Noul Regulament EU de Protecție a Datelor (GDPR)

Cum afectează GDPR politica de protecție a datelor

COMPLETAȚI CHESTIONARUL DE CONFORMITATE DESCĂRCAȚI GHIDUL GRATUIT

Sunteți conform cu cerințele GDPR?

Din 25 mai 2018, va intra în vigoare la nivel european un nou regulament privind protecția datelor.

Dacă sunteți sub incidența acestor noi prevederi, va trebui să găsiți modalități prin care puteți să intrați în conformitate cu noul regulament. Acest site este conceput pentru a vă ajuta să înțelegeți conținutul regulamentului GDPR, prezentând cerințele acestuia și oferind totodată soluții dedicate. Regulamentul General privind Protecția Datelor (GDPR) va afecta fiecare organizație din Europa, care prelucrează date cu caracter personal, de orice fel. Acesta va afecta, de asemenea, orice companie care derulează afaceri pe teritoriul UE. Regulile sunt complexe, iar amenzile pentru nerespectarea legislației sunt semnificative (până la 20 de milioane €).

Însă, vă aflați în locul potrivit pentru a afla mai multe detali!

https://encryption.eset.com/ro/wp-content/uploads/sites/23/2016/08/calendar.png

Descărcați ghidul dumneavoastră gratuit

ESET și consilierii săi legali au realizat acest ghid aprofundat pentru a detalia impactul pe care îl poate avea noul regulament al UE.

https://encryption.eset.com/ro/wp-content/uploads/sites/23/2016/11/guide_general_data_protection_regulation.png

Verificare Online a Conformității

Acest site este conceput să vă ajute să întelegeți cerințele GDPR, să le cuantificați și să identificați o soluție potrivită nevoilor dvs.

Respectarea normelor GDPR, pas cu pas

Implicațiile GDPR sunt complexe, așa că am împărțit procesul necesar pentru atingerea conformității în trei grupe de măsuri pe care ar trebui să le analizați, împărțite în diverse domenii ce conțin explicații mai detaliate. Accesați fiecare câmp din diagrama de mai jos pentru a afla mai multe detalii.

+Pe scurt

Unele dintre principiile stabilite în GDPR reprezintă o continuare a celor stabilite în Directiva Privind Protecția Datelor și anume: corectitudinea, legalitatea și transparența; limitarea scopului; reducerea la minimum a datelor; calitatea datelor; securitatea, integritatea și confidențialitatea.

GDPR instituie un nou principiu de responsabilitate prin operatorii de date responsabili pentru demonstrarea conformității cu principiile determinate. De asemenea, GDPR adaugă noi aspecte la principiile existente de protecție a datelor, după cum urmează:

Legalitate, echitate și transparență – Datele cu caracter personal trebuie să fie prelucrate acum într-un mod transparent, în ceea ce privește persoana vizată.

Limitarea scopului – Cu unele rezerve, arhivarea datelor cu caracter personal, de interes public, nu va fi considerată incompatibilă cu scopurile prelucrării inițiale.

Stocare – datele cu caracter personal trebuie să fie păstrate într-o formă care să permită identificarea persoanelor vizate nu mai mult decât este necesar în cazul scopurilor pentru care sunt prelucrate datele cu caracter personal.

Responsabilitate – Operatorul de date devine responsabil de respectarea principiilor și trebuie să fie în măsură să le demonstreze.

+Cerințele structurii organizatorice

În conformitate cu regulamentul GDPR, trebuie să puneți în aplicare o gamă largă de măsuri pentru a vă asigura că reduceți riscul de a încălca prevederile și care să vă permită să dovediți că luați în serios reglementarea datelor. Printre măsurile de responsabilizare sunt necesare: evaluări de impact asupra vieții private, audituri, revizuiri, înregistrări ale activităților și (eventual) desemnarea unui responsabil în ceea ce privește protecția datelor (RPD).

GDPR introduce obligația, pentru anumite organizații, de a desemna un responsabil pentru protecția datelor (DPO – Data Protection Officer). Organizațiile trebuie să desemneze un membru al personalului sau un consultant extern ca DPO.

În cazul în care sunteți un comerciant cu o bază de date mare ce stocheză date ale clienților, va trebui probabil să numiți un DPO; autoritățile naționale responsabile cu protecția datelor sunt de așteptat să furnizeze orientări cu privire la persoanele care se califică.

Responsabilul DPO va fi însărcinat să monitorizeze respectarea normelor GDPR, sfătuindu-vă în ceea ce privește obligațiile dumneavoastră, cu privire la momentul și la modul în care o analiză de evaluare a impactului problemelor de confidențialitate ar trebui să fie efectuate și va fi punctul de contact pentru solicitări din partea autorităților naționale de protecție a datelor și a persoanelor fizice.

Conceptul unui magazin de tip one-stop permite unei organizații stabilite în mai multe țări din UE să se preocupe doar de o singură autoritate națională de protecție a datelor , deși regulile de determinare ale RPD pe care acesta ar trebui să le îndeplinească și modul în care acesta se ocupă de plângeri sunt complexe în unele cazuri.

+Procese, proceduri și politici

GDPR redefinește o încălcare a datelor ca fiind “o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, alterarea, divulgarea neautorizată sau accesul la date cu caracter personal transmise anterior, stocate sau prelucrate în alt mod“.

Aceasta este o definiție mai cuprinzătoare decât a fost anterior și nu ia în considerare dacă încălcarea creează prejudicii individului. Dacă sunteți vizați de o încălcare a securității datelor, trebuie să informați autoritatea națională de protecție a datelor imediat sau nu mai târziu de 72 de ore de la descoperirea încălcării.

Cu toate acestea, sunt exceptate de la notificare persoanele care au pus în aplicare măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal, cum ar fi criptarea.

O parte importantă a respectării GDPR este asigurarea confidențialității încă din faza de design, prin configurare, cum ar fi proiectarea fiecărui proces nou sau a unui produs în concordanță cu cerințele de confidențialitate. Această abordare, considerată înainte doar o măsură de bune practici, este acum o cerință explicită.

O evaluare a impactului asupra protecției datelor, cunoscută și ca o evaluare a impactului asupra vieții private (PIA), are scopul de a identifica și de a minimiza riscurile de neconformitate.

GDPR face PIA o cerință formală; în mod specific, operatorii trebuie să se asigure că PIA a fost utilizată, înainte de a începe, cu privire la orice activitate de prelucrare cu “risc ridicat”.

În cazul în care operați la nivel internațional, regulile și procesele pentru  transferul de date către jurisdicții din afara UE vor fi un criteriu important, deoarece sancțiunile pentru nerespectarea sau transferul de date către jurisdicții care nu sunt recunoscute (de către Comisia Europeană) ca având o reglementare adecvată de protecție a datelor vor deveni mult mai severe sub GDPR.

+Conștientizarea securității datelor

Acum este momentul să începeți să le explicați angajaților prevederile GDPR. Este posibil să aveți nevoie deja de planificarea procedurilor revizuite pentru a face față noilor dispoziții privind transparența și drepturile individuale ale GDPR-ui. Acest lucru ar putea avea implicații financiare semnificative, IT și de formare.

+Responsabilitate - măsuri tehnice

GDPR face operatorii de date responsabili de demonstrarea conformității cu principiile sale de protecție a datelor, astfel că va trebui să vă asigurați că aveți politici clare, implementate pentru a dovedi că îndepliniți standardele cerute prin monitorizarea în mod regulat, prin revizuirea și prin evaluarea procedurilor de procesare a datelor, construind măsuri de protecție, precum și prin a vă asigura că personalul este instruit să înțeleagă obligațiile lor – și să fie gata pentru a demonstra acest lucru, în orice moment, atunci când este necesar să facă acest lucru, dacă autoritatea națională de protecție a datelor o cere.

+Încălcarea securității datelor - măsuri tehnice

Trebuie să fiți pregătiți de o încălcare a securității datelor (definită ca fiind “o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, alterarea, divulgarea neautorizată sau accesul la date cu caracter personal transmise, stocate sau prelucrate în alt mod“), prin implementarea unor politici clare și prin testarea unor proceduri, astfel încât să se asigure că puteți reacționa și notifica orice încălcare a datelor în cazul în care este necesar.

Imposibilitatea de a raporta o încălcare atunci când este necesar să faceți acest lucru ar putea duce la o amendă, dar și pentru breșa în sine veți primi o amendă.

+Asigurarea drepturilor persoanelor vizate – din punct de vedere tehnic

GDPR consolidează drepturile persoanelor vizate , de exemplu prin adăugarea dreptului de a solicita informații cu privire la datele care sunt prelucrate despre ei înșiși, accesul la date în anumite circumstanțe, precum și corectarea datelor, care sunt greșite.

Unul dintre principalele obiective ale GDPR este de a susține drepturile indivizilor. Ca urmare, regulile de soluționare a cererilor de acces se vor schimba și va trebui să actualizați procedurile dumneavoastră pentru a reflecta acest lucru.

