PROTECTIA DATELOR CU CARACTER PERSONAL Oana Luisa Dumitru
- Slides: 68
PROTECTIA DATELOR CU CARACTER PERSONAL Oana Luisa Dumitru Project Activity: 2. 11 Date: 18. 11. 2019 – 22. 11. 2019 This project is funded by the European Union
PROTECTIA DATELOR: TERMENI SI DEFINITII (1) Date cu caracter personal Operator Imputernicit Prelucrare Date cu caracter special Reprezentant
PROTECTIA DATELOR: TERMENI SI DEFINITII (2) Date cu caracter personal Date cu caracter special Orice informatii privind o persoana date privind originea etnica sau rasiala fizica identificata sau identificabila date privind opiniile politice (persoana vizata), direct sau indirect, date privind confesiunea religioasa cum ar fi nume, prenume, numar de sau convingerile filozofice identificare, date de geolocalizare, apartenenta la sindicate identificator online (adresa IP, cookie IP) si orice elemente specifice date genetice, data biometrice identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale date privind sanatatea sau sociale date privind viata sexuala sau orientarea sexuala
PROTECTIA DATELOR: TERMENI SI DEFINITII (3) Prelucrare operatiune set de operatiuni colectarea inregistrarea organizarea structurarea stocarea adaptarea sau modificarea extragerea consultarea utilizarea divulgarea prin transmitere diseminarea sau punerea la dispozitie prin orice alt mod alinierea sau combinarea restrictionarea stergerea sau distrugerea
PROTECTIA DATELOR: TERMENI SI DEFINITII (4) Operator Persoana imputernicita de operator Operator asociat Persoana fizica sau juridica, autoritatea publica, agentia sau al organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern Persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului Doi sau mai multi operatori care stabilesc in comun scopurile si mijloacele de prelucrare
PROTECTIA DATELOR: TERMENI SI DEFINITII (5) Este important sa distingem intre operator si persoana imputernicita: Ø RGPD prevede obligatia de a încheia un contract; Ø distinctia poate avea consecinte semnificative in practica; Ø in cazul in care exista o incalcare a securitatii datelor, este important ca toate entitatile implicate si autoritatea de supraveghere sa poata stabili partile responsabile; Ø este important ca acest lucru sa se realizeze devreme, in special inainte de inceperea prelucrarii; Ø determinarea rolurilor asigura evitarea lacunelor in responsabilitatile organizatiilor, evitandu-se situatiile in care cererile persoanelor vizate sa nu primeasca un răspuns, de exemplu.
PROTECTIA DATELOR: TERMENI SI DEFINITII (6) Cum determinam rolul părților în cadrul prelucrării? Pentru a stabili existenta rolului de operator, trebuie determinata organizatia care decide: Ø colectarea datelor cu caracter personal si temeiul legal pentru aceasta; Ø care sunt categoriile de date cu caracter personal care trebuie colectate; Ø scopul sau scopurile pentru care sunt utilizate datele personale; Ø persoanele vizate; Ø dacă datele vor fi dezvaluite si, in caz afirmativ, catre cine; Ø solutioneaza cererile persoanelor vizate de exercitare a drepturilor; Ø pentru cat timp sunt pastrate datele Operatorul exercita controlul global asupra scopului pentru care sunt prelucrate datele cu caracter personal (scopul prelucrarii) si a modului in care se desfasoara operatiunea de prelucrare a datelor.
APLICABILITATE MATERIALA Toate prelucrările de date cu caracter personal n n Exceptii n n prelucrări efectuate de o persoană fizică în cadrul unei activități exclusiv personale sau domestice prelucrări realizate de autoritățile competente în scopul prevenirii și combaterii infracțiunilor – Directiva 2016/680 activități care nu intră sub incidența dreptului UE activități care intră sub incidența cap. 2 titlul V din Tratatul UE
APLICABILITATE TERITORIALA RGPD este aplicabil: • Prelucrarilor de date personal in cadrul activitatilor unui sediu al unui operator sau al unui imputernicit pe teritoriu Uniunii Ø chiar daca prelucrarea nu are loc pe teritoriul Uniunii; Ø sediul presupune exercitarea unei activiati in mod efectiv si real indiferent de dimensiune. • Prelucrărilor de date personale unor persoane vizate aflate în Uniune, efectuate de un operator sau împuternicit care nu e stabilit în Uniune, dacă prelucrarile sunt legate de: Ø oferirea de bunuri sau servicii către persoane aflate în Uniune Ø monitorizarea comportamentului persoanelor din Uniune
PRINCIPIILE SI TEMEIURILE PRELUCRARII • Orice prelucrare trebuie realizata: Ø cu respectarea principiilor prelucrarii datelor, Ø in baza unuia dintre temeiurile expres prevazute de Regulament General pentru Protectia Datelor, Ø avand capacitatea demonstra respectarea prevederilor Regulamentului General pentru Protectia Datelor.
