ANSPDCP Nouti Regulamentul General privind Protecia Datelor 20

ANSPDCP Noutăți Regulamentul General privind Protecția Datelor 20 iunie 2018 www. dataprotection. ro

NOUTĂȚI - Regulamentul general privind protecția datelor Ø Înființarea funcției de responsabil cu protecția datelor Ø Extinderea sferei de aplicabilitate teritorială a RGDP asupra prelucrărilor efectuate de un operator sau împuternicit care nu e stabilit în UE, dacă se oferă bunuri sau servicii către persoane aflate în UE sau se monitorizează comportamentul persoanelor din UE Ø Modificarea sferei de aplicabilitate materială – Directiva 2016/680

NOUTĂȚI - Regulamentul general privind protecția datelor Ø Păstrarea evidenței prelucrărilor – cartografierea Ø Evaluarea de impact Ø Noi drepturi – restricționarea prelucrării, portabilitatea, dreptul de a fi uitat Ø Notificarea încălcărilor de securitate la ANSPDCP

NOUTĂȚI - Regulamentul general privind protecția datelor § Aplicabilitate materială (art. 2 RGDP) asupra tuturor prelucrărilor de date personale, cu excepția: - celor efectuate de o persoană fizică în cadrul unei activități exclusiv personale sau domestice - celor realizate de autoritățile competente în scopul prevenirii și combaterii infracțiunilor - Directiva 2016/680 - activităților care nu intră sub incidența dreptului UE - activităților care intră sub incidența cap. 2 titlul V din Tratatul UE

NOUTĂȚI - Regulamentul general privind protecția datelor Aplicabilitate teritorială (art. 3 RGDP) - asupra prelucrărilor efectuate de un operator sau împuternicit cu sediul în UE § § - asupra prelucrărilor de date personale unor persoane aflate în UE, efectuate de un operator sau împuternicit care nu e stabilit în UE, dacă : se oferă bunuri sau servicii către persoane aflate în UE se monitorizează comportamentul persoanelor din UE

NOUTĂȚI - Regulamentul general privind protecția datelor § Responsabilul de protecţia datelor – obligatoriu - autoritățile publice, cu excepția instanțelor judecătorești - toți operatorii care realizează monitorizări pe scară largă a persoanelor fizice sau prelucrări pe scară largă a unor categorii speciale de date prev. de art. 9 si 10 RGDP (ex. origine etnică, orientare politică, religioasă, date genetice, biometrice, privind sănătate sau referitoare la infracțiuni) § Desfiinţarea actualului sistem de notificare a prelucrărilor de date la ANSPDCP

Implicații - Regulamentul general privind protecția datelor Responsabilul de protecţia datelor - din cadrul personalului operatorului/împuternicitului, răspundere directă față de conducător – statut special - pe baza de contract de prestări servicii

Implicații - Regulamentul general privind protecția datelor Condiții de numire – art. 37 RGDP q calități profesionale q q cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor capacitate de îndeplinire a sarcinilor

Implicații - Regulamentul general privind protecția datelor SARCINI q de a informa şi consilia operatorul/persoana împuternicită de operator, precum şi angajaţii care se ocupă de prelucrări de date q de a monitoriza respectarea RGDP, a altor dispoziţii de drept al Uniunii sau naționale referitoare la protecţia datelor q de a consilia operatorul în realizarea unei evaluări de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia q de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta

NOUTĂȚI - Regulamentul general privind protecția datelor Evidenta prelucrarilor –art. 30 RGDP Operatorii trebuie sa identifice: l diferitele prelucrări de date cu caracter personal; l categoriile de date cu caracter personal prelucrate; l scopurile urmărite l persoanele care prelucrează aceste date; l fluxurile de date, indicând originea și destinația datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene

NOUTĂȚI - Regulamentul general privind protecția datelor Evaluarea de impact –art. 35 Situatii cu risc: - prelucrări automate ce implică evaluări sistematice ale persoanelor, inclusiv profiling prelucrari pe scară largă de date sensibile monitorizări sistematice pe scară largă de zone accesibile publicului

