractul de muncă, care nu este în mod inerent legat de acceptarea de către salariat a locului de muncă în cadrul firmei.

 

 

3. Drepturile angajatului

GDPR introduce noi drepturi pentru persoanele vizate și modifică, de asemenea, unele dintre drepturile existente în cadrul legislației actuale. Un drept modificat pe care multe firme îl pot cunoaște este dreptul de acces al persoanelor vizate, care oferă în mod esențial unei persoane dreptul de a primi o copie a datelor sale personale.

Răspunsul la cerere trebuie să se facă „fără întârzieri nejustificate” și, în orice caz, în termen de o lună de la primirea solicitării.

Acest termen scurt înseamnă că firmele vor trebui să se asigure că au politicile și procedurile în vigoare pentru a se conforma unei cereri de acces primite și că dispune de personal și resurse suficiente pentru a se conforma. Cu toate acestea, în cazul în care o cerere este complexă sau dacă sunt formulate mai multe cereri, atunci termenul poate fi prelungit cu încă două luni, dacă este necesar, cu condiția ca persoana vizată să fie informată cu privire la prelungire și motivele acesteia în termen de o lună de la data la care angajatorul a primit cererea.


4. Responsabilitatea

Responsabilitatea este un principiul fundamental al GDPR. Aceasta impune ca firmele nu numai să respecte GDPR prin implementarea unor măsuri tehnice și organizatorice adecvate și a unor politici adecvate de protecție a datelor, dar trebuie, de asemenea, să poată demonstra conformitatea acestora. Ca atare, acest lucru va implica mai mult decât crearea unor politici de protecție a datelor și a unor registre de prelucrare care să respecte GDPR, ci si punerea în practică a acestor politici.

 

Te-ar putea interesa și:

 

5. Informații care trebuie furnizate angajaților

Trebuie furnizate anumite informații angajaților înainte ca datele lor personale să fie colectate și prelucrate de către firmă. Informațiile vor fi în mod obișnuit furnizate sub forma unei notificări adresate candidaților, iar o politică de confidențialitate viitoare va fi furnizată angajaților, de regulă, cu ocazia încheierii contractului de muncă. În cadrul GDPR, vor fi furnizate următoarele informații:

  • numele firmei și datele de contact și numele și datele de contact responsabilului cu protectia datelor, dacă există;
  • scopul (scopurile) prelucrării, precum și temeiurile juridice pentru prelucrare;
  • în cazul în care temeiul juridic al prelucrării se bazează pe interesele legitime ale întreprinderii, aceste interese legitime trebuie identificate;
  • destinatarii sau categoriile de destinatari de date cu caracter personal;
  • dacă firma intenționează să transfere date cu caracter personal unei țări terțe și temeiul juridic al transferului;
  • perioada de păstrare a datelor cu caracter personal și criteriile utilizate pentru determinarea acesteia; modul în care angajații (sau candidații pentru locuri de muncă) își pot exercita drepturile;
  • modul în care angajații (sau candidații pentru locuri de muncă) își pot retrage consimțământul pentru prelucrare, în cazul în care prelucrarea de către firmă se bazează pe consimțământ;
  • dreptul de a depune o plângere autorității de supraveghere a protecției datelor;
  • dacă angajatul (sau candidatul la postul de loc de muncă) este obligat să furnizeze datele cu caracter personal în temeiul unei legi sau al unui contract și consecințele neconformării; și
  • existența procesului de luare a deciziilor automate, inclusiv profilarea, precum și logica și consecințele prelucrării pentru angajat (sau candidatul la un loc de muncă).

Este important să revizuiești informările oferite angajaților și candidaților pentru locuri de muncă, pentru a verifica dacă acestea includ informațiile de mai sus.

Dacă ai nevoie de modele de informare conforme GDPR pentru angajați și candidați le găsești aici, în KIT-ul nostru de implementare. 

 

 

6. Responsabilul cu protecția datelor („DPO”)

O modificare importantă introdusă de GDPR este cerința ca anumiți operatori de date și împuterniciți să numească un DPO. DPO este responsabil de supravegherea conformității unei organizații cu protecția datelor.

Un DPO este obligatoriu atunci când:

  • operatorul este o autoritate publică sau un organism public (cu excepția instanțelor de judecată);
  • operatorii de date și împuterniciții au ca activitate principală o prelucrare “care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă”; și
  • operatorii de date și împuterniciții implicați în prelucrarea la scară largă a datelor cu caracter personal sensibile sau a datelor cu caracter personal referitoare la condamnările și infracțiunile penale.

Grupul de lucru “Articolul 29” recomandă ca operatorii și împuterniciții să se informeze dacă este necesar un DPO.

DPO poate să fie intern (angajat) sau externalizat (de exemplu, un avocat) și trebuie să aibă cunoștințe de specialitate privind protecția datelor cu caracter personal. Dacă este angajat, nu poate fi sancționat sau demis pentru îndeplinirea activităților sale. Responsabilul va fi independent în îndeplinirea sarcinilor. Acest lucru trebuie luat în calcul înainte de a numi pe cineva.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 


arhive-securitate-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord