GDPR 2018 | Conferinta Nationala de Protectia Datelor Personale - un eveniment Rentrop & Straton
gdpr 2018protectia datelorconferinta protectia datelor rentrop
Rentrop & Straton a organizat in 21 mai Conferinta Nationala de Protectia Datelor Personale, eveniment sustinut de expertii Andrei Savescu si Laurentiu Petre. Cele mai interesante subiecte dezbatute de cei doi speakeri si cele mai importante intrebari adresate de participanti au fost transmise in timp real de Manager.ro si sunt prezentate in randurile urmatoare.
Indiferent daca vorbim de informatiile pentru angajati, date necesare pentru facturare sau informatii colectate cu scopul de a vinde un produs, orice business trebuie sa se asigure ca foloseste datele colectate cu scop clar, fara a face abuz, pentru a fi conforme cu
Regulamentul privind Protectia Datelor cu Caracter Personal (GDPR).
Despre cum sa ne organizam activitatea indiferent de domeniul in care activam pentru a respecta obligatiile impuse de GDPR din 25 mai si pentru a evita orice sanctiune, am aflat de la expertii Andrei Savescu si Laurentiu Petre, in cadrul
Conferintei Nationale organizate de Rentrop & Straton in 21 mai 2018.
Va prezentam in continuare principalele intrebari ale participantilor si raspunsurile oferite de expertii in Protectia Datelor, in cadrul evenimentului organizat de Rentrop & Staton:
DPO-ul trebuie sa fie angajatul firmei sau este indicat sa fie din extern?
Ofiterul de protectie a datelor este angajatul care va trebui sa se regaseasca in echipele multor companii din Romania, iar aici avem 2 variante: externalizarea catre o firma specializata, la pachet cu riscurile si obligatiile, respectand cerintele GDPR, sau crearea unei noi pozitii interne in cadrul companiei, care sa aiba neutralitatea si expertiza necesara.
Persoana desemnata ca DPO trebuie sa fie specialista in protectia datelor si sa beneficieze de independenta in activitatea de monitorizare pe care o desfasoara, indiferent daca este angajat al companiei sau nu. Pentru a evita orice incompatibilitate, DPO-ul nu trebuie sa aiba un alt rol cheie in prelucrarea datelor personale din companie.
Detalii utile pentru
angajarea DPO-ului gasiti aici >>
Atributiile principale ale unui DPO:
- Sa informeze si sa sfatuiasca controlorul sau procesatorul si angajatii care sunt implicati in prelucrarea datelor cu caracter personal a obligatiilor care le revin in temeiul regulamentui;
- Sa monitorizeze respectarea regulamentului, inclusiv atribuirea responsabilitatilor, sensibilizarea si formarea personalului implicat in operatiunile de prelucrare si auditurile aferente;
- Sa ofere consiliere in cazul in care este solicitat pentru evaluarea impactului privind protectia datelor si sa monitorizeze performanta acestuia in conformitate cu articolul 35;
- Sa coopereze cu autoritatea de supraveghere (in Romania Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal);
- Sa actioneze ca punct de contact al autoritatii de supraveghere in chestiuni legate de prelucrarea datelor cu caracter personal;
Exista cursuri obligatorii pentru DPO?
Responsabilul cu protectia datelor nu trebuie neaparat sa aiba cursuri la baza. Nu exista cursuri autorizate sau certificari de DPO autorizate in acest moment. Sigur, astfel de cursuri ajuta la formarea angajatului in cauza, insa nu ii asigura si o calificare acreditata.
Ce obligatii aduce GDPR pentru magazinele online?
Principalele date personale pe care le colecteaza magazinele online sunt datele clientilor care cumpara un produs sau serviciu, dar si cele ale angajatilor. Pentru a respecta prevederile GDPR, magazinele online trebuie sa se asigure ca:
- datele colectate trebuie sa aiba scop clar si nu sunt folosite in alt scop;
- datele colectate de un site/magazin online nu pot fi transmise catre o alta data de baze, indiferent daca apartine aceluiasi proprietar;
- doar angajatii care au nevoie de datele personale ale clientilor pentru indeplinirea sarcinilor de serviciu pot avea acces la acestea;
- magazinele online au obligatia de a se asigura ca tertii cu care lucreaza sunt in UE, Spatiul Economic European, sau in alte state cu regim adecvat si ca asigura securitatea datelor; prin terti se intelege orice operator, tool, plug-in sau alte instrumente tehnice care folosesc sau colecteaza date personale, inclusiv Facebook Pixel;
- magazinele online sunt obligate sa informeze clientii, in pagina de check-out, cu privire la folosirea datelor colectate (in vederea facturarii/livrarii);
- la cererea clientilor, magazinele online sunt obligate sa stearga datele acestora - daca cererea are temei legal;
Mai pot fi utilizate dupa 25 mai informatiile colectate prin Google Analytics/Facebook Pixel?
