Prezentarea se încărcă. Vă rugăm să așteptați

Prezentarea se încărcă. Vă rugăm să așteptați

Protectia datelor cu caracter personal

Publicat de克 宣

Prezentări similare

Prezentarea pe tema: "Protectia datelor cu caracter personal"— Transcriere de prezentare:

1 Protectia datelor cu caracter personal
Oana Luisa Dumitru Project Activity:2.11 Date: – This project is funded by the European Union

2 Protectia datelor: termeni si definitii (1)
Operator Date cu caracter special Date cu caracter personal Imputernicit Reprezentant Prelucrare

3 Protectia datelor: termeni si definitii (2)
Date cu caracter personal Date cu caracter special Orice informatii privind o persoana fizica identificata sau identificabila (persoana vizata), direct sau indirect, cum ar fi nume, prenume, numar de identificare, date de geolocalizare, identificator online (adresa IP, cookie IP) si orice elemente specifice identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale date privind originea etnica sau rasiala date privind opiniile politice date privind confesiunea religioasa sau convingerile filozofice apartenenta la sindicate date genetice, data biometrice date privind sanatatea date privind viata sexuala sau orientarea sexuala

4 Protectia datelor: termeni si definitii (3)
operatiune set de operatiuni colectarea inregistrarea organizarea structurarea stocarea adaptarea sau modificarea extragerea consultarea utilizarea divulgarea prin transmitere diseminarea sau punerea la dispozitie prin orice alt mod alinierea sau combinarea restrictionarea stergerea sau distrugerea Prelucrare

5 Protectia datelor: termeni si definitii (4)
Operator Persoana imputernicita de operator Operator asociat Persoana fizica sau juridica, autoritatea publica, agentia sau al organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern Persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului Doi sau mai multi operatori care stabilesc in comun scopurile si mijloacele de prelucrare

6 Protectia datelor: termeni si definitii (5)
Este important sa distingem intre operator si persoana imputernicita: RGPD prevede obligatia de a încheia un contract; distinctia poate avea consecinte semnificative in practica; in cazul in care exista o incalcare a securitatii datelor, este important ca toate entitatile implicate si autoritatea de supraveghere sa poata stabili partile responsabile; este important ca acest lucru sa se realizeze devreme, in special inainte de inceperea prelucrarii; determinarea rolurilor asigura evitarea lacunelor in responsabilitatile organizatiilor, evitandu-se situatiile in care cererile persoanelor vizate sa nu primeasca un răspuns, de exemplu.

7 Protectia datelor: termeni si definitii (6)
Cum determinam rolul părților în cadrul prelucrării? Pentru a stabili existenta rolului de operator, trebuie determinata organizatia care decide: colectarea datelor cu caracter personal si temeiul legal pentru aceasta; care sunt categoriile de date cu caracter personal care trebuie colectate; scopul sau scopurile pentru care sunt utilizate datele personale; persoanele vizate; dacă datele vor fi dezvaluite si, in caz afirmativ, catre cine; solutioneaza cererile persoanelor vizate de exercitare a drepturilor; pentru cat timp sunt pastrate datele Operatorul exercita controlul global asupra scopului pentru care sunt prelucrate datele cu caracter personal (scopul prelucrarii) si a modului in care se desfasoara operatiunea de prelucrare a datelor.

8 Aplicabilitate materiala
Toate prelucrările de date cu caracter personal prelucrări efectuate de o persoană fizică în cadrul unei activități exclusiv personale sau domestice prelucrări realizate de autoritățile competente în scopul prevenirii și combaterii infracțiunilor – Directiva 2016/680 activități care nu intră sub incidența dreptului UE activități care intră sub incidența cap. 2 titlul V din Tratatul UE Exceptii

9 Aplicabilitate teritoriala
RGPD este aplicabil: Prelucrarilor de date personal in cadrul activitatilor unui sediu al unui operator sau al unui imputernicit pe teritoriu Uniunii chiar daca prelucrarea nu are loc pe teritoriul Uniunii; sediul presupune exercitarea unei activiati in mod efectiv si real indiferent de dimensiune. Prelucrărilor de date personale ale unor persoane vizate aflate în Uniune, efectuate de un operator sau împuternicit care nu e stabilit în Uniune, dacă prelucrarile sunt legate de: oferirea de bunuri sau servicii către persoane aflate în Uniune monitorizarea comportamentului persoanelor din Uniune

10 Principiile si temeiurile prelucrarii
Orice prelucrare trebuie realizata: cu respectarea principiilor prelucrarii datelor, in baza unuia dintre temeiurile expres prevazute de Regulament General pentru Protectia Datelor, avand capacitatea de a demonstra respectarea prevederilor Regulamentului General pentru Protectia Datelor.

11 Principiile prelucrarii datelor (1)
Legalitate Echitate Transparenta Scop determinat, Explicit, Legitim Adecvata, Relevanta, Necesara (minimizare) DEMONSTRAREA CONFORMITATII Integritate, Confidentialitate Exactitate, Actualitate Stocare limitata

12 Temeiurile prelucrarii datelor
Obligatie legala a operatorului Executarea unui contract Consimtamant explicit Interesul legitim al operatorului Interesele vitale ale persoanei vizate Sarcina de interes public

13 Temeiurile prelucrarii datelor cu caracter special
Arhivare, cercetare, statistica Raporturi de munca si protectie sociala Sanatate publica Diagnoza si tratament medical Protejarea intereselor vitale ale persoanei vizate Consimtamant expres Interes public major Actiuni judiciare Date facute publice de persoana vizata Activitati ale organizatiilor non-profit (membri)

14 Consimtamant Cand folosim consimtamantul?
Ce este un consimtamant valabil? Cum il obtinem si cum il administram?

15 Cand ar putea fi adecvat?
Nu, exista alte cinci temeiuri. Da, am nevoie daca NU am alt temei Am nevoie sau trebuie? scop incompatibil date sensibile marketing scop incompatibil date sensibile marketing EXEMPLE Cand ar putea fi adecvat? - Profilare NU se ofera o alegere autentica Cand este neadecvat? prelucrare ulterioara pre-conditie pentru oferirea unui serviciu pozitie dominanta EXEMPLE

16 Conditii – consimtamant valabil (1)
Regulamentul General privind Protectia Datelor Consimtamant: Orice indicatie liber exprimata, specifica, in cunostinta de cauza si clara acordata printr-o declaratie sau o actiune fara echivoc; Liber exprimat: Consimtamantul nu este valabil daca persoana vizata nu are o alegere reala sau este in imposibilitatea de a refuza sau de a-si retrage consimtamantul cand exista un dezechilibru intre operator si persoana vizata.

17 Conditii – consimtamant valabil (2)
In cunostinta de cauza (informat): Operatorul se asigura ca: Foloseste o maniera inteligibila si usor accesibila, utilizand un limbaj clar si simplu; Informeaza persoana vizata cel putin cu privire la identitatea operatorului, datele de contact ale responsabilului cu protectia datelor, dupa caz, scopul(urile) prelucrarii, destinatarii datelor, statele catre care sunt transferate datele, dupa caz.

18 Conditii – consimtamant valabil (3)
Tacerea nu reprezinta consimtamant: Exemplu: absenta unui raspuns, casuta bifata in prealabil, acceptare tacita; Metode de obtinere a consimtamantului: Regulamentul recunoaste validitatea unor metode general utilizate; Exemplu: bifarea unor casute, alegerea unor caracteristici ale unor aplicatii sau orice alta declaratie care indica in mod clar acordul; Cererea de consimtamant distincta de orice alte aspecte: In cazul unei declaratii care se refera si la alte aspecte, cererea privind obinerea consimtamantului trebuie sa fie prezentata distinct, intr-o maniera inteligibila, accesibila, utilizant un limbaj clar si simplu;

19 Conditii – consimtamant valabil (4)
Dovada consimtamantului: Regulamentul prevede in mod expres ca operatorul trebuie sa fie capabil sa dovedeasca obtinerea consimtamantului; Dreptul persoanei vizate de a-si retrage consimtamantul: Regulamentul recunoaste in mod expres acest drept; persoana vizata trebuie informata cu privire la dreptul de retragere anterior obtinerii consimtamantului; dreptul de retragere trebuie sa poata fi exercitat usor (in aceeasi maniera in care a fost acordat); dupa retragerea consimtamantului, prelucrarea poate continua numai daca exista un alt temei pentru prelucrare.

