Prelucrarea datelor cu caracter personal cerine pentru vnztorii

Prelucrarea datelor cu caracter personal… cerințe pentru vânzătorii cu amănuntul și alte persoane juridice Expert Proiect Twinning UE: David Cauchi Activitatea proiectului: 3. 7. Data: 05 -06 decembrie 2019 Acest proiect este finanțat de Uniunea Europeană

Cadrul legislativ relevant al UE Regulamentul (UE) 2016/679. . . privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, și de abrogare a Directivei 95/46/CE. Directiva 2002/58 CE (modificată prin Dir. 2009/136). . . privind prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice

Cum vă afectează datele personale pe dvs. și afacerea dvs. ? Care este rolul dvs. ?

Operator “…persoana care singură sau în comun cu alte persoane determină mijloacele și scopurile prelucrării datelor cu caracter personal” Cine este operatorul? În cazul organizațiilor de afaceri, în mod normal, operatorul este șeful organizației sau directorul general

Persoana împuternicită de operator “…persoana care prelucrează datele cu caracter personal în numele unui operator” Cine poate fi persoana împuternicită de operator? Orice persoană sau entitate angajată de operatorul de date pentru a furniza un anumit serviciu și încredințată cu prelucrarea datelor cu caracter personal necesare pentru a oferi acest serviciu. Exemple: Furnizarea de servicii IT, contabilitate, web-hosting.

Tehnologia și jucătorii globali au schimbat radical modul de prelucrare a datelor cu caracter personal

Necesitatea unor reguli mai stricte și mai cuprinzătoare Informațiile sunt din ce în ce mai expuse riscurilor și vulnerabilităților, ducând la încălcări de securitate, spargeri (hacking) sau alte acțiuni ilegale, în special în mediul online globalizat. Provocările ce țin de protecția datelor și de confidențialitate sunt în creștere. Modernizarea setului existent de reguli de protecție a datelor a făcut parte din strategia Pieței Unice Digitale a CE. Mai multă responsabilitate, coerență și armonizare în întreaga UE și nu numai – impuls pentru îmbunătățirea standardelor minimale globale de protecție a datelor Reechilibrarea drepturilor într-o lume digitală. Oferirea securității juridice operatorilor economici.

Principalele elemente introduse în cadrul GDPR Principiul responsabilității Capacitatea demonstra conformitatea. Responsabilizarea utilizatorului Utilizatorul deține controlul printr-un tablou de confidențialitate. Opțiuni granulare. Scalabil și transparent. Confidențialitate în setări implicite.

Principiul proximității În cazul încălcărilor transfrontaliere, subiectul de date poate adresa plângeri la DPA naționale. Ghișeul unic Mecanismul de coerență și cooperare transfrontalieră între DPA-urile din UE. Abordare bazată pe riscuri și interacțiune ex-post cu DPA În mod general, nicio notificare către DPA.

Domeniul de aplicare Domeniul material de aplicare: - se aplică prelucrării datelor cu caracter personal. Domeniul teritorial de aplicare: - se aplică operatorilor de date și persoanelor împuternicite de operatorii de date stabiliți în UE; sau - fiind stabiliți în afara UE care vizează persoane din UE prin oferirea de bunuri și servicii sau prin monitorizarea comportamentului lor. În asemenea cazuri, se desemnează un reprezentant stabilit într-un stat membru al UE.

Principii Prelucrare echitabilă și legală; Limitarea scopului – colectate în scopuri specificate, explicite și legitime și nu sunt prelucrate în scopuri incompatibile; Necesitatea, proporționalitatea și minimizarea datelor – adecvate, relevante și ne-excesive în raport cu scopurile pentru care sunt prelucrate; Ștergerea sau anonimizarea în timp util; Precizie; Prelucrate într-o manieră sigură;

Păstrarea înregistrărilor Cerința generală “Datele cu caracter personal sunt păstrate în forma care permite identificarea subiecților de date nu mai mult timp decât este necesar pentru scopul prelucrării datelor cu caracter personal”

Exemple privind păstrarea Operația de prelucrare Constrângeri legale Limitări/necesități operaționale Cadru de timp (exemplu) Înregistrările HR privind vacanțele Fără termen legal Calcul anual La 1 an de la reînnoire Chitanțele clienților Legile fiscale impun păstrarea timp de 10 ani Contabilitate anuală 10 ani după anul contabil Baza de date de marketing Fără termen legal Revizuirea periodică pentru acuratețe și necesitate a datelor Revizuirea (curățarea) datelor la fiecare 3 ani Camere CCTV Fără termen legal În baza necesității Înregistrările obișnuite trebuie distruse în câteva zile (4 zile) – extrasele referitoare la incidente pot fi păstrate ca dovezi.

Criterii legale pentru prelucrare Consimțământul este unul dintre criterii, dar nu este singura opțiune pentru prelucrare. Alte criterii posibile: ü ü ü Executarea unui contract Obligație legală Interes vital Interes public Interes legitim major Organizațiile trebuie să analizeze cu atenție care criterii legale sunt adecvate pentru operațiunile lor de prelucrare. Pentru categoriile speciale de date se aplică criterii mai stricte.

Exemple privind criterii legale Criterii legale Operațiunea de prelucrare Consimțământ Utilizarea datelor cu caracter personal pentru marketing și creare de profiluri Executarea unui contract Datele privind ocuparea forței de muncă și resurse umane/ datele furnizorilor/ datele clientului necesare pentru a furniza servicii (T&C) Obligație legală Înregistrări financiare (impozite/TVA/contabilitate)/ desfășurarea diligenței pentru combaterea spălării banilor/ obligații în temeiul legislației privind ocuparea forței de muncă Interes legitim major Sisteme CCTV / Efectuarea de verificări de credit la clienții de afaceri (poate fi reglementată și prin măsuri precontractuale) Exemple de categorii speciale Rapoarte de examinare medicală/ Sănătate și securitate în muncă/ Beneficii sociale/ Leziuni la locul de muncă

Întrebare – este acesta un consimțământ valabil? “Acceptând termenii și condițiile noastre, acordați consimțământul dvs. necondiționat și irevocabil pentru prelucrarea datelor dvs. cu caracter personal, inclusiv o posibilă divulgare către terți…”

Întrebare – este acesta un consimțământ valabil? Răspunsul este clar NU! Pentru că: q Nu este manifestat într-un mod liber q Împachetat cu termeni și condiții q Nu se poate retrage q Conține o formulare vagă despre posibilitatea de dezvăluiri

Condiții pentru consimțământ manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului subiectului de date, oferită printr-o declarație sau printr-o acțiune afirmativă clară Operatorul de date trebuie să poată demonstra că subiectul de date a dat consimțământul pentru prelucrarea datelor. Consimțământul trebuie să fie prezentat într-un mod care să poată fi diferențiat în mod clar de alte aspecte. Alegere autentică și granularitate pentru diferite scopuri Utilizarea unui limbaj clar și simplu în clauzele informaționale. Prin urmare, tăcerea, casetele marcate în prealabil sau inactivitatea nu ar trebui să constituie consimțământ. Dreptul de a retrage consimțământul (la fel de ușor de retras, precum de acordat consimțământ).

Condiții pentru consimțământ Este necesar acordul explicit: - în anumite situații cu riscuri grave de protecție a datelor - unde un nivel ridicat de control individual este considerat adecvat. Consimțământul explicit se aplică în următoarele cazuri: - prelucrarea categoriilor speciale de date - transferuri de date către țări terțe în absența unor garanții adecvate - luarea automată a deciziilor individuale (creare de profiluri) Trebuie obținut într-un mod clar separat. În mod ideal, printr-o declarație scrisă pentru a înlătura îndoielile și lipsa potențială de dovezi.