PRINCIPIILE PRELUCRARII DATELOR (1) Legalitate Echitate Transparenta Scop determinat, Explicit, Legitim Adecvata, Relevanta, Necesara (minimizare) DEMONSTRAREA CONFORMITATII Exactitate, Actualitate Stocare limitata Integritate, Confidentialitate
TEMEIURILE PRELUCRARII DATELOR Obligatie legala a operatorului Executarea unui contract Consimtamant explicit Interesele vitale persoanei vizate Interesul legitim al operatorului Sarcina de interes public
TEMEIURILE PRELUCRARII DATELOR CU CARACTER SPECIAL Raporturi de munca si protectie sociala Protejarea intereselor vitale persoanei vizate Activitati ale organizatiilor non-profit (membri) Arhivare, cercetare, statistica Consimtamant expres Sanatate publica Diagnoza si tratament medical Interes public major Date facute publice de persoana vizata Actiuni judiciare
CONSIMTAMANT • Cand folosim consimtamantul? • Ce este un consimtamant valabil? • Cum il obtinem si cum il administram?
CAND? - Nu, exista alte cinci temeiuri. - Da, am nevoie daca NU am alt temei Am nevoie sau trebuie? - scop incompatibil - date sensibile - marketing EXEMPLE Cand ar putea fi adecvat? - Profilare - NU se ofera o alegere autentica Cand este neadecvat? EXEMPLE - prelucrare ulterioara - pre-conditie pentru oferirea unui serviciu - pozitie dominanta
CONDITII – CONSIMTAMANT VALABIL (1) Regulamentul General privind Protectia Datelor • Consimtamant: Ø Orice indicatie liber exprimata, specifica, in cunostinta de cauza si clara acordata printr-o declaratie sau o actiune fara echivoc; • Liber exprimat: Ø Consimtamantul nu este valabil daca persoana vizata nu are o alegere reala sau este in imposibilitatea de a refuza sau de a-si retrage consimtamantul cand exista un dezechilibru intre operator si persoana vizata.
CONDITII – CONSIMTAMANT VALABIL (2) n In cunostinta de cauza (informat): Ø Operatorul se asigura ca: § Foloseste o maniera inteligibila si usor accesibila, utilizand un limbaj clar si simplu; § Informeaza persoana vizata cel putin cu privire la identitatea operatorului, datele de contact ale responsabilului cu protectia datelor, dupa caz, scopul(urile) prelucrarii, destinatarii datelor, statele catre care sunt transferate datele, dupa caz.
CONDITII – CONSIMTAMANT VALABIL (3) n Tacerea nu reprezinta consimtamant: Ø n Metode de obtinere a consimtamantului: Ø Regulamentul recunoaste validitatea unor metode general utilizate; Ø n Exemplu: absenta unui raspuns, casuta bifata in prealabil, acceptare tacita; Exemplu: bifarea unor casute, alegerea unor caracteristici ale unor aplicatii sau orice alta declaratie care indica in mod clar acordul; Cererea de consimtamant distincta de orice alte aspecte: Ø In cazul unei declaratii care se refera si la alte aspecte, cererea privind obinerea consimtamantului trebuie sa fie prezentata distinct, intr-o maniera inteligibila, accesibila, utilizant un limbaj clar si simplu;
CONDITII – CONSIMTAMANT VALABIL (4) n Dovada consimtamantului: Ø Regulamentul prevede in mod expres ca operatorul trebuie sa fie capabil sa dovedeasca obtinerea consimtamantului; n Dreptul persoanei vizate de a-si retrage consimtamantul: Ø Regulamentul recunoaste in mod expres acest drept; Ø persoana vizata trebuie informata cu privire la dreptul de retragere anterior obtinerii consimtamantului; Ø dreptul de retragere trebuie sa poata fi exercitat usor (in aceeasi maniera in care a fost acordat); Ø dupa retragerea consimtamantului, prelucrarea poate continua numai daca exista un alt temei pentru prelucrare.