20 Conditii – consimtamant valabil (6)
Consimtamantul acordat anterior datei de 25 mai 2018 poate ramane temei legal pentru prelucrarea datelor cu caracter personal ulterior datei de aplicare a Regulamentului General pentru Protectia Datelor daca intruneste conditiile de validitate prevazute de Regulament: retractabil limbaj clar si simplu alegere libera autentica actiune afirmativa clara distinct de alte aspecte fara dezechilibru de forte pentru orice scop al prelucrarii pentru orice activitate de prelucrare (granular)

21 Interes legitim - reglementare
Art. 6 (1) (f) GDPR “Prelucrarea este legală numai dacă și în măsura în care se aplică […]: prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil” Opinia nr. 6/2014 a GL29 (EDPB) privind noţiunea de interes legitim al operatorului conform art. 7 din Directiva 95/46/EC

22 Evaluarea interesului legitim – CAND?
Evaluarea interesului legitim: interes legitim vs. interesele, drepturile și libertățile fundamentale ale persoane vizate GDPR nu conține o obligație expresă de efectuare a evaluarii intererului legitim Autoritatea din UK (ICO) – evaluarea interesului legitim trebuie efectuată în toate cazurile (principiul responsabilității)

23 Evaluarea interesului legitim – CE?
+ Garanții/Acțiuni de salvgardare/ Riscuri reziduale FAZA 3 – Testul echilibrului FAZA 2 – Testul necesității FAZA 1 – Testul scopului

24 Faza 1 – Testul scopului Interesul legitim poate fi: al
Definim interesul legitim urmarit (scopul): Un interes individual fidelizarea angajatilor monitorizarea activitatii angajatilor evaluarea riscurilor si prevenirea fraudelor promovarea imaginii entitatii Un interes general cercetare medicala studii clinice dezvoltare educationala suport pentru persoane vulnerabile (spre ex. persoane cu handicap) Interesul legitim poate fi: al unei terte persoane Interesul legitim poate fi: al operatorului

25 Faza 2 – Testul necesitatii (1)
Metode de prelucrare mai putin intruzive pentru acelasi scop Metode de prelucrare mai putin intruzive pentru acelasi scop Prelucrare nu trebuie sa fie absolut indispensabila, dar nici nu poate fi doar utila sau convenabila Prelucrare nu trebuie sa fie absolut indispensabila, dar nici nu poate fi doar utila sau convenabila

26 Faza 2 – Testul necesitatii (2)
Este prelucrarea necesară? DA Există mijloace mai puțin intruzive? Nu Testul necesității CONFIRMAT Este prelucrarea necesară? DA Există mijloace mai puțin intruzive? Testul necesității CONFIRMAT, dacă se folosesc acele mijloace mai puțin intruzive sau dacă mijloacele mai puțin intruzive sunt disproporționate Este prelucrarea necesară? NU Există mijloace mai puțin intruzive? IRELEVANT Diagnostic: testul necesității INFIRMAT

27 Faza 3 – Testul echilibrului (1)
Criterii de evaluare: natura si volumul datelor prelucrate modalitatea in care datele sunt prelucrate asteptarile rezonabile ale persoanelor vizate impactul pe care prelucrarea il are asupra persoanelor vizate situatia particulara a operatorului Evaluarea echilibrului interes legitim vs. interesele sau drepturile si libertatile fundamentale ale persoanelor vizate

28 Faza 3 – Testul echilibrului (2)
Natura si volumul datelor prelucrate Date cu grad ridicat de sensibilitate: Date cu caracter special Numere de identificare nationala (spre ex. CNP, seria si numar CI, pasaport) Date privind situatia financiara sau fiscala Date cunoscute publicului sau nu Asteptarile rezonabile ale persoanelor vizate Informarea persoanelor vizate Raporturile pre-existente dintre operator si persoanele vizate

29 Impactul asupra persoanelor vizate – a nu se confunda cu prejudiciul
Faza 3 – Testul echilibrului (3) Impactul asupra persoanelor vizate – a nu se confunda cu prejudiciul Consecinte negative: excluderea anumitor categorii de persoane conditii mai oneroase pentru anumite categorii de persoane eventuala prelucrare a unor date care exceda scopului previzionat un posibil acces neautorizat al tertilor la datele personale prelucrate pierderi de date personale prelucrate Consecinte pozitive: evaluarea rapida si eficienta a riscurilor prevenirea fraudelor posibilitatea de identifica si corecta erori dezvoltarea profesionala continua a angajatilor securitatea bunilor si persoanelor

30 Situatia particulara a
Faza 3 – Testul echilibrului (4) Situatia particulara a operatorului Tipul de industrie in care activeaza operatorul Entitate publica vs. Entitate privata

31 Evaluarea interesului legitim – Garanții / măsuri de protectie
Limitarea tipurilor de date prelucrate Limitarea cazurilor de prelucrare a datelor (in special atunci cand prelucrarea produce efecte negative) Cresterea transparentei prelucrarii Limitarea perioadei de stocare a datelor Intensificarea mecanismelor de exercitare a drepturilor persoanelor vizate Restrictionarea accesului la date Utilizarea tehnicilor de anonimizare, privacy by design, realizarea evaluarii impactului asupra protectiei datelor

32 Recomandari Fiti obiectivi cand efectuati evaluarea interesului legitim Intensificati garantiile/masurile de protectie Daca rezultatul evaluarii interesului legitim este negativ: identificati un alt temei de prelucrare sau nu efectuati/incetati prelucrarea Daca rezultatul evalurii interesului legitim este neconcludent: efectuarea unei evaluarii de impact Revizuiti evaluarea periodic sau ori de cate ori se modifica conditiile de prelucrare

33 Drepturile persoanelor vizate
Informare Acces Rectificare Stergere Restrictionarea prelucrarii Portabilitatea datelor Opozitie Decizii automate, profilare

34 Exercitarea drepturilor
Transparenta Conditii limbaj clar, simplu (minor) forma concisa, transparenta, inteligibila si usor accesibila in scris/electronic/verbal gratuit (exceptii – refuz, taxa rezonabila) Termene > 1 luna maximum 3 luni 1 luna – prelungire termen/refuz adoptare masuri + motive + drept plangere DPA + actiune in instanta

35 Drepturi noi pentru persoana vizata – sum up
Unul din obiectivele Regulamentului General pentru Protectia Datelor este acela de a oferi persoanelor vizate un control asupra propriilor date cu caracter personal: pastreaza drepturile existente; consolideaza drepturile existente; reglementeaza drepturi noi: dreptul de a fi uitat, dreptul la restrictionarea prelucrarii, dreptul la portabilitatea datelor;

36 Recomandari de bune practici
Transparență (site) Proceduri privind exercitarea drepturilor Formulare specifice Instruirea personalului Consultarea DPO/ANSPDCP

37 QUESTION TIME

38 Principalele obligatii ale operatorilor (1)
Regulamentul General pentru Protectia Datelor creeaza un cadrul din care rezulta o serie de obligatii pentru operatorii de date, inclusiv: se supun principiului responsabilitatii (accountability) potrivit caruia trebuie sa se conformeze si sa demonstreze conformitatea; asigura respectarea principiilor protectiei datelor cu caracter personal atat la momentul conceperii activitatilor de prelucrare (privacy by design), cat si in mod implicit (privacy by default); au obligatia de a notifica incalcarea securitatii datelor;

39 Principalele obligatii ale operatorilor (2)
SECURITATEA PRELUCRARII Prin masuri tehnice si organizatori, incluzand printre altele: pseudonimizarea si criptarea datelor cu caracter personal; capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in caz de incident; testare si evaluare periodice ale masurilor implementate; capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta sistemelor de prelucrare; Aderarea la un cod de conduita sau la un mecanism de certificare aprobat poate fi o forma de a demonstra indeplinirea obligatiei de asigurare a securitatii datelor.

40 Principalele obligatii ale operatorilor (3)
Cerinte de securitate: acces utilizatori - contul personal (nume de login, nume utilizator) si cel putin o modalitate de autentificare (parola, certificat) programatorii care dezvolta aplicatiile care prelucreaza datele cu caracter personal nu au acces la datele cu caracter personal activitate de pregatire a utilizatorilor – se folosesc date anonime fisiere (registre) de acces (log) reguli privind dispunerea computerelor si a terminalelor de acces sistem de telecomunicatii securizat folosirea de metode de criptare pentru transmiterea datelor cu caracter personal copii de siguranţă (backup) verificari periodice privind accesul si nivelul de acces ale utilizatorilor la datele cu caracter personal. documentele care conţin date cu caracter personal pastrate in fisete sau dulapuri inchise cu cheie sau cu un alt mecanism de securizare

41 Principalele obligatii ale operatorilor (4)
NOTIFICAREA INCALCARII o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod sau la accesul neautorizat la acestea Incalcarea securitatii datelor

42 Incalcari de securitate
Un salariat isi pierde calculatorul intr-un aeroport si informatia de pe drive nu este criptata Un salariat trimite un continand nume si contacte ale clientilor catre agentia de marketing dar, din greseala, il trimite catre o adresa de gresita Un port USB ne-criptat cu date ale clientilor este lasat intr-o statie de tren Un atac cibernetic

43 Principalele obligatii ale operatorilor (5)
NOTIFICAREA INCALCARII Operatorul tine evidenta tuturor incalcarilor; Daca incalcarea genereaza un risc pentru persoana vizata: incalcarea este notificata ANSPDCP fara intarzieri nejustificate, in termen de cel mult 72 de ore; notificarea include descrierea incalcarii, posibile consecinte si masuri de remediere sau diminuare a efectelor, precum si contactarea DPO;

44 Principalele obligatii ale operatorilor (6)
NOTIFICAREA INCALCARII In situatia in care incalcarea genereaza un risc ridicat pentru drepturile si libertatile persoanelor fizice incalcarea este notificata fara intarzieri nejustificate persoanei vizate; Risc pentru drepturile si libertatile persoanelor fizice - prejudicii fizice, materiale sau morale: Pierderea sau limitarea controlului Pierdere financiara Discriminare Compromiterea reputatiei Furt de identitate Dezavantaj economic sau social EXCEPTIE Operatorul poate fi exonerat de notificarea catre persoana vizata daca datele sunt protejate (prin criptare), au fost luate masuri de protectie sau notificarea cere eforturi disproportionate

45 Principalele obligatii ale operatorilor (7)
Pastrarea documentelor Informatiilor relevante Notifica DPA in 72 ore Riscul exista Luarea la cunostinta a incalcarii securitatii Evaluarea riscului Notifica DPA in 72 ore Riscul existent este mare Notifica persoana vizata fara intarzieri nejustificate

46 Principalele obligatii ale operatorilor (8)
CARTOGRAFIEREA CINE? (numele si coordonatele operatorului) Art. 30 din RGPD se aplică: Operatorilor din sistemul public Persoanelor împuternicite de operator Operatorilor din sectorul privat cu peste 250 de angajați DE CE? (scopul) CE? (categoriile de date) UNDE? (destinatarii, transferuri) CAT? (perioada de stocare) CUM? (masuri de securitate)

47 Principalele obligatii ale operatorilor (9)
Obligatia de a numi un responsabil cu protectia datelor, daca sunt indeplinite conditiile prevazute de Regulamentul General pentru Protectia Datelor; Raspundere solidara in situatia operatorilor asociati; Raspund la solicitarile de exercitare a drepturilor reglementate de Regulamentul General pentru Protectia Datelor.

48 Obligatiile persoanelor imputernicite (1)
Obligatia de pastra evidenta activitatilor de prelucrare desfasurate in numele operatorului; Obligatia de a notifica operatorului fara intarzieri nejustificative orice incalcare a securitatii datelor cu caracter personal; Obligatia de a numi un responsabil cu protectia datelor, daca sunt indeplinite conditiile prevazute de Regulamentul General pentru Protectia Datelor; Obligatia de a respecta regulile privind transferul de date in afara tarii/Uniunii Raspundere directa fata de persoana vizata daca (i) a incalcat o obligatie prevazuta de Regulamentul General pentru Protectia Datelor direct in sarcina sa sau (ii) a actionat in afara instructiunilor operatorului; In situatia in care o persoana imputernicita incalca prevederile Regulamentului General pentru Protectia Datlor, prin luarea de decizii cu privire la scopul si mijloacele prelucrarii datelor cu caracter personal, devine ea insasi operator cu toate obligatiile asociate.

49 Obligatiile persoanelor imputernicite (2)
Operatori: nume, detalii de contact, operatori asociati, reprezentanti, DPO; scopul prelucrarii; categorii de persoane vizate si categorii de date personale; categorii de destinatari; detalii legate de transfer; perioada de stocare; descriere generala a masurilor de securitate. Persoane imputernicite: nume, detalii de contact, reprezentanti, DPO; nume, detalii de contact ale fiecarui operator, reprezentanti si DPO; categorii de activitati de prelucrare pentru fiecare operator; detalii legate de transfer; descriere generala a masurilor de securitate.

50 Ce trebuie sa contina contractul intre operator si persoana imputernicita (1)
In toate cazurile, prelucrarea efectuata de catre o persoana imputernicita este reglementata de un contract care trebuie incheiat in mod obligatoriu intre persoana imputernicita si operator, care stabileste obiectul si durata prelucrarii, natura si scopul prelucrarii, tipul de date cu caracter personal si categoriile de persoane vizate, precum si obligatiile si drepturile operatorului. Acest contract trebuie sa prevada, in special, ca persoana imputernicita: prelucreaza datele numai pe baza instructiunilor documentate de la operator, inclusiv in ceea ce priveste transferurile de date catre o tara terta; se asigura ca persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidentialitatea prelucrarii; pune in aplicare masuri adecvate pentru a asigura securitatea prelucrarii - in practica, aceasta inseamna ca persoana imputernicita este supusa acelorasi cerinte de la art. 32 ca si operatorul pentru a asigura securitatea prelucrarii datelor cu caracter personal; nu trebuie sa utilizeze un sub-contractor fara autorizatia scrisa specifica sau generala a operatorului; trebuie sa asiste operatorul in indeplinirea obligatiilor sale fata de persoanele vizate, prin masuri tehnice si organizatorice adecvate;

51 Ce trebuie sa contina contractul intre operator si persoana imputernicita (2)
Asista operatorul: in indeplinirea obligatiei sale de a pastra datele cu caracter personal in conformitate cu art. 32 in indeplinirea obligatiei sale de a notifica incalcarile de securitate a datelor cu caracter personal catre autoritatea de supraveghere si persoanele vizate sa isi indeplineasca obligatia de a efectua evaluari de impact privind protectia datelor sa isi indeplineasca obligatia de a se consulta cu autoritatea de supraveghere in cazul in care evaluare de impact indica faptul ca exista un risc ridicat privind prelucrarea la alegerea operatorului, sterge sau returneaza toate datele cu caracter personal operatorului după finalizarea serviciilor legate de prelucrare si elimina copiile existente, cu exceptia cazului in care dreptul Uniunii sau legislatia locală impune stocarea datelor cu caracter personal pune la dispozitia operatorului toate informatiile necesare pentru a demonstra conformitatea cu obligatiile stabilite in RGPD, inclusiv a investigatiilor efectuate de operator sau alt auditor mandatat si contribuie la acestea

52 Evaluarea impactului asupra protectiei datelor
O analiza pas cu pas a activitatilor de prelucrare care sa ajute operatorul sa identifice si sa analizeze toate riscurile pe care acestea le pot genera; Realizata de operator cu sprijinul responsabilului cu protectia datelor; Se impune in cazul prelucrarilor susceptibile sa genereze un risc ridicat precum: evaluarea sistematica si cuprinzatoare prin mijloace automate care stau la baza unei decizii care produce efecte juridice asupra persoanei fizice (ex. profiling, predicting) prelucrarea pe scara larga a unor categorii speciale de date cu caracter personal (ex. date biometrice, date genetice) sau date privind condamnarile penale si infractiuni monitorizarea sistematica pe scara larga a unei zone accesibile publicului (ex. CCTV).

53 Evaluarea impactului asupra protectiei datelor
O lista a tipurilor de operatiuni pentru care este necesara evaluarea intocmita si publicata de autoritatea de supraveghere: prelucrarea datelor cu caracter personal in vederea realizarii unei evaluari sistematice si cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa; prelucrarea pe scara larga a datelor cu caracter personal privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unica a unei persoane fizice, a datelor privind sanatatea, viata sexuala sau orientarea sexuala ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnari penale si infractiuni; prelucrarea datelor cu caracter personal avand ca scop monitorizarea sistematica pe scara larga a unei zone accesibile publicului, cum ar fi supravegherea video in centre comerciale, stadioane, piete, parcuri sau alte asemenea spatii; prelucrarea pe scara larga a datelor cu caracter personal ale persoanelor vulnerabile, in special ale minorilor si ale angajatilor, prin mijloace automate de monitorizare si/sau inregistrare sistematica a comportamentului, inclusiv in vederea desfasurarii activitatilor de reclama, marketing si publicitate; prelucrarea pe scara larga a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile, cum ar fi utilizarea tehnicilor de recunoastere faciala in vederea facilitarii accesului in diferite spatii; prelucrarea pe scara larga a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicatii "Internetul lucrurilor", cum ar fi smart TV, vehicule conectate, contoare inteligente, jucarii inteligente, orase inteligente sau alte asemenea aplicatii); prelucrarea pe scara larga si/sau sistematica a datelor de trafic si/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografica a pasagerilor in transportul public sau alte asemenea situatii) atunci cand prelucrarea nu este necesara pentru prestarea unui serviciu solicitat de persoana vizata. Exceptii

