GDPR S C U R T G H I D P E N T R U I M P L E M E N T A R E A V. R U X A N D R A S A V A

Transcription

1 GDPR S C U R T G H I D P E N T R U I M P L E M E N T A R E A V. R U X A N D R A S A V A

2

3 CE ESTE GDPR? GDPR = Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) GDPR a fost adoptat la data de 27 aprilie 2016, a intrat în vigoare pe 24 mai 2016 și se va aplica direct începând cu 25 mai S-a acordat un termen de 2 ani pentru ca entitățile să aibă timp să se alinieze reglementărilor. GDPR se va aplica direct în Romania incepand cu 25 mai 2018

4 DEFINITII date cu caracter personal = orice informatii cu privire la o persoana fizica identificata sau identificabila operator = entitatea care stabileste scopul si mijloacele prelucrarii datelor împuternicit = entitatea care prelucrează datele în numele operatorului persoana vizata = orice persoană fizică prelucrare = orice operatiune asupra datelor personale (cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, consultarea etc)

5 CE SUNT DATELE CU CARACTER PERSONAL? Exemple: nume, prenume, adresa, CNP, serie si numar CI telefon venit date biometrice imagine adresa IP date medicale orice alte informatii cu privire la o persoana fizica identificata sau identificabila

6 ORICE informație. Domeniul este atât de vast încât nu va exista niciodată vreo lista exhaustivă a datelor cu caracter personal. Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privitoare la persoanele decedate. Ce se intampla dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale? Pot fi. Daca exista mijloace care pot conduce catre identificarea persoanei. Aceste mijloace trebuie sa tina cont atat de tehnologia actuala, cât și de cea care va fi (în mod rezonabil) dezvoltată în viitor.

7 CE SUNT DATELE CU CARACTER PERSONAL SPECIALE? originea rasiala sau etnica date genetice, biometrice pentru identificarea unică a unei persoane fizice datele medicale datele cu privire la viata sexuala date privitoare la fapte penale sau contraventii convingerile politice, religioase, filozofice Datele speciale pot fi prelucrate doar în conditii foarte stricte

8 OPERATOR SAU IMPUTERNICIT? operator NU este un raport de munca imputernicit stabileste scopul si mijloacele prelucrarii e obligat sa contracteze doar cu imputernicitii care au garantii de confidentialitate si securitate relatie contractuala externalizata (exemple: agentii de marketing, contabili, avocati, furnizori de servicii IT, furnizori de servicii de monitorizare video ) are acces la datele personale ale operatorului, dar le prelucreaza doar in numele si conform instructiunilor operatorului este subordonat operatorului si are obligatia de a nu se abate de la instructiuni are majoritatea obligatiilor impuse de Regulament Pentru incalcarea obligatiilor, imputernicitul poate fi amendat de are obligatii precum: a se asigura de securitate, a nu contracta cu un alt subimputernicit fara acordul operatorului, a raporta un incident de securitate

9 PRINCIPIILE PRELUCRĂRII Legalitate, echitate și transparență Datele sunt prelucrate în mod legal, echitabil și transparent faţă de persoana vizată Limitare la scop datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri reducerea la minimum a datelor datele sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate

10 exactitate datele sunt exacte și, în cazul în care este necesar, sunt actualizate limitări legate de stocare datele nu trebuie păstrate mai mult decât e necesar securitate si confidentialitate datele sunt prelucrate întrun mod care asigură securitatea adecvată Cele sase principii de mai sus trebuie respectate simultan! Nerespectarea lor poate conduce la amenzi de până la euro sau 4% din cifra de afaceri.

11 TEMEIURILE PRELUCRĂRII Prelucrarea este legală doar dacă este necesară pentru: încheierea sau executarea unui contract persoana vizata si-a dat consimtamantul îndeplinirea unei obligații legale atingerea intereselor legitime urmărite de operator sau de un terţ îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice

12 Trebuie sa existe ce putin un temei de mai sus astfel incat prelucrarea sa fie legală! Spre deosebire de reglementarea anterioara, unde consimtamantul era regula, GDPR aduce toate temeiurile pe pozitie de egalitate. Nu are niciun rost sa obtii consimtamantul persoanei atata timp cat prelucrarea ta are alt temei, ca executare unui contract, indeplinirea unei obligatii legale sau chiar un interes legitim.

