Arhivă categorie Protectia datelor cu caracter personal

Lista națională a activităților de prelucrare pentru care este necesară DPIA

Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal („Decizia nr. 174/2018”), emisă de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, a fost publicată în Monitorul Oficial al României, Partea I, nr. 919 din 31 octombrie 2018.

Decizia nr. 174/2018 a fost emisă de ANSPDCP în aplicarea art. 35 alin. (4) din Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („GDPR”), potrivit căruia autoritățile de supraveghere trebuie să publice o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (evaluare cunoscută și sub acronimul DPIA).

detalii pe site >>

Exemple cand DPIA este sau nu necesara

Este necesară EIPD
O bancă își selectează clienții dintr-o bază de date cu informații privind creditele; un spital este pe punctul să implementeze o nouă bază de date cu informații despre sănătate, care conține date privind sănătatea pacienților; un operator de autobuz urmează să instaleze camere la bord pentru a monitoriza comportamentul șoferilor și al călătorilor.

Nu este necesară o EIPD
Medicul unei comunități prelucrează date cu caracter personal ale pacienților săi. În acest caz nu este necesară o EIPD, deoarece prelucrarea de către medicul comunității nu se face la scară largă în cazurile în care numărul de pacienți este limitat.

mai multe informatii>>

Evaluarea impactului asupra protecției datelor – Articolul 35

 (1) Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare.

(2) La realizarea unei evaluări a impactului asupra protecției datelor, operatorul solicită avizul responsabilului cu protecția datelor, dacă acesta a fost desemnat.

(3) Evaluarea impactului asupra protecției datelor menționată la alineatul (1) se impune mai ales în cazul:

(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

(b) prelucrării pe scară largă a unor categorii speciale de date, menționată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10; sau

(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

(4) Autoritatea de supraveghere întocmește și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor, în conformitate cu alineatul (1). Autoritatea de supraveghere comunică aceste liste comitetului menționat la articolul 68.

(5) Autoritatea de supraveghere poate, de asemenea, să stabilească și să pună la dispoziția publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecției datelor. Autoritatea de supraveghere comunică aceste liste comitetului.

(6) Înainte de adoptarea listelor menționate la alineatele (4) și (5), autoritatea de supraveghere competentă aplică mecanismul pentru asigurarea coerenței menționat la articolul 63 în cazul în care aceste liste implică activități de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii către persoane vizate sau monitorizarea comportamentului acestora în mai multe state membre ori care pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. 4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/53

(7) Evaluarea conține cel puțin:

(a) o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;

(b) o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

(c) o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la alineatul (1); și

(d) măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.

(8) La evaluarea impactului operațiunilor de prelucrare efectuate de operatorii sau de persoanele împuternicite de operatori relevante, se are în vedere în mod corespunzător respectarea de către operatorii sau persoanele împuternicite respective a codurilor de conduită aprobate menționate la articolul 40, în special în vederea unei evaluări a impactului asupra protecției datelor.

(9) Operatorul solicită, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare.

(10) Atunci când prelucrarea în temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic în dreptul Uniunii sau al unui stat membru sub incidența căruia intră operatorul, iar dreptul respectiv reglementează operațiunea de prelucrare specifică sau setul de operațiuni specifice în cauză și deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări a impactului generale în contextul adoptării respectivului temei juridic, alineatele (1)-(7) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare.

(11) Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.


Consultarea prealabilă

Articolul 36

(1) Operatorul consultă autoritatea de supraveghere înainte de prelucrarea atunci când evaluarea impactului asupra protecției datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea riscului.

(2) Atunci când consideră că prelucrarea prevăzută menționată la alineatul (1) ar încălca prezentul regulament, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, autoritatea de supraveghere oferă consiliere în scris operatorului și, după caz, persoanei împuternicite de operator, în cel mult opt săptămâni de la primirea cererii de consultare, și își poate utiliza oricare dintre competențele menționate la articolul 58. Această perioadă poate fi prelungită cu șase săptămâni, ținându-se seama de complexitatea prelucrării prevăzute. Autoritatea de supraveghere informează operatorul și, după caz, persoana împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la orice astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate până când autoritatea de supraveghere a obținut informațiile pe care le-a solicitat în scopul consultării.