CONDITII – CONSIMTAMANT VALABIL (6) • Consimtamantul acordat anterior datei de 25 mai 2018 poate ramane temei legal pentru prelucrarea datelor cu caracter personal ulterior datei de aplicare a Regulamentului General pentru Protectia Datelor daca intruneste conditiile de validitate prevazute de Regulament: retractabil limbaj clar si simplu alegere libera autentica actiune afirmativa clara fara dezechilibru de forte distinct de alte aspecte pentru orice activitate de prelucrare (granular) pentru orice scop al prelucrarii
INTERES LEGITIM REGLEMENTARE n Art. 6 (1) (f) GDPR Ø “Prelucrarea este legală numai dacă și în măsura în care se aplică […]: prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil” n Opinia nr. 6/2014 a GL 29 (EDPB) privind noţiunea de interes legitim al operatorului conform art. 7 din Directiva 95/46/EC
EVALUAREA INTERESULUI LEGITIM – CAND? n Evaluarea interesului legitim: interes legitim vs. interesele, drepturile și libertățile fundamentale persoane vizate n GDPR nu conține o obligație expresă de efectuare a evaluarii intererului legitim n Autoritatea din UK (ICO) – evaluarea interesului legitim trebuie efectuată în toate cazurile (principiul responsabilității)
Evaluarea interesului legitim – CE? n + Garanții/Acțiuni de salvgardare/ Riscuri reziduale n FAZA 3 – Testul echilibrului n FAZA 2 – Testul necesității n FAZA 1 – Testul scopului
Faza 1 – Testul scopului Definim interesul legitim urmarit (scopul): Interesul legitim poate fi: al operatorului Ø Un interes individual » fidelizarea angajatilor » monitorizarea activitatii angajatilor » evaluarea riscurilor si prevenirea fraudelor » promovarea imaginii entitatii Ø Un interes general » cercetare medicala » studii clinice » dezvoltare educationala » suport pentru persoane vulnerabile (spre ex. persoane cu handicap) Interesul legitim poate fi: al unei terte persoane
Faza 2 – Testul necesitatii (1) Metode de prelucrare mai putin intruzive pentru acelasi scop Prelucrare nu trebuie sa fie absolut indispensabila, dar nici nu poate fi doar utila sau convenabila
Faza 2 – Testul necesitatii (2) Ø Este prelucrarea necesară? Ø Ø DA Ø Este prelucrarea necesară? Ø DA Ø Există mijloace mai puțin intruzive? Ø Nu Ø Testul necesității CONFIRMAT Ø DA Ø Testul necesității CONFIRMAT, dacă se folosesc acele mijloace mai puțin intruzive sau Ø dacă mijloacele mai puțin intruzive sunt disproporționate Ø Ø Este prelucrarea necesară? Ø NU Ø Există mijloace mai puțin intruzive? Ø IRELEVANT Ø Diagnostic: testul necesității INFIRMAT
Faza 3 – Testul echilibrului (1) Evaluarea echilibrului interes legitim vs. interesele sau drepturile si libertatile fundamentale persoanelor vizate Criterii de evaluare: Ønatura si volumul datelor prelucrate Ø modalitatea in care datele sunt prelucrate Ø asteptarile rezonabile ale persoanelor vizate Ø impactul pe care prelucrarea il are asupra persoanelor vizate Ø situatia particulara a operatorului
Faza 3 – Testul echilibrului (2) • Natura si volumul datelor prelucrate Ø Date cu grad ridicat de sensibilitate: Ø Date cu caracter special Ø Numere de identificare nationala (spre ex. CNP, seria si numar CI, pasaport) Ø Date privind situatia financiara sau fiscala Ø Date cunoscute publicului sau nu • Asteptarile rezonabile ale persoanelor vizate Ø Informarea persoanelor vizate Ø Raporturile pre-existente dintre operator si persoanele vizate
Faza 3 – Testul echilibrului (3) Impactul asupra persoanelor vizate – a nu se confunda cu prejudiciul Consecinte pozitive: • evaluarea rapida si eficienta a riscurilor • prevenirea fraudelor • posibilitatea de identifica si corecta erori • dezvoltarea profesionala continua a angajatilor • securitatea bunilor si persoanelor Consecinte negative: • excluderea anumitor categorii de persoane • conditii mai oneroase pentru anumite categorii de persoane • eventuala prelucrare a unor date care exceda scopului previzionat • un posibil acces neautorizat al tertilor la datele personale prelucrate • pierderi de date personale prelucrate