13 Dar dacă ești obligat să obții consimțământul... Consimtământul trebuie să fie: dat in mod liber - alegere reala specific, pentru fiecare scop in parte informat asupra tuturor detaliilor prelucrării lipsit de ambiguitate

14 Operatorul trebuie sa poata face dovada ca a obtinut un consimtamant valabil In situatia unui dezechilibru de putere, de exemplu angajat-angajator, consimtamantul nu este valabil decat in mod exceptional Inainte de obtinerea consimtamantului, persoanei trebuie sa i se furnizeze, intr-un limbaj simplu si clar: identitatea operatorului, scopurile prelucrarii, tipurile de date colectate, existenta dreptului de retragere si, daca e cazul, informatii despre profilare si decizii automate Retragerea consimtamantului poate fi facuta oricand si la fel de simplu ca acordarea lui Tăcerea, inacțiunea sau căsuțele pre-bifate nu valoreaza consimtamant

15 Pentru datele sensibile, consimtamantul trebuie sa fie explicit (declaratie scrisa, semnatura electronica, verificare in doi factori prin / sms etc) Pentru copiii sub 16 ani, consimtamantul trebuie dat de reprezentantul legal (de obicei, parintele) În unele situații consimțământul este obligatoriu marketing prin mijloace electronice cookies date sensibile decizii automate

16 Daca se doreste recurgerea la interesul legitim pentru prelucrare, trebuie ca interesul sa existe si sa prevaleze asupra drepturilor persoanei vizate

17 INFORMAREA PERSOANEI VIZATE Indiferent de temeiul prelucrarii, persoana vizata trebuie sa fie informata asupra: identitatea si datele de contact ale operatorului si, daca e cazul, ale responsabilulul cu protectia datelor obligatia de furnizare a datelor + consecintele nerespectarii dreptul de depune o plangere in fata Autoritatii dreptul de a se adresa justitiei daca se recurge la profilare sau decizii automate scopurile pentru care se prelucreaza datele destinatarii sau categoriile de destinatari daca se transfera date catre state non- UE - mijloacele de protectie perioada de stocare sau criteriile utilizate pentru determinarea perioadei

18 Ce drepturi are persoana vizată? dreptul la informare persoana vizata are dreptul de a fi informata asupra tuturor aspectelor enumerate anterior dreptul de acces persoana vizata are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, are dreptul de acces la datele respective

19 Ce drepturi are persoana vizată? dreptul la rectificare Persoana vizata are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare. dreptul la stergerea datelor În situațiile în care (1) datele nu mai sunt necesare pentru îndeplinirea scopurilor, (2) s-a retras consimțământul și nu există un alt temei juridic pentru prelucrare, (3) persoana se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau (4) datele cu caracter personal au fost prelucrate ilegal, persoana are dreptul de a obține ștergerea datelor care o privesc, fără întârzieri nejustificate.

20 Ce drepturi are persoana vizată? dreptul la restrictionarea prelucrarii Persoana vizată are dreptul la restrictionarea prelucrarii in urmatoarele situatii: (a) contestă exactitatea datelor, pentru o perioadă care permite operatorului sa verifice exactitatea datelor; (b) prelucrarea este ilegală, iar persoana se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor; (c) nu mai este nevoie de datele cu caracter personal în scopul prelucrării, dar persoana le solicita pentru constatarea, exercitarea sau apărarea unui drept în instanță; (d) persoana s-a opus prelucrării în conformitate cu articolul 21 alineatul (1) din GDPR, pentru intervalul de timp în care se verifică dacă interesele legitime ale operatorului prevalează asupra drepturilor persoanei.

21 Ce drepturi are persoana vizată? dreptul la opozitie Persoana vizată are dreptul de a se opune, în orice moment, la prelucrarea datelor cu caracter personal. Operatorul va da curs cererii, cu exceptia cazului in care prevaleaza interesele legitime ale sale sau ca scopul este constatarea, execitarea sau apararea unui drept in instanta. Persoana vizata are dreptul de a se opune in orice moment prelucrarii datelor in scop de marketing direct. dreptul de a nu fi supusa unei decizii automate cu efect semnificativ Nu are acest drept în cazul în care decizia: (a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date; (b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau (c) are la bază consimțământul explicit al persoanei vizate

22 dreptul la portabiliatea datelor Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului, în cazul în care sunt indeplinite cumulativ urmatoarele conditii: (a) prelucrarea se bazează pe consimțământ sau pe un contract și (b) prelucrarea este efectuată prin mijloace automate. dreptul de a-si retrage consimtamantul acordat in orice moment si in mod gratuit Drepturile nu sunt absolute și exista exceptii.