Marketing-ul Online merge cu siguranta inainte si dupa intrarea in vigoare a GDPR-ului. Vom putea continua utilizarea informatiilor demografice privind utilizatorii unui site, varsta lor, preferintele acestora in timpul activitatii online, obiceiurile de cumparare si paginile la care au dat like, pentru a le livra in continuare publicitate personalizata. Informatiile oferite de Google Analytics/Facebook Pixel sunt colectate prin intermediul cookie-urilor. Acestea reprezinta punctul central al functionarii eficiente a Internetului si ajuta la generarea unei experiente de navigare mai buna pentru utilizatori, insa cu siguranta nu contribuie la dezvaluirea identitatii unui utilizator. Totusi, un site trebuie sa semnaleze si sa isi informeze vizitatorii de existenta cookie-urilor si sa le ceara consimtamantul pentru a continua navigarea.
Pot fi publicate pe site-ul companiei/retele de socializare fotografiile realizate in cadrul unor evenimente publice, fara acceptul personajelor surprinse in cadru?
Atat timp cat nu aducem atingere imaginii unei persoane, imaginile pot fi publicate fara niciun risc, fiind vorba de un eveniment public, chiar educational. Cat timp este vorba despre un spatiu public, iar evenimentele nu afecteaza imaginea unei persoane, pot fi publicate fara probleme fotografiile realizate, atat timp cat personajele surprinse nu au o cerere expresa pentru a nu li se utiliza imaginea.
Mai putem transmite newslettere clientilor pe baza de date proprie?
Sigur ca putem comunica in continuare cu abonatii nostri, atat timp cat ei s-au inscris la newsletter si ne-au transmis adresa lor de email in vederea transmiterii de informari comerciale. Avem totusi datoria de a anunta abonatii din baza de date de modificarea politicii de securitate - asadar, trebuie sa ne informam abonatii la newsletter de implementarea Regulamentului privind Protectia Datelor.
Cum se aplica procedura GDPR pentru firmele cu mai multe departamente?
Procedura pentru fiecare departament trebuie sa cuprinda cel putin informatii cu privire la intocmirea, primirea, pastrarea, accesarea, transmiterea, transportul, utilizare si predarea documentelor care contin date cu caracter personal, astfel incat sa putem justifica de unde provin datele colectate si care este trasabilitatea acestora
Afla totul despre
GDPR pentru contabili >>
Cum adaptam reteaua IT a companiei pentru GDPR?
Pentru orice companie este necesara o politica de securitate pentru implementarea GDPR. In timp ce companiile mari sunt nevoite sa aplice masuri sporite de securitate, firmele mici, cu sub 250 de angajati, pot aplea chiar si la proceduri simple si rapide:
- instalarea VPN-ului pentru accesarea informatiilor din exteriorul companiei, pentru securitatea datelor;
- utilizarea serviciilor de transfer criptate in schimbul trimiterii documentelor pe email;
- delogarea automata/blocarea calculatorului cand nu este utilizat;
- blocarea porturilor usb, astfel incat sa nu se poata copia date de pe PC pe stick;
- aplicarea unei folii de protectie ecranului pentru a blura imaginea din lateral;
Operator vs imputernicit in sensul GDPR. Care este diferenta?
Operatorul este de regula o persoana juridica, care prelucreaza date, colecteaza, are clienti si salariati. Imputernicitii sunt cei care realizeaza prelucrarea de date cu caracter personal pentru operatori: companiile de soft HR/conta, contabili, firme de hosting, agentiile de marketing, cele care actioneaza la semnalul operatorului - totul fiind la raspunderea operatorului.
Termenul imputernicit in GDPR e diferit de sensul de baza si presupune ca prelucrarea datelor se face in numele operatorului.
Este necesara intocmirea unei baze de date separate, cu toti clientii consumatori ai societatii?
Operatorul trebuie sa ia masuri tehnice si organizatorice adecvate activitatii. Pseudonimizare inseamna prelucrarea datelor a.i sa nu poata fi atribuite unei anume persoane vizate, fara a se utiliza informatii suplimentare. Atentie! Informatiile suplimentare trebuie sa fie stocate separat si sa faca obiectul unor masuri de natura tehnica si organizatorica.
Cum verifica autoritatea daca am implementat regulamentul privind protectia datelor personale?
In primul rand, vor fi verificati operatorii cunoscuti pentru nereguli si cei care nu aplica regulile nici dupa avertisment.