Faza 3 – Testul echilibrului (4) Situatia particulara a operatorului Tipul de industrie in care activeaza operatorul Entitate publica vs. Entitate privata
Evaluarea interesului legitim – Garanții / măsuri de protectie • Limitarea tipurilor de date prelucrate • Limitarea cazurilor de prelucrare a datelor (in special atunci cand prelucrarea produce efecte negative) • Cresterea transparentei prelucrarii • Limitarea perioadei de stocare a datelor • Intensificarea mecanismelor drepturilor persoanelor vizate de exercitare a • Restrictionarea accesului la date • Utilizarea tehnicilor de anonimizare, privacy by design, realizarea evaluarii impactului asupra protectiei datelor
Recomandari • Fiti obiectivi cand efectuati evaluarea interesului legitim • Intensificati garantiile/masurile de protectie • Daca rezultatul evaluarii interesului legitim este negativ: Ø identificati un alt temei de prelucrare sau Ø nu efectuati/incetati prelucrarea • Daca rezultatul evalurii interesului legitim este neconcludent: Ø efectuarea unei evaluarii de impact • Revizuiti evaluarea periodic sau ori de cate ori se modifica conditiile de prelucrare
DREPTURILE PERSOANELOR VIZATE Informare Acces Rectificare Stergere Restrictionarea prelucrarii Portabilitatea datelor Opozitie Decizii automate, profilare
EXERCITAREA DREPTURILOR • Transparenta • Conditii Ø limbaj clar, simplu (minor) Ø forma concisa, transparenta, inteligibila si usor accesibila Ø in scris/electronic/verbal Ø gratuit (exceptii – refuz, taxa rezonabila) • Termene Ø > 1 luna Ø maximum 3 luni Ø 1 luna – prelungire termen/refuz adoptare masuri + motive + drept plangere DPA + actiune in instanta
DREPTURI NOI PENTRU PERSOANA VIZATA – SUM UP • Unul din obiectivele Regulamentului General pentru Protectia Datelor este acela de a oferi persoanelor vizate un control asupra propriilor date cu caracter personal: Ø pastreaza drepturile existente; Ø consolideaza drepturile existente; Ø reglementeaza drepturi noi: dreptul de a fi uitat, dreptul la restrictionarea prelucrarii, dreptul la portabilitatea datelor;
RECOMANDARI DE BUNE PRACTICI • Transparență (site) • Proceduri privind exercitarea drepturilor • Formulare specifice • Instruirea personalului • Consultarea DPO/ANSPDCP
QUESTION TIME
PRINCIPALELE OBLIGATII ALE OPERATORILOR (1) • Regulamentul General pentru Protectia Datelor creeaza un cadrul din care rezulta o serie de obligatii pentru operatorii de date, inclusiv: Ø se supun principiului responsabilitatii (accountability) potrivit caruia trebuie sa se conformeze si sa demonstreze conformitatea; Ø asigura respectarea principiilor protectiei datelor cu caracter personal atat la momentul conceperii activitatilor de prelucrare (privacy by design), cat si in mod implicit (privacy by default); Ø au obligatia de a notifica incalcarea securitatii datelor;
PRINCIPALELE OBLIGATII ALE OPERATORILOR (2) SECURITATEA PRELUCRARII • Prin masuri tehnice si organizatori, incluzand printre altele: Ø pseudonimizarea si criptarea datelor cu caracter personal; Ø capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in caz de incident; Ø testare si evaluare periodice ale masurilor implementate; Ø capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta sistemelor de prelucrare; • Aderarea la un cod de conduita sau la un mecanism de certificare aprobat poate fi o forma demonstra indeplinirea obligatiei de asigurare a securitatii datelor.