23 In situatia unei cereri din partea persoanei vizate, operatorul este obligat sa raspunda fara o intarziere nejustificata si in cel mult o luna. In situatia unei cereri complexe, perioada de raspuns poate fi prelungita pentru cel mult o luna. Nerespectarea drepturilor persoanei vizate poate atrage amenzi de până la sau 4% din cifra de afaceri, oricare din ele este mai mare. Persoana vizată poate depune plangere la Autoritate se poate adresa justitiei pentru despagubiri (daune materiale și/sau morale)

24 RESPONSABILITATEA OPERATORULUI Stabilirea politicilor tehnice și organizationale care sa asigure respectarea GDPR Respectarea drepturilor persoanei vizate Informarea adecvată a persoanelor vizate prin note de informare/politici de confidențialitate în mod fizic sau pe site Securitatea și confidențialitatea datelor (criptare, anonimizare, pseudonimizare) Alegerea cu mare grijă a persoanelor împuternicite, întrucât acestea trebuie să prezinte garanții suficiente de conformare cu Regulamentul

25 RESPONSABILITATEA OPERATORULUI Managementul adecvat al incidentelor de securitate Cooperarea cu autoritatea de supraveghere In unele cazuri, pastrarea evidentei activitatilor de prelucrare In unele cazuri, intocmirea unor studii de impact (DPIA) In unele cazuri, numirea unui responsabil cu protectia datelor (intern extern) Respectarea tuturor principiilor prelucrării de la art. 5 Pentru nerespectarea punctelor de mai sus, operatorul poate fi sanctionat cu amenda de pana la euro sau 4% din cifra de afaceri, pentru fiecare abatere

26 CAND ESTE NECESARA PASTRAREA EVIDENTEI ACTIVITATILOR DE PRELUCRARE? cand firma are peste 250 de angajati prelucrarea implica un risc pentru persoana vizata prelucrarea nu este ocazionala se prelucreaza categorii speciale de date

27 CE TREBUIE SA CUPRINDA EVIDENTA PASTRATA DE OPERATOR? (a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor; (b) scopurile prelucrării; (c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal; (d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale; (e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective, documentația care dovedește existența unor garanții adecvate; (f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date; (g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate Si persoana imputernicita are, in unele cazuri, obligatia de pastrare a evidentei prelucrarilor

28 CAND ESTE NECESARA REALIZAREA UNUI STUDIU DE IMPACT? în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice Există șanse mari ca Autoritatea de supraveghere să întocmească o listă care cuprinde activitățile de prelucrare pentru care este necesar realizarea unui studiu de impact.??!

29 Evaluarea impactului este necesara mai ales in urmatoarele situatii: (a) evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice pentru a se lua decizii automate cu impact semnificativ (b) prelucrării pe scară largă a unor categorii speciale de date (de exemplu, o aplicație de sanătate) sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul; sau (c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului. Evaluarea impactului trebuie sa se realizeze inaintea prelucrării. Dacă în urma evaluării, rezultă un risc ridicat, se va consulta Autoritatea de Supraveghere

30 CAND ESTE NECESAR RESPONSABILUL CU PROTECTIA DATELOR? Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni Responsabilul cu protectia datelor poate fi intern (angajat) sau extern (SRL, PFA, Avocat) și trebuie să aibă cunoștințe de specialitate și experiență în domeniul protecției datelor cu caracter personal

31 MANAGEMENTUL INCIDENTELOR DE SECURITATE Exemple de incidente de securitate: atacuri cibernetice, pierderea unui dispozitiv (laptop, tableta, telefon) pe care sunt stocate date cu caracter personal, sustragerea de catre un angajat documente care conțin date personale etc. In situatia unui incident de securitate, operatorul este obligat să notifice de urgență Autoritatea de Supraveghere, de regulă, în cel mult 72 ore. Prin notificare trebuie descris în amănunt incidentul, consecințele probabile și măsurile luate pentru remedierea problemei. Dacă incidentul poate genera un risc ridicat pentru persoana vizată, operatorul este obligat să o informeze fără întârziere.

32 Prezentul Ghid este pus în mod gratuit la dispoziția publicului din România și poate fi descărcat de pe site-ul Materialul este protejat de drepturi de autor în temeiul Legii nr. 8/1996 și orice copiere, distribuire, reproducere, republicare reprezintă contravenție. Ne rezervăm dreptul de a solicita despagubiri pentru prejudiciile cauzate. Prezentul Ghid este redactat în scop de informare de av. Ruxandra Sava și nu reprezintă o consultație juridică în sensul Legii 51/1995 pentru organizarea și exercitarea profesiei de avocat. Este de la sine înțeles că ghidul nu acoperă în mod exhaustiv situațiile care se pot ivi în practică. De aceea recomandăm apelarea la consultanță specializată în vederea implementării. Te putem ajuta să te aliniezi la GDPR! Ruxandra Sava Avocat și Specialist Protecția Datelor ruxandra.sava@legalup.ro