Marketing direct În cazul comunicărilor de marketing trimise prin poștă convențională/ poștă sau realizate prin telefon, se aplică regimul OPT-OUT. Considerentul 47 din GDPR recunoaște că prelucrarea în scopuri de marketing direct poate fi considerată ca fiind în interes legitim. Subiectul de date are dreptul de a obiecta ü oricând ü gratuit; Acest drept trebuie să fie adus în mod explicit în atenția individului.

Marketing direct electronic În cazurile în care comunicarea de marketing este trimisă prin e-mail, fax, apeluri automatizate sau SMS, se aplică regimul OPT-IN. acordul prealabil în scris Excepție (SOFT OPT-IN) În cazul în care datele de contact sunt obținute în contextul unei vânzări și cu condiția ca acestea să fie utilizate de aceeași companie pentru a comercializa produse sau servicii similare. Opt-out trebuie oferit la obținerea informațiilor și cu fiecare mesaj trimis.

Prelucrarea într-un mediu online Cookies Consimțământ activ și granular pentru utilizarea cookieurilor. Distincția dintre cookie-uri de sesiune și cookie-uri comportamentale sau analitice Prelucrarea prin intermediul altor instrumente terțe încorporate pe site-ul dvs. web (de exemplu, pixeli facebook și analitica Google). Asigurați activarea specifică opt-in prin bara de notificare cookie. Informațiile trebuie furnizate în mod ideal printr-o politică specifică privind cookie-urile și ca parte a notificării complete privind politicile.

Prelucrarea într-un mediu online Alt tip de prelucrare online Cereri de servicii online sau formulare de contact Abonament prin e-mail Date financiare pentru plăți online Prelucrare prin intermediul altor furnizori de servicii (de ex. servicii de plată / website hosting) Considerații Informații obligatorii vs voluntare? Baza legală – T&C, consimțământ, altele? Informații suficiente privind notificarea de confidențialitate? Contracte cu terți?

Informații pentru subiecții de date Principiul transparenței Oferite la momentul colectării datelor cu caracter personal de la subiecții de date Informații care să includă: - scopurile prelucrării - intenția de a transfera date personale într-o țară terță - perioada de retenție sau criteriile utilizate pentru a determina perioada respectivă - existența drepturilor de protecție a datelor - dreptul de retragere a consimțământului - dreptul de a depune o plângere la DPA - existența luării deciziilor automate.

Informații pentru subiecții de date Folosirea unui limbaj clar și simplu Ușor accesibil Utilizarea notificărilor stratificate pentru a evita oboseala de la informații: - informațiile nu sunt furnizate într-o singură notificare - permițând utilizatorilor să navigheze prin secțiunea pe care doresc să o citească - primul strat trebuie să ofere o imagine clară de ansamblu asupra informațiilor (informații care au cel mai mare impact asupra subiecților de date) - indicație clară unde se pot găsi informații suplimentare Încorporarea în arhitectură a unui tablou de confidențialitate – un singur punct în care puteți vizualiza informațiile de confidențialitate și gestiona preferințele.

Exemplu – anunțuri stratificate Cum vom folosi informațiile despre tine? Procesați comanda, gestionați-vă contul, personalizați-vă utilizarea site-ului web și postați oferte de alte produse și servicii pe care vi le oferim (dacă sunteți de acord). Poate fi împărtășită cu membrii grupului nostru de companii (dacă sunteți de acord). Nu va fi împărtășită - în scopuri de marketing în afara grupului nostru. Vă rugăm să urmați acest link pentru informații suplimentare. Sursa – site-ul ICO

Exemplu – anunțuri la timp potrivit Creează un cont Titlu: Mr. Nume: Joe Bloggs Adresa de email: Nume utilizator: Parola: Confirma parola: Creează cont: Folosim adresa dvs. de e-mail ca parte a permisiunii de acces la contul dvs. și pentru a vă oferi detalii despre produsele noastre care vă pot interesa. Vă rugăm să urmați acest link pentru informații suplimentare. Sursa – site-ul ICO