PRINCIPALELE OBLIGATII ALE OPERATORILOR (3) Cerinte de securitate: Ø acces utilizatori - contul personal (nume de login, nume utilizator) si cel putin o modalitate de autentificare (parola, certificat) Ø programatorii care dezvolta aplicatiile care prelucreaza datele cu caracter personal nu au acces la datele cu caracter personal Ø activitate de pregatire a utilizatorilor – se folosesc date anonime Ø fisiere (registre) de acces (log) Ø reguli privind dispunerea computerelor si a terminalelor de acces Ø sistem de telecomunicatii securizat Ø folosirea de metode de criptare pentru transmiterea datelor cu caracter personal Ø copii de siguranţă (backup) Ø verificari periodice privind accesul si nivelul de acces ale utilizatorilor la datele cu caracter personal. Ø documentele care conţin date cu caracter personal pastrate in fisete sau dulapuri inchise cu cheie sau cu un alt mecanism de securizare
PRINCIPALELE OBLIGATII ALE OPERATORILOR (4) NOTIFICAREA INCALCARII Incalcarea securitatii datelor o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod sau la accesul neautorizat la acestea
INCALCARI SECURITATE • Un salariat isi pierde calculatorul intr-un aeroport si informatia de pe drive nu este criptata • Un salariat trimite un e-mail continand nume si contacte ale clientilor catre agentia de marketing dar, din greseala, il trimite catre o adresa de e-mail gresita • Un port USB ne-criptat cu date ale clientilor este lasat intr-o statie de tren • Un atac cibernetic DE
PRINCIPALELE OBLIGATII ALE OPERATORILOR (5) NOTIFICAREA INCALCARII • Operatorul tine incalcarilor; evidenta tuturor • Daca incalcarea genereaza un risc pentru persoana vizata: ü incalcarea este notificata ANSPDCP fara intarzieri nejustificate, in termen de cel mult 72 de ore; ü notificarea include descrierea incalcarii, posibile consecinte si masuri de remediere sau diminuare a efectelor, precum si contactarea DPO;
PRINCIPALELE OBLIGATII ALE OPERATORILOR (6) NOTIFICAREA INCALCARII • In situatia in care incalcarea genereaza un risc ridicat pentru drepturile si libertatile persoanelor fizice incalcarea este notificata fara intarzieri nejustificate persoanei vizate; • Risc pentru drepturile si libertatile persoanelor fizice - prejudicii fizice, materiale sau morale: Pierderea sau limitarea controlului Pierdere financiara Discriminare Compromiterea reputatiei Furt de identitate Dezavantaj economic sau social EXCEPTIE • Operatorul poate fi exonerat de notificarea catre persoana vizata daca datele sunt protejate (prin criptare), au fost luate masuri de protectie sau notificarea cere eforturi disproportionate
PRINCIPALELE OBLIGATII ALE OPERATORILOR (7) Pastrarea documentelor Informatiilor relevante Luarea la cunostinta a incalcarii securitatii Riscul exista Notifica DPA in 72 ore Evaluarea riscului Riscul existent este mare Notifica persoana vizata fara intarzieri nejustificate
PRINCIPALELE OBLIGATII ALE OPERATORILOR (8) CARTOGRAFIEREA Art. 30 din RGPD se aplică: §Operatorilor din sistemul public CINE? (numele si coordonatele operatorului) CE? (categoriile de date) §Persoanelor împuternicite de operator §Operatorilor din sectorul privat cu peste 250 de angajați DE CE? (scopul) UNDE? (destinatarii, transferuri) CAT? (perioada de stocare) CUM? (masuri de securitate)
PRINCIPALELE OBLIGATII ALE OPERATORILOR (9) • Obligatia de a numi un responsabil cu protectia datelor, daca sunt indeplinite conditiile prevazute de Regulamentul General pentru Protectia Datelor; • Raspundere solidara in situatia operatorilor asociati; • Raspund la solicitarile de exercitare a drepturilor reglementate de Regulamentul General pentru Protectia Datelor.