NOUTĂȚI - Regulamentul general privind protecția datelor Incălcarea securității datelor – notificare Art. 33 -34 RGDP Termen – cel mult 72 de ore de la data luării la cunoștință se anunță ANSPDCP

NOUTĂȚI - Regulamentul general privind protecția datelor Art. 25 RGDP privacy by design / privacy by default Asigurarea protecției datelor din momentul conceperii și în mod implicit Operatorul, în momentul stabilirii mijloacelor de prelucrare și al prelucrării efective, pune în aplicare măsuri tehnice și organizatorice adecvate destinate să aplice eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării

NOUTĂȚI - Regulamentul general privind protecția datelor Responsabilitatea operatorului Operatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea respectă Regulamentul art. 24 RGDP

NOUTĂȚI - Regulamentul general privind protecția datelor Responsabilitatea împuternicitului Împuternicitul acționează pe baza unui contract sau a unui alt act juridic în raporturile cu operatorul, în condițiile art. 28 RGDP (instrucțiuni documentate de operator, asigurarea confidențialității și securității prelucrării)

NOUTĂȚI - Regulamentul general privind protecția datelor Drepturile persoanelor fizice: 1. dreptul de informare – art. 13 -14 RGDP 2. dreptul de acces – art. 15 RGDP 3. dreptul la rectificarea datelor – art. 16 RGDP 4. dreptul de a fi uitat – art. 17 RGDP 5. dreptul la restricționarea prelucrării – art. 18 RGDP 6. dreptul la portabilitatea datelor – art. 20 RGDP 7. dreptul la opoziție – art. 21 RGDP 8. dreptul de a nu fi supus unei decizii automate – art. 22 RGDP

NOUTĂȚI - Regulamentul general privind protecția datelor Noi drepturi ale persoanelor fizice: 1. dreptul de a fi uitat – art. 17 RGDP 2. dreptul la portabilitatea datelor – art. 20 RGDP 3. dreptul la restricționarea prelucrării – art. 18 RGDP

NOUTĂȚI - Regulamentul general privind protecția datelor Dreptul la ștergerea datelor - Dreptul de a fi uitat – art. 17 RGDP – Persoana poate cere ștergerea datelor când: - nu mai sunt necesare - se retrage consimțământul și nu există alt temei legal - persoana se opune prelucrării conform art. 21 RGDP - au fost prelucrate ilegal - există o obligație legală a operatorului - s-au colectat datele minorilor pentru oferirea de servicii ale societății informaționale

NOUTĂȚI - Regulamentul general privind protecția datelor Dreptul la portabilitatea datelor – art. 20 RGDP a) Persoana poate obține datele furnizate operatorului, într-un format structurat, care poate fi citit automat, dacă : - prelucrarea este efectuată prin mijloace automate - dacă se bazează pe consimțământ, în temeiul art. 6 (1) lit. a) sau art. 9 (2) lit. a) RGDP (date speciale) ori pe un contract la care este parte

NOUTĂȚI - Regulamentul general privind protecția datelor Dreptul la portabilitatea datelor – art. 20 RGDP b) Persoana vizată poate cere ca datele sale personale să fie transmise direct de la un operator la altul, dacă este fezabil tehnic

Noutăți - Regulamentul general privind protecția datelor Dreptul la restricționarea prelucrării – art. 18 RGDP - pe perioada în care persoana contestă exactitatea datelor când prelucrarea este ilegală și persoana vizată se opune ștergerii, solicitând restricționarea operatorul nu mai are nevoie de date, dar persoana le solicită pentru o acțiune pe rol instanței dacă persoana s-a opus prelucrării, pe perioada verificării

NOUTĂȚI - Regulamentul general privind protecția datelor Regim sancționator – art. 83 RGDP - Mustrare Măsuri de ștergere/încetare/suspendare/altele Amendă de până la 10 sau 20 mil. euro ori Amendă de până la 4% din cifra de afaceri mondială totală anuală criterii de individualizare –art. 83 RGDP

ANSPDCP B-dul Gheorghe Magheru nr. 28 -30 Sectorul 1 Municipiul Bucureşti anspdcp@dataprotection. ro www. dataprotection. ro Alina Săvoiu