În cele mai multe cazuri, nu veți fi capabili să percepeți taxe pentru executarea unei cereri și în mod normal, veți avea doar o lună pentru a vă conforma, față de actuala perioadă de 30 de zile.

Dreptul de a fi uitat (“șters” în terminologia GDPR) permite persoanelor să solicite operatorii de date  să șteargă datele cu caracter personal fără întârzieri nejustificate în anumite situații, de exemplu, în cazul în care există o problemă cu legalitatea care stă la baza prelucrării sau în cazul în care își retrag consimțământul.

Părțile terțe cărora le permiteți accesul la datele personale sunt, de asemenea, acoperite de aceste norme.

GDPR definește profilarea ca fiind “orice formă de prelucrare automatizată a datelor cu caracter personal constând în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special, pentru a analiza sau de a anticipa anumite aspecte cu privire la performanța persoanei fizice la locul de muncă, situații economice, sănătate, preferințe personale, interese, fiabilitate, comportament, locație sau mișcare”; cu toate acestea, există o anumită ambiguitate cu privire la modul în care persoanele vizate de dreptul de a nu fi supuse unei decizii bazate pe profilare va fi pus în aplicare.

GDPR introduce un nou drept la portabilitatea datelor, care merge dincolo de dreptul persoanelor de a solicita furnizarea datele lor într-o formă electronică utilizate în mod frecvent și impune ca operatorul să furnizeze informații într-o formă structurată, comună și care poate fi citită ușor.

Există unele limite la această regulă, de exemplu, se aplică numai datelor cu caracter personal prelucrate prin mijloace automate.

Ca parte a obiectivului său de a consolida drepturile persoanelor, Comisia Europeană acordă, de asemenea, dreptul de a restricționa anumite operațiuni și dreptul de a se opune datelor cu caracter personal prelucrate în scopuri de marketing direct, inclusiv activități cu scopul de profilare pentru marketingul direct.

Odată ce un individ obiectează, datele acestuia nu trebuie să fie prelucrate pentru marketing direct și datele de contact ale persoanei în cauză ar trebui să fie adăugate la un fișier de suprimare in-house.

Organizațiile trebuie să informeze persoanele în cauză cu privire la dreptul lor de a se opune prelucrării datelor lor într-un mod care să fie explicit și separat de alte informații pe care aceștia trebuie să furnizeze, de asemenea, persoanelor fizice.

+Comunicarea informațiilor privind confidențialitatea (aprobări, anunțuri de prelucrare echitabile)

Este posibil să fie nevoie de o revizuire a modului în care căutați, obțineți și înregistrați acordul; consimțământul persoanei vizate asupra prelucrării datelor cu caracter personal trebuie să fie la fel de ușor de retras cum este de oferit și trebuie să fie, de asemenea, evident acordul de prelucrare a datelor cu caracter personal – nu se poate deduce dacă persoana nu exprimă un dezacord, prin folosirea unor căsuțe completate implicit sau prin inactivitate.

Ca parte a obiectivului său de a consolida drepturile persoanelor, Comisia Europeană acordă, de asemenea, dreptul de a restricționa anumite operațiuni de transformare și dreptul de a se opune datelor cu caracter personal prelucrate în scopuri de marketing direct, inclusiv activități în scopuri de marketing direct de profilare.

Odată ce un individ obiectează, datele acestuia nu trebuie să fie prelucrate pentru marketing direct, iar detaliile de contact ale individului ar trebui să fie adăugate într-un fișier de suprimare in-house. Organizațiile trebuie să informeze persoanele în cauză cu privire la dreptul lor de a se opune prelucrării datelor lor într-un mod care să fie explicit și separat de alte informații pe care aceștia trebuie să le furnizeze, de asemenea, persoanelor fizice.

GDPR va crește, probabil, gama de lucruri pe care trebuie să i le spuneți persoanelor vizate , de exemplu temeiul legal pentru prelucrarea datelor, perioadele de păstrare ale datelor și dreptul de a adresa plângeri autorității naționale de protecție a datelor în cazul în care cred că există o problemă cu modul în care sunt manipulate datelor lor; rețineți că GDPR impune ca aceste informații să fie furnizate într-un limbaj concis, clar.

+Securitatea datelor (integritatea și confidențialitatea)

GDPR stabilește principii de securitate a datelor similare celor din actuala directivă, inclusiv: corectitudinea, legalitatea și transparența; limitării scopului; reducerea la minimum a datelor; calitatea datelor; securitatea, integritatea și confidențialitatea.