OBLIGATIILE PERSOANELOR IMPUTERNICITE (1) • Obligatia de pastra evidenta activitatilor de prelucrare desfasurate in numele operatorului; • Obligatia de a notifica operatorului fara intarzieri nejustificative orice incalcare a securitatii datelor cu caracter personal; • Obligatia de a numi un responsabil cu protectia datelor, daca sunt indeplinite conditiile prevazute de Regulamentul General pentru Protectia Datelor; • Obligatia de a respecta regulile privind transferul de date in afara tarii/Uniunii • Raspundere directa fata de persoana vizata daca (i) a incalcat o obligatie prevazuta de Regulamentul General pentru Protectia Datelor direct in sarcina sa sau (ii) a actionat in afara instructiunilor operatorului; • In situatia in care o persoana imputernicita incalca prevederile Regulamentului General pentru Protectia Datlor, prin luarea de decizii cu privire la scopul si mijloacele prelucrarii datelor cu caracter personal, devine ea insasi operator cu toate obligatiile asociate.
OBLIGATIILE PERSOANELOR IMPUTERNICITE (2) Operatori: 1. nume, detalii de contact, operatori asociati, reprezentanti, DPO; 2. scopul prelucrarii; 3. categorii de persoane vizate si categorii de date personale; 4. categorii de destinatari; 5. detalii legate de transfer; 6. perioada de stocare; 7. descriere generala a masurilor de securitate. Persoane imputernicite: 1. nume, detalii de contact, reprezentanti, DPO; 2. nume, detalii de contact ale fiecarui operator, reprezentanti si DPO; 3. categorii de activitati de prelucrare pentru fiecare operator; 4. detalii legate de transfer; 5. descriere generala a masurilor de securitate.
CE TREBUIE SA CONTINA CONTRACTUL INTRE OPERATOR SI PERSOANA IMPUTERNICITA (1) In toate cazurile, prelucrarea efectuata de catre o persoana imputernicita este reglementata de un contract care trebuie incheiat in mod obligatoriu intre persoana imputernicita si operator, care stabileste obiectul si durata prelucrarii, natura si scopul prelucrarii, tipul de date cu caracter personal si categoriile de persoane vizate, precum si obligatiile si drepturile operatorului. Acest contract trebuie sa prevada, in special, ca persoana imputernicita: Ø prelucreaza datele numai pe baza instructiunilor documentate de la operator, inclusiv in ceea ce priveste transferurile de date catre o tara terta; Ø se asigura ca persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidentialitatea prelucrarii; Ø pune in aplicare masuri adecvate pentru a asigura securitatea prelucrarii - in practica, aceasta inseamna ca persoana imputernicita este supusa acelorasi cerinte de la art. 32 ca si operatorul pentru a asigura securitatea prelucrarii datelor cu caracter personal; Ø nu trebuie sa utilizeze un sub-contractor fara autorizatia scrisa specifica sau generala a operatorului; Ø trebuie sa asiste operatorul in indeplinirea obligatiilor sale fata de persoanele vizate, prin masuri tehnice si organizatorice adecvate;
Ø CE TREBUIE SA CONTINA CONTRACTUL INTRE OPERATOR SI PERSOANA IMPUTERNICITA (2) Asista operatorul: in indeplinirea obligatiei sale de a pastra datele cu caracter personal in conformitate cu art. 32 ü in indeplinirea obligatiei sale de a notifica incalcarile de securitate a datelor cu caracter personal catre autoritatea de supraveghere si persoanele vizate ü sa isi indeplineasca obligatia de a efectua evaluari de impact privind protectia datelor ü sa isi indeplineasca obligatia de a se consulta cu autoritatea de supraveghere in cazul in care evaluare de impact indica faptul ca exista un risc ridicat privind prelucrarea la alegerea operatorului, sterge sau returneaza toate datele cu caracter personal operatorului după finalizarea serviciilor legate de prelucrare si elimina copiile existente, cu exceptia cazului in care dreptul Uniunii sau legislatia locală impune stocarea datelor cu caracter personal pune la dispozitia operatorului toate informatiile necesare pentru a demonstra conformitatea cu obligatiile stabilite in RGPD, inclusiv a investigatiilor efectuate de operator sau alt auditor mandatat si contribuie la acestea ü Ø Ø
EVALUAREA IMPACTULUI ASUPRA PROTECTIEI DATELOR • O analiza pas cu pas a activitatilor de prelucrare care sa ajute operatorul sa identifice si sa analizeze toate riscurile pe care acestea le pot genera; • Realizata de operator cu sprijinul responsabilului cu protectia datelor; • Se impune in cazul prelucrarilor susceptibile sa genereze un risc ridicat precum: Ø evaluarea sistematica si cuprinzatoare prin mijloace automate care stau la baza unei decizii care produce efecte juridice asupra persoanei fizice (ex. profiling, predicting) Ø prelucrarea pe scara larga a unor categorii speciale de date cu caracter personal (ex. date biometrice, date genetice) sau date privind condamnarile penale si infractiuni Ø monitorizarea sistematica pe scara larga a unei zone accesibile publicului (ex. CCTV).