54 Evaluarea impactului asupra protectiei datelor
Factori pentru determinarea unei prelucrari la scara larga: numarul persoanelor vizate; volumul datelor; durata/permanenta activitatii de prelucrare; extinderea geografica a prelucrarii. Exemple pentru care evaluarea de impact este necesara: prelucrarea de catre un spital de date medicale sau genetice; culegerea de profiluri de social media pentru a genera profiluri pentru listele de contact. Revizuirea evaluarii de impact

55 Evaluarea impactului asupra protectiei datelor
Evaluarea de impact va cuprinde: descrierea operatiunilor de prelucrare si a scopurilor; evaluarea necesitatii si proportionalitatii operatiunilor de prelucrare; evaluarea riscurilor pentru drepturile si libertatile persoanelor vizate; masurile avute in vedere pentru abordarea riscurilor. Atunci cand nu sunt stabilite masuri suficiente pentru atenuarea riscurilor ridicate se consulta autoritatea de supraveghere.

56 Evaluarea impactului asupra protectiei datelor
Prelucrare susceptibila de risc ridicat Evaluare de impact Risc ridicat (care nu poate fi redus) Consultare prealabila cu autoritatea

57 Certificare, sigilii, marci: ce reprezinta?
Instrumente voluntare prin care operatorul/persoana imputernicita poate demonstra conformitatea fara a fi exonerat de raspundere in cazul unei incalcari; Certificarile pot fi acordate de DPA sau de organisme certificate de organismul national de certificare sau de DPA; Certificarea se realizeaza in baza unor criterii adoptate de DPA sau de Comitetul European pentru Protectia Datelor (sigiliu european); Certificarile se emit pe o perioada maxima de 3 ani, cu posibilitate de reinnoire si pot fi retrase de DPA/organismul de certificare; Pot constitui temei pentru un transfer in afara Uniunii; Acreditarea organismelor de certificare se emite pe o perioada maxima de 5 ani, cu posibilitate de reinnoire.

58 Codul de conduita: ce reprezinta?
Instrument voluntar prin care operatorul si/sau persoana imputernicita poate demonstra conformitatea fara a fi exonerat de raspundere in cazul unui incalcari; Sunt supuse aprobarii de catre DPA sau de catre Comisia European daca privesc activitati de prelucrare in mai multe state membre; Poate reprezenta un temei pentru transferul in afara Uniunii; Monitorizarea respectarii unui cod de conduita poate fi realizata de un organism independent acreditat de DPA pe baza unor criterii privind independenta si nivelul de expertiza, detinerea unor proceduri de conformare si solutionare a plangerilor referitoare la incalcari ale codului;

59 Responsabilul cu protectia datelor (1)
OBLIGATORIU: autoritatile publice, cu exceptia instantelor judecatoresti operatorii care realizeaza o monitorizare pe scara larga a persoanelor fizice operatorii care prelucreaza pe scara larga unele categorii speciale de date (ex. origine etnica, orientare politica, religioasa, date genetice, biometrice, privind sanatatea sau referitoare la infractiuni)

60 Responsabilul cu protectia datelor (2)
din cadrul operatorului/imputernicitului, in subordinea directa a conducatorului – statut special pe baza de contract de prestari servicii autoritate publica/organism public – responsabil cu protectia datelor unic

61 Responsabilul cu protectia datelor (4)
Conditii de numire calitati profesionale cunostinte de specialitate in dreptul si practicile din domeniul protectiei datelor capacitatea de indeplinire a sarcinilor

62 Responsabilul cu protectia datelor (5)
Independenta - nu primeste niciun fel de instructiuni in ceea ce priveste indeplinirea sarcinilor Raspunde direct in fata celui mai inalt nivel al conducerii operatorului / persoanei imputernicite Protectie speciala - nu poate fi demis sau sanctionat de catre operator/imputernicit pentru indeplinirea sarcinilor sale Obligatia de a respecta confidentialitatea in indeplinirea sarcinilor sale

63 Responsabilul cu protectia datelor (6)
Obligatii si responsabilitati operatorului persoanei imputernicite angajatilor Informarea si consilierea Monitorizarea respectarii legislatiei Furnizarea de consiliere (evaluarea de impact) Cooperarea cu DPA consultare prealabila consultare Punct de contact pentru DPA