In timpul verificarii autoritatii de supraveghere, cele mai importante si primele verificate aspecte sunt procedurile - care trebuie sa permita identificarea circuitului datelor cu caracter personal - se vor regasi in evidenta activitatii de prelucrare - vor verifica ce informatii au fost colectate, cine are acces la informatii, care este scopul prelucrarii - daca au fost preluate cu consimtament, trebuie sa faca trimitere la un formular, daca nu trebuie sa fie informata persoana vizata. Practic, astfel incepe o intreaga arhitectura informatica.
Proceduri obligatorii pentru operatori
In vederea asigurarii unui nivel de securitate sporita privind protectia datelor,
GDPR impune operatorilor masuri tehnice si organizatorice adecvate:
- Adaptarea procedurilor de lucru pentru ca accesul la date sa fie cat mai limitat si mai securizat;
- Securizarea in mod informatic a datele personale;
- Incheierea acordurilor cu operatorii asociati;
- Pseudonimizarea si criptarea datelor cu caracter personal;
- Capacitatea de a asigura confidentialitatea, integritatea si disponibilitatea, rezistenta continua a sistemelor si serviciilor de prelucrare;
- Capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in caz de un accidentl
Ce inseamna date cu caracter personal?
Se incadreaza la categoria datelor cu caracter personal orice informatie care ajuta la identificarea unei persoane. Multe persoane fac aici confuzia si inteleg prin date personale informatii din buletin, cum ar fi cod numeric personal, insa nu este vorba doar despre astfel de informatii.
Ce date personale putem sa colectam, conform GDPR?
Putem colecta orice tip de date, cu conditia sa fie necesare desfasurarii activitatii. Ideal ar fi sa reducem colectarea datelor care nu sunt necesare pentru stocare.
Organizatiile mici, cu mai putin de 250 de angajati, nu sunt supuse obligatiei de prelucrare a datelor cu caracter personal;
Regulamentul se aplica exclusiv operatorilor care activeaza in spatiul UE.
Contractele pot fi incheiate in mod normal in continuare, fara sa fie necesar un consimtamant expres.
Important: GDPR NU atrage sanctiuni penale.
*****************************************************
GDPR a fost adoptat de Parlamentul European in aprilie 2016, avand termen final de aderare pentru toate tarile membre ale UE pana la data de 25 mai 2018. Sanctiunile impuse odata cu adoptarea noului regulament sunt mult mai stricte fata de cele deja existente, de aceea este obligatoriu ca toate companiile care opereaza date cu caracter personal sa se conformeze cu noile reguli. Pentru a preveni orice sanctiun sau abatere in randul companiilor, angajatorilor, persoanelor fizice sau juridice, Rentrop & Staton vine in sprijinul acestora cu legislatie comentate, analize si studii de caz si raspunsuri pentru cele mai controversate intrebari privind Protectia Datelor.
Toate intrebarile vor fi analizate si dezbatute de expertii in Protectia Datelor - Andrei Savescu si Laurentiu Petre, in cadrul Conferintei Nationale organizate de Rentrop & Straton in 21 mai 2018.
Despre GDPR
Una din noutatile cele mai importate ale GDPR este cea legata de responsabilitatea interna a prelucrarii datelor. Practic, companiile care sunt axate pe prelucrarea si monitorizarea datelor vor fi nevoite sa numeasca o persoana responsabila cu protectia tuturor datelor cu caracter personal. Mai exact, aceasta persoana va fi un angajat al companiei care va ocupa functia de Data Protection Officer sau DPO.
Odata ce va exista un consimtamant pentru preluarea datelor, compania se angajeaza sa creeze un set de reguli mai riguros si transparent care va favoriza in cele din urma consumatorii si utilizatorii de produse si servicii.
O alta noutate adusa de GDPR face referire la neacceptarea conditionarii consimtamantului. Practic, consumatorii vor avea libertatea de a-si porta datele cu caracter personal de la un operator la altul, fara riscuri. Utilizatorii au libertatea de a se opune utilizarii informatiilor private in diverse scopuri precum: trimiterea neautorizata de newsletters si marketing prin SMS fara furnizarea in prelabil a numarului personal de telefon.
Adoptarea GDPR presupune de asemenea si extinderea transparentei de-a lungul procesului de prelucrare a datelor, pentru ca utilizatorii sa stie cine va fi persoana responsabila cu protectia informatiilor precum si durata pastrarii in baza de date.
De asemenea, regulamentul acorda o atentie sporita protectiei vietii private a minorilor. Acest lucru se datoreaza faptului ca minorii nu pot evalua riscurile, consecintele si drepturile pe care le au in legatura cu prelucrarea datelor private. Mai exact, consimtamantul acordat de minor va fi considerat legal doar daca acesta a implinit varsta de 16 ani.
Editorialist Manager.ro
9 ani de experienta in domeniul editorial
adresa de email:
mariat@rs.ro