Dreptul de acces Operatorul de date trebuie să furnizeze, în termen de o lună, o copie a datelor cu caracter personal în curs de prelucrare împreună cu accesul la alte informații: - scopul prelucrării - categorii de date vizate cu caracter personal - destinatarii cărora le-au fost dezvăluite datele personale - atunci când este posibil, perioada prevăzută de păstrare - existența drepturilor de rectificare, ștergere sau restricționare a prelucrării - dreptul de a depune o plângere la DPA - existența procesului decizional automatizat, inclusiv crearea de profiluri și alte informații semnificative despre logica implicată și consecințele preconizate.

Drepturile subiectului de date Informație Acces Rectificare Ștergere Restricţionare Portabilitate Obiecţie Revizuirea automatizării

Rolul persoanei împuternicite de operator GDPR consolidează obligațiile prin introducerea mai multor reguli prescriptive privind persoanele împuternicite de operatori: - Operatorii utilizează numai persoane împuternicite de operator care asigură suficiente garanții pentru respectarea GDPR (trebuie să se efectueze diligența respectivă); - Sub-prelucrarea este permisă doar cu autorizarea anticipată în scris a operatorului de date; - Prelucrarea este reglementată prin intermediul unui contract obligatoriu, în principal necesitând ca persoana împuternicită de operator să acționeze numai pe baza instrucțiunilor scrise primite de la operator (inclusiv autorizarea pentru sub-prelucrare) și să asigure securitatea și confidențialitatea. GDPR extinde responsabilitățile operatorilor asupra persoanelor împuternicite de operatori pentru anumite obligații.

Notificarea încălcării datelor cu caracter personal Notificarea DPA Încălcare a datelor cu caracter personal Risc ridicat ? DA - Natura încălcării datelor >72 ore - Consecințe probabile - Măsuri luate sau propuse NU Se iau toate măsurile necesare pentru atenuarea efectelor posibile asupra datelor cu caracter personal Fără întârzieri nejustific ate Notificarea subiecților de date - Date de contact ale DPO - Consecințe probabile - Măsuri luate sau propuse Nu este necesară nici o notificare dacă: - Sunt implementate măsuri care fac ca datele să fie neinteligibile - Riscul mare nu se va materializa - Este implicat un efort disproporționat

Securitatea prelucrării Operatorul de date implementează măsuri organizatorice și tehnice adecvate pentru a asigura un nivel de securitate adecvat riscului, inclusiv: - pseudonimizarea și criptarea datelor - capacitatea de a asigura integritatea continuă și rezistența sistemelor de prelucrare - capacitatea de a restabili disponibilitatea sistemelor de prelucrare în timp util în caz de incident - testarea periodică, estimarea și evaluarea eficacității măsurilor de securitate. Pentru a demonstra conformitatea cu cerințele de securitate, operatorul poate respecta: - un cod de conduită aprobat (elaborat de asociații sau organisme care reprezintă sectorul) - un mecanism de certificare aprobat.

Protecția datelor începând cu momentul conceperii și protecția implicită a datelor Trebuie luată în considerare într-un stadiu incipient și pe tot parcursul ciclului de viață (de exemplu, dezvoltarea sistemelor IT, introducerea legislației sau a măsurilor care afectează confidențialitatea). Protecția datelor încorporată în proiect. Măsuri proactive și preventive, favorabile confidențialității (de exemplu, pseudonimizare, minimizarea datelor). Măsuri implicite adaptate pentru a proteja în mod automat confidențialitatea individului (de exemplu, perioade de stocare prestabilite, colectare și accesibilitate limitată a datelor, opțiuni ușor de utilizat).