EVALUAREA IMPACTULUI ASUPRA PROTECTIEI DATELOR • O lista a tipurilor de operatiuni pentru care este necesara evaluarea intocmita si publicata de autoritatea de supraveghere: Ø prelucrarea datelor cu caracter personal in vederea realizarii unei evaluari sistematice si cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa; Ø prelucrarea pe scara larga a datelor cu caracter personal privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unica a unei persoane fizice, a datelor privind sanatatea, viata sexuala sau orientarea sexuala ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnari penale si infractiuni; Ø prelucrarea datelor cu caracter personal avand ca scop monitorizarea sistematica pe scara larga a unei zone accesibile publicului, cum ar fi supravegherea video in centre comerciale, stadioane, piete, parcuri sau alte asemenea spatii; Ø prelucrarea pe scara larga a datelor cu caracter personal ale persoanelor vulnerabile, in special ale minorilor si ale angajatilor, prin mijloace automate de monitorizare si/sau inregistrare sistematica a comportamentului, inclusiv in vederea desfasurarii activitatilor de reclama, marketing si publicitate; Ø prelucrarea pe scara larga a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile, cum ar fi utilizarea tehnicilor de recunoastere faciala in vederea facilitarii accesului in diferite spatii; Ø prelucrarea pe scara larga a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicatii "Internetul lucrurilor", cum ar fi smart TV, vehicule conectate, contoare inteligente, jucarii inteligente, orase inteligente sau alte asemenea aplicatii); Ø prelucrarea pe scara larga si/sau sistematica a datelor de trafic si/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografica a pasagerilor in transportul public sau alte asemenea situatii) atunci cand prelucrarea nu este necesara pentru prestarea unui serviciu solicitat de persoana vizata. • Exceptii
EVALUAREA IMPACTULUI ASUPRA PROTECTIEI DATELOR • Factori pentru determinarea unei prelucrari la scara larga: Ø numarul persoanelor vizate; Ø volumul datelor; Ø durata/permanenta activitatii de prelucrare; Ø extinderea geografica a prelucrarii. • Exemple pentru care evaluarea de impact este necesara: Ø prelucrarea de catre un spital de date medicale sau genetice; Ø culegerea de profiluri de social media pentru a genera profiluri pentru listele de contact. • Revizuirea evaluarii de impact
EVALUAREA IMPACTULUI ASUPRA PROTECTIEI DATELOR • Evaluarea de impact va cuprinde: Ø descrierea operatiunilor de prelucrare si a scopurilor; Ø evaluarea necesitatii si proportionalitatii operatiunilor de prelucrare; Ø evaluarea riscurilor pentru drepturile si libertatile persoanelor vizate; Ø masurile avute in vedere pentru abordarea riscurilor. • Atunci cand nu sunt stabilite masuri suficiente pentru atenuarea riscurilor ridicate se consulta autoritatea de supraveghere.
EVALUAREA IMPACTULUI ASUPRA PROTECTIEI DATELOR Prelucrare susceptibila de risc ridicat Evaluare de impact Risc ridicat (care nu poate fi redus) Consultare prealabila cu autoritatea
CERTIFICARE, SIGILII, MARCI: CE REPREZINTA? • Instrumente voluntare prin care operatorul/persoana imputernicita poate demonstra conformitatea fara a fi exonerat de raspundere in cazul unei incalcari; • Certificarile pot fi acordate de DPA sau de organisme certificate de organismul national de certificare sau de DPA; • Certificarea se realizeaza in baza unor criterii adoptate de DPA sau de Comitetul European pentru Protectia Datelor (sigiliu european); • Certificarile se emit pe o perioada maxima de 3 ani, cu posibilitate de reinnoire si pot fi retrase de DPA/organismul de certificare; • Pot constitui temei pentru un transfer in afara Uniunii; • Acreditarea organismelor de certificare se emite pe o perioada maxima de 5 ani, cu posibilitate de reinnoire.