Trebuie să vă asigurați că datele cu caracter personal sunt prelucrate într-o manieră care să asigure securitatea, inclusiv protecția împotriva prelucrării neautorizate sau ilegale, precum și împotriva pierderii accidentale, distrugerii sau deteriorării: “Organizația și orice furnizor de servicii externalizate trebuie să pună în aplicare măsuri tehnice și organizatorice corespunzătoare, să asigure un nivel de securitate corespunzător riscului“.

Regulamentul propune o serie de măsuri de securitate care pot fi utilizate pentru a realiza o protecție a datelor, inclusiv: pseudonimizarea și criptarea datelor cu caracter personal; capacitatea de a asigura continuu confidențialitatea, integritatea, disponibilitatea și capacitatea de rezistență a sistemelor și a serviciilor de prelucrare a datelor cu caracter personal; capacitatea de a restabili disponibilitatea și accesul la datele cu caracter personal în timp util, în cazul unui incident fizic sau tehnic; și un procedeu de testare în mod regulat și evaluarea eficienței măsurilor tehnice și organizatorice pentru asigurarea securității prelucrării datelor cu caracter personal.

GDPR descrie criptarea ca fiind o abordare care poate contribui la asigurarea respectării unora dintre obligațiile sale. Se citează din regulament:

 

Articolul 32 – Securitatea prelucrării

“1. Ținând seama de stadiul actual al tehnicii, costurile de punere în aplicare și natura, domeniul de aplicare, contextul și scopul prelucrării, precum și riscul de probabilitate și severitate variabilă a drepturilor și libertăților persoanelor fizice, operatorul și procesatorul execută măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, inclusiv după caz: (a) Pseudonimizarea și criptarea datelor cu caracter personal […] ”

 

Articolul 34 – Comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată

“3. Comunicarea persoanei vizate menționate la alineatul 1 nu este necesară în cazul în care sunt îndeplinite oricare dintre următoarele condiții: (a) operatorul a pus în aplicare măsuri tehnice și organizatorice de protecție adecvate, iar aceste măsuri au fost aplicate datelor personale afectate de încălcarea securității datelor, în special celor care fac ca datele personale neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea […] ”

 

+Documentație despre date, temei juridic și audit

Ar trebui să vă documentați pentru a vedea ce date personale dețineți, de unde au fost obținute și cu cine le partajați.

Dacă aveți date cu caracter personal inexacte și le-ați partajat cu o altă organizație, GDPR impune informarea acelei organizații terțe cu privire la datele incerte pe care le dețineți, astfel încât să poată corecta propriile sale înregistrări. Pentru a face acest lucru este posibil să aveți nevoie de un audit de informații în cadrul organizației dumneavoastră sau în cadrul anumitor domenii de activitate. Acest lucru vă va ajuta, de asemenea, la îndeplinirea principiului responsabilității GDPR-lui.

Sub incidența GDPR, ar trebui să examinați modul în care prelucrați datele cu caracter personal și să identificați temeiul juridic pe care vă bazați și să documentați aceste procese.

Acest lucru este necesar deoarece drepturile unor indivizi vor fi modificate în funcție de GDPR în funcție de temeiul legal pentru prelucrarea datelor cu caracter personal. Un exemplu este faptul că oamenii vor avea un drept mai puternic de a avea datele șterse în cazul în care utilizați acordul ca temei legal pentru prelucrare. Cu toate acestea, consimțământul este doar unul dintr-un număr de moduri diferite de legitimare a activității de prelucrare și poate să nu fie cel mai bun (deoarece poate fi retras la fel de ușor precum este oferirea lui).

Informațiile de pe această pagină web nu constituie un aviz juridic, iar utilizatorii nu trebuie să se bazeze pe exactitatea lor atunci când iau deciziilor financiare sau de afaceri. Compania ESET nu va fi răspunzătoare pentru urmările urma unor astfel de acțiuni. Întotdeauna solicitați consiliere juridică independentă.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Aproape 80% dintre companii nu sunt pregătite pentru GDPR

Un nou sondaj realizat de analiștii independenți IDC a constatat că majoritatea IMM-urilor europene nu sunt pregătite pentru GDPR. IDC a intervievat profesioniști IT din peste 700 de companii. A constatat că înțelegerea noii reglementări are în continuare un nivel scăzut.

Pentru mai multe detalii despre GDPR, primiți raportul IDC complet din partea ESET:

Înțelegerea impactului GDPR

25% deloc| 52% limitat| 22% complet

Folosim cookies pentru a ne asigura că aveți cea mai bună experiență de navigare. Mai multe informații.

OK