64 Responsabilul cu protectia datelor (7)
Operatorul/persoana împuternicită de operator are obligația: de a publica datele de contact ale responsabilului cu protecția datelor (adresa operatorului, număr de telefon și/sau o adresă de e- mail profesională a responsabilului) de a comunica DPA datele de contact ale responsabilului cu protecția datelor

65 Instrumente utile – RGPD (1)
Ghiduri pentru interpretarea si aplicarea RGPD elaborate de Grupul de Lucru Art. 29 Emise: Ghid cu privire la Portabilitatea datelor Ghid cu privire la responsabilul pentru protectia datelor (DPO) Ghid cu privire la stabilirea Autoritatii de supraveghere principala Ghid cu privire la Evaluarea de Impact asupra Protectiei Datelor (DPIA) Ghid cu privire la profilare Ghid cu privire la notificarea incalcarilor de securitate Ghid cu privire la consimtamant Ghid cu privire la transparenta Ghid cu privire la derogarile privind transferurile (art. 49) Ghid privind acreditarea organismelor de certificare Ghid privind certificarea si identificarea criteriilor de certificare Ghid privind codurile de conduita

66 Instrumente utile – RGPD (2)
Pliante de informare Comisia Europeană: EU Data Protection Reform: better data protection rights for European citizens It’s your data – take control fundamental-rights/data-protection/2018-reform-eu-data- protection-rules_ro

67

68

Descărcați ppt "Protectia datelor cu caracter personal"

Prezentări similare

Managementul Calității în Sănătate

Managementul Calității în Sănătate
Curtea Supremă a Republicii Croația

Curtea Supremă a Republicii Croația
Privatizari in pietele europene: aspecte strategice, financiare si legale Bucuresti, 26 Martie 2013 In colaborare cu.

Privatizari in pietele europene: aspecte strategice, financiare si legale Bucuresti, 26 Martie 2013 In colaborare cu.
PRINCIPALELE REGLEMENTĂRI

PRINCIPALELE REGLEMENTĂRI
OFICIUL DE STAT PENTRU INVENȚII ȘI MĂRCI

OFICIUL DE STAT PENTRU INVENȚII ȘI MĂRCI
Registrul Potentialilor Contractori (RPC)

Registrul Potentialilor Contractori (RPC)
Regulamentul cu privire la promovarea etică a medicamentelor

Regulamentul cu privire la promovarea etică a medicamentelor
Sistemul de pensii facultative - oportunitati si provocari 2008

Sistemul de pensii facultative - oportunitati si provocari 2008
Valorile și principiile Uniunii Europene

Valorile și principiile Uniunii Europene
Seminar – GDPR in institutii de invatamant Editia 1 – 29 mai 2019

Seminar – GDPR in institutii de invatamant Editia 1 – 29 mai 2019
Convenția de la viena - 1961 53 articole.

Convenția de la viena articole.
Educație financiară Internet banking.

Educație financiară Internet banking.
Publicitatea in cadrul societatii S.C.CLADI S.R.L

Publicitatea in cadrul societatii S.C.CLADI S.R.L
STRATEGIA NAȚIONALĂ DE REINTEGRARE SOCIALĂ

STRATEGIA NAȚIONALĂ DE REINTEGRARE SOCIALĂ
LEGE nr. 336 din 21 decembrie 2018 privind aprobarea Programului pentru stimularea angajării tinerilor în sectoarele agricultură, acvacultură şi industria.

LEGE nr. 336 din 21 decembrie 2018 privind aprobarea Programului pentru stimularea angajării tinerilor în sectoarele agricultură, acvacultură şi industria.
SUB LUPA COFACE INTERCREDIT

SUB LUPA COFACE INTERCREDIT
Reorganizarea judiciară, între mit și realitate

Reorganizarea judiciară, între mit și realitate
Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova Potențiale modificări în Legea privind protecția datelor cu caracter.

Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova Potențiale modificări în Legea privind protecția datelor cu caracter.
Masuri de sprijinire a contribuabililor aflati in dificultate financiara Temei legal: * Art.VIII si art. XI din OG 30/2011 pentru.

Masuri de sprijinire a contribuabililor aflati in dificultate financiara Temei legal: * Art.VIII si art. XI din OG 30/2011 pentru.
Cadrul european cuprinzând Regulamentul 606/2013,

Cadrul european cuprinzând Regulamentul 606/2013,

Prezentări similare

Publicitate de la Google