Evaluarea impactului privind protecția datelor Se solicită efectuarea obligatorie de către operator în următoarele cazuri: - operațiunea de prelucrare poate duce la risc ridicat; - evaluarea sistematică și cuprinzătoare a subiecților de date pe baza prelucrării automate (inclusiv crearea de profiluri); - prelucrarea unor categorii speciale de date cu caracter personal la scara largă. Este necesară consultarea prealabilă cu DPA în cazul în care evaluarea impactului privind protecția datelor indică faptul că prelucrarea implică un risc ridicat pentru subiecții de date.

Responsabilul de protecția datelor (DPO) Desemnarea obligatorie în următoarele cazuri: - prelucrarea efectuată de autoritățile/organismele publice - monitorizarea regulată și sistematică a subiecților de date la scară largă - prelucrarea unor categorii speciale de date la scară largă. Un singur DPO poate fi desemnat să servească pentru un grup de întreprinderi sau autorități/organisme publice. GDPR solicită DPO să aibă cunoștințe de specialitate privind legislația ce ține de protecția datelor.

Responsabilul de protecția datelor (DPO) Poziția și sarcinile DPO: - membru al personalului sau angajat în baza contractului de prestare a serviciilor - trebuie să poată lucra independent - implicarea în materiile ce țin de protecția datelor - informarea și consilierea operatorului/persoanei împuternicite de operator; - monitorizarea respectării; - furnizarea consilierii și monitorizarea evaluării impactului privind protecția datelor; - cooperează cu DPA; - acționează ca punct de contact pentru subiecții de date și DPA. Operatorul sau persoana împuternicită de operator publică datele de contact ale DPO și le comunică DPA.

Transferuri de date Exemple ü ü Achiziționarea sau vânzarea de bunuri în diferite locații Stocarea datelor pe serverele la distanță în străinătate Accesarea sistemelor din mai multe locații Transmiterea datelor cu caracter personal prin e-mail sau alte platforme utilizate frecvent. Nu sunt necesare formalități suplimentare pentru transferurile intra-UE (se aplică GDPR) Transferurile către statele din afara UE/SEE necesită una dintre următoarele: ü Decizia privind caracterul adecvat ü Garanții adecvate (de exemplu, clauze standard/BCR) ü Calificarea pentru una dintre derogări

Efectuarea auditurilor DP Etapele relevante ü Inventarierea datelor și cartografierea operațiunilor de prelucrare ü Determinarea sferei de audit și metodologiei - Conformitate juridică și generală - Nivel tehnic și de date - Funcțional sau departamental, de ex. baza de date de marketing ü Pregătirea și utilizarea listelor de verificare specifice în funcție de sfera de aplicare ü Efectuarea auditului presupune – culegerea informațiilor, verificarea și evaluarea (revizuirea politicilor și procedurilor, efectuarea interviurilor și, de asemenea, prelevarea de probe și verificarea înregistrărilor specifice) ü Raportarea constatărilor și abordarea lacunele de conformitate

Aplicarea în cadrul IMM-urilor Câteva exemple Autoritatea pentru protecția datelor Sancțiune € Organizare Tipul încălcării Belgia 10, 000 Comerciant Utilizarea e-ID pentru a crea cardul de client – acces ilegal la e-ID, inclusiv fotografie și cod de bare, corelat cu numărul de identificare al persoanei fizice. Polonia 47, 000 Click. Quick. Now Obstrucționarea dreptului de retragere a consimțământului și ștergerea datelor. Franța 180, 000 Active Assurances (asigurător auto) Măsuri insuficiente de securitate, ceea ce duce la o cantitate foarte mare de documente ale clienților plasate online. Austria 50, 000 Companie în sectorul Nerespectarea obligațiilor de informare și medical pentru că nu a fost desemnat un responsabil pentru protecția datelor.

Observații finale Verificați procesele curente care implică date cu caracter personal și identificați lacunele de conformitate. Examinați structura internă a organizației și introduceți modificările necesare, după cum este necesar. Setați corect prioritățile voastre de afaceri! Respectarea protecției datelor este o afacere bună, deoarece creează și îmbunătățește încrederea în dvs. a comunității de afaceri și a publicului.