CODUL DE CONDUITA: CE REPREZINTA? • Instrument voluntar prin care operatorul si/sau persoana imputernicita poate demonstra conformitatea fara a fi exonerat de raspundere in cazul unui incalcari; • Sunt supuse aprobarii de catre DPA sau de catre Comisia European daca privesc activitati de prelucrare in mai multe state membre; • Poate reprezenta un temei pentru transferul in afara Uniunii; • Monitorizarea respectarii unui cod de conduita poate fi realizata de un organism independent acreditat de DPA pe baza unor criterii privind independenta si nivelul de expertiza, detinerea unor proceduri de conformare si solutionare a plangerilor referitoare la incalcari ale codului;
RESPONSABILUL CU PROTECTIA DATELOR (1) OBLIGATORIU: • autoritatile publice, cu instantelor judecatoresti • operatorii care monitorizare pe persoanelor fizice exceptia realizeaza scara larga o a • operatorii care prelucreaza pe scara larga unele categorii speciale de date (ex. origine etnica, orientare politica, religioasa, date genetice, biometrice, privind sanatatea sau referitoare la infractiuni)
RESPONSABILUL CU PROTECTIA DATELOR (2) • din cadrul operatorului/imputernicitului, in subordinea directa a conducatorului – statut special • pe baza de contract de prestari servicii • autoritate publica/organism public – responsabil cu protectia datelor unic
RESPONSABILUL CU PROTECTIA DATELOR (4) Conditii de numire • calitati profesionale • cunostinte de specialitate in dreptul si practicile din domeniul protectiei datelor • capacitatea de indeplinire a sarcinilor
RESPONSABILUL CU PROTECTIA DATELOR (5) • Independenta - nu primeste niciun fel de instructiuni in ceea ce priveste indeplinirea sarcinilor • Raspunde direct in fata celui mai inalt nivel al conducerii operatorului / persoanei imputernicite • Protectie speciala - nu poate fi demis sau sanctionat de catre operator/imputernicit pentru indeplinirea sarcinilor sale • Obligatia de a respecta confidentialitatea in indeplinirea sarcinilor sale
RESPONSABILUL CU PROTECTIA DATELOR (6) Obligatii si responsabilitati Informarea si consilierea • operatorului • persoanei imputernicite • angajatilor Monitorizarea respectarii legislatiei Furnizarea de consiliere (evaluarea de impact) Cooperarea cu DPA Punct de contact pentru DPA • consultare prealabila • consultare
RESPONSABILUL CU PROTECTIA DATELOR (7) Operatorul/persoana împuternicită de operator are obligația: • de a publica datele de contact ale responsabilului cu protecția datelor (adresa operatorului, număr de telefon și/sau o adresă de e-mail profesională a responsabilului) • de a comunica DPA datele de contact ale responsabilului cu protecția datelor
INSTRUMENTE UTILE – RGPD (1) • Ghiduri pentru interpretarea si aplicarea RGPD elaborate de Grupul de Lucru Art. 29 Ø Emise: ü Ghid cu privire la Portabilitatea datelor ü Ghid cu privire la responsabilul pentru protectia datelor (DPO) ü Ghid cu privire la stabilirea Autoritatii de supraveghere principala ü Ghid cu privire la Evaluarea de Impact asupra Protectiei Datelor (DPIA) ü Ghid cu privire la profilare ü Ghid cu privire la notificarea incalcarilor de securitate ü Ghid cu privire la consimtamant ü Ghid cu privire la transparenta ü Ghid cu privire la derogarile privind transferurile (art. 49) ü Ghid privind acreditarea organismelor de certificare ü Ghid privind certificarea si identificarea criteriilor de certificare ü Ghid privind codurile de conduita
INSTRUMENTE UTILE – RGPD (2) • Pliante de informare Comisia Europeană: Ø EU Data Protection Reform: better data protection rights for European citizens Ø It’s your data – take control https: //ec. europa. eu/commission/priorities/justice-and-fundamentalrights/data-protection/2018 -reform-eu-data-protection-rules_ro