Regulamentul (UE) 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date – GDPR, aplicabil din 25.05.2018 și în România
Ce este GDPR?
Comisia Europeană a semnalat necesitatea actualizării cadrului normativ european aplicabil în domeniul protecţiei datelor şi a propus noi reguli, utilizând ca instrument normativ Regulamentul General privind Protecţia Datelor (GDPR) nr. 679/2016.
Acesta impune un set unic de reguli, direct aplicabile în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018, destinat protejării mai eficiente a datelor persoanelor fizice de pe teritoriul UE, indiferent de poziţionarea geografică a operatorului de date.
Pe scurt, scopul acestui regulament este de a proteja intimitatea și dreptul la viața privată a persoanelor fizice împotriva abuzurilor/greșelilor instituțiilor și firmelor ce dețin și prelucrează date cu caracter personal.
Sancțiuni extrem de severe! Până la 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internaţional
Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a GDPR are dreptul să obțină despăgubiri de la operator pentru prejudiciul suferit. Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale ce încalcă GDPR
Decizia 161/2018 a ANSPDCP descrie procedura de efectuare a investigațiilor. Pe scurt, controalele pot veni inopinat sau cu înștiințare, prin autosesizare sau ca urmare a unei plângeri, la sediul dvs. sau la sediul Autorității.
Organele de control pot ridica în copie orice document, pot investiga orice echipament pe care sunt stocate date, pot interoga persoane din cadrul societății/instituției, pot solicita sprijin poliției în cazul refuzului efectuării controlului, pot pune sigilii conform Codului de procedură penală.
Pe loc, se pot da amenzi până la echivalentul în lei a 300.000 euro; amenzile ce depășesc această valoare se dispun prin decizia președintelui ANSPDCP.
Cine trebuie să respecte GDPR?
Instituțiile publice
au obligația desemnării unui DPO
Companii
ce desfășoară activități de monitorizare periodică și sistematică a persoanelor vizate, pe scară largă
Instituții/Companii
ce procesează categorii speciale de date personale (ex. sănătate, orientare sexuala, etnie)
Alți operatori
care, prin activitatea lor, colectează și prelucrează date cu caracter personal
DPO – Data Protection Officer / responsabilul pentru protecţia datelor
DPO este o persoană care
deține cunoștințe de specialitate în materie de legislație și practici privind
protecția datelor, are rolul de a oferi consultanţa necesară în vederea
respectării tuturor obligaţiilor prevazute în Regulament și de a asigura
transparenţa faţă de persoanele vizate.
La desemnarea unui DPO trebuie avute în vedere următoarele condiții:
DPO
100%
- calitățile profesionale ale persoanei desemnate
- capacitatea de a îndeplini sarcinile prevăzute de Regulamentul (UE) 2016/679
Atenție!
DPO deține un rol extrem de important, întrucât atât în instituțiile publice cât și în sectorul privat se utilizează numeroase informații și date cu caracter personal. De aceea, este obligatorie desemnarea unui DPO care să corespundă cerințelor profesionale și să dețină, conform regulamentului european, “cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor”.
Sunteți pregătiți să vă asumați aceste
riscuri?
Datorită experienței pe care o avem în colaborarea cu instituțiile publice și operatorii economici, vă punem la dispoziție cel mai bun pachet de servicii și asigurarea unui DPO externalizat ce deține toate cunoștințele și practicile necesare în domeniul protecției datelor, în divese sectoare de activitate.
Ce măsuri trebuie luate?
Ø stabilirea unui set de Proceduri Interne privind baza de date și întocmirea unui Registru de Evidență a Prelucrărilor de Date cu Caracter Personal
Ø Informarea prealabilă a persoanelor privind scopul pentru care li se solicită furnizarea de date cu caracter personal
Ø Obținerea consimțământului explicit în cazul utilizării datelor personale cu un alt scop decât cel pentru care au fost solicitate
Ø Confidentialitatea si securitatea datelor cu caracter personal, atât în format electronic cât și pe hârtie
Ø Controlul strict privind accesul personalului firmei la bazele de date sau la arhiva de documente conținând date cu caracter personal
Ø Respectarea restricțiilor privind modul de utilizare a camerelor video de supraveghere și a cititoarelor de amprente
ØObligativitatea numirii unui Responsabil cu Protecția Datelor (DPO)
Ø Respectarea dreptului persoanelor de a solicita furnizarea, ștergerea sau modificarea datelor personale stocate de o instituție sau firmă
Ø Restricții privind prelucrarea datelor personale considerate sensibile cum ar fi: date genetice, biometrice sau privind sănătatea unei persoane
Ø Notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal
Legalitatea prelucrării datelor cu caracter personal
Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
Ø persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
Ø prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri înainte de încheierea unui contract;
Ø prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
Ø prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
Ø prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
Se recomandă serviciile unui DPO externalizat pentru că:
Ø DPO trebuie sa fie independent si sa nu genereze un conflict de interese.
Ø detine toate cunostintele si practicile necesare in domeniul protecției datelor, in divese sectoare de activitate, este in permanenta instruit cu toate modificarile legislative
Ø se evita riscului de a angaja/desemna un DPO nepotrivit cu strategia firmei si de a-i asigura o pregatire profesionala continua. Mai mult, desemnarea/angajarea unui DPO in cadrul companiei implica modificari in structura organizatorica a acesteia, intrucat acesta nu poate fi încadrat ca subordonat al șefului unui anumit departament al firmei, nu poate fi demis ori sanctionat, nu poate indeplini alte sarcini si atributii ce pot genera un conflict. Această cerință întărește autonomia DPO și ajută la asigurarea că acesta trebuie sa acționeze în mod independent.
Avantajele unui DPO externalizat:
Ø reducerea considerabilă a riscurilor și resurselor (umane, de timp și financiare) asociate acestei reglementări.
Ø Câștigarea și menținerea încrederii și loialității partenerilor
Ø Minimizarea riscului de non-conformitate
Ø Asigurarea unei echipe de specialiști certificați
Prin contractarea serviciilor noastre, oferim:
DPO externalizat
Numirea unui DPO în vederea asigurării unei legături permanente cu
Autoritatea Naţionala de Supraveghere a Prelucrării Datelor cu Caracter
Personal
Audit, inventariere si centralizare
Inventarierea datelor cu caracter personal colectate și gestionate de către organizație;
Analiza si evaluarea riscurilor
Evaluarea riscurilor generate de prelucrarea, distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Elaborare si implementare regulament
Consultanță în vederea implementării unor măsuri tehnice și organizatorice adecvate în conformitate cu prevederile GDPR, planuri de pregătire și comunicare cu persoanele din cadrul societății care prelucreaza date cu caracter personal;
Monitorizare
Monitorizare continuă, comunicare, control periodic de conformitate;
Analiza de impact
Consultanta si recomandari privind analizele de impact asupra protectiei datelor (obligatorii, conform GDPR, pentru anumite tipuri de activitati)
Trainig personal
Supervizarea instruirii sau furnizarea de cursuri de instruire pentru persoanele implicate in procesarea datelor personale
Contacteză-ne!
Specialiștii noștri vă pot ajuta să identificati sectoarele de
activitate din firma/instituția dvs., care prezintă vulnerabilități din punct
de vedere al stocării și prelucrării datelor cu carcater personal.