(3) Atunci când consultă autoritatea de supraveghere în conformitate cu alineatul (1), operatorul îi furnizează acesteia:

(a) dacă este cazul, responsabilitățile respective ale operatorului, ale operatorilor asociați și ale persoanelor împuternicite de operator implicate în activitățile de prelucrare, în special pentru prelucrarea în cadrul unui grup de întreprinderi;

(b) scopurile și mijloacele prelucrării preconizate;

(c) măsurile și garanțiile prevăzute pentru protecția drepturilor și libertăților persoanelor vizate, în conformitate cu prezentul regulament;

(d) dacă este cazul, datele de contact ale responsabilului cu protecția datelor; L 119/54 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(e) evaluarea impactului asupra protecției datelor prevăzută la articolul 35; și

(f) orice alte informații solicitate de autoritatea de supraveghere.

(4) Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei propuneri de măsură legislativă care urmează să fie adoptată de un parlament național sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrarea.

(5) În pofida alineatului (1), dreptul intern poate impune operatorilor să se consulte cu autoritatea de supraveghere și să obțină în prealabil autorizarea din partea acesteia în legătură cu prelucrarea de către un operator în vederea îndeplinirii unei sarcini exercitate de acesta în interes public, inclusiv prelucrarea în legătură cu protecția socială și sănătatea publică.

Drepturile persoanelor vizate – extras din GDPR

CAPITOLUL III: Drepturile persoanei vizate
Secţiunea 2: Informare şi acces la date cu caracter personal
Art. 13: Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile următoare:
a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;
b) datele de contact ale responsabilului cu protecţia datelor, după caz;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic
al prelucrării;
d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terţă;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2) În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:

a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;

c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;

d) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;

e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;

f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3) În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).

(4) Alineatele (1), (2) şi (3) nu se aplică dacă şi în măsura în care persoana vizată deţine deja informaţiile respective.

Art. 14: Informaţii care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată

(1) În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informaţii:

a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;

b) datele de contact ale responsabilului cu protecţia datelor, după caz;

c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;

d) categoriile de date cu caracter personal vizate;

e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2) Pe lângă informaţiile menţionate la alineatul (1), operatorul furnizează persoanei vizate următoarele informaţii necesare pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată:

a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

b) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terţă;

c) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării şi a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;

d) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;

e) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;

f) sursa din care provin datele cu caracter personal şi, dacă este cazul, dacă acestea provin din surse disponibile public; g) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3) Operatorul furnizează informaţiile menţionate la alineatele (1) şi (2):

a) într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal;

b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau

c) dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

(4) În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).

(5) Alineatele (1)-(4) nu se aplică dacă şi în măsura în care:

a) persoana vizată deţine deja informaţiile;

b) furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligaţia menţionată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective In astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;

c) obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

d) în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.

Art. 15: Dreptul de acces al persoanei vizate

(1) Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii:

a) scopurile prelucrării;

b) categoriile de date cu caracter personal vizate;

c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;

d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

e) existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;

f) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;

g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora;

h) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(2) În cazul în care datele cu caracter personal sunt transferate către o ţară terţă sau o organizaţie internaţională, persoana vizată are dreptul să fie informată cu privire la garanţiile adecvate în temeiul articolului 46 referitoare la transfer.

(3) Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic şi cu excepţia cazului în care persoana vizată solicită un alt format, informaţiile sunt furnizate într-un format electronic utilizat în mod curent.

(4) Dreptul de a obţine o copie menţionată la alineatul (3) nu aduce atingere drepturilor şi libertăţilor altora.

Secţiunea 3: Rectificare şi ştergere

Art. 16: Dreptul la rectificare

Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.

Art. 17: Dreptul la ştergerea datelor („dreptul de a fi uitat”)

(1) Persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

b) persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), şi nu există niciun alt temei juridic pentru prelucrarea;

c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);

d) datele cu caracter personal au fost prelucrate ilegal;

e) datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se află operatorul;

f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la articolul 8 alineatul (1).

(2) În cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă, operatorul, ţinând seama de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

(3) Alineatele (1) şi (2a) nu se aplică în măsura în care prelucrarea este necesară:

a) pentru exercitarea dreptului la liberă exprimare şi la informare;

b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul;

c) din motive de interes public în domeniul sănătăţii publice, în conformitate cu articolul 9 alineatul (2) literele (h) şi (i) şi cu articolul 9 alineatul (3);

d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care dreptul menţionat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă.

Art. 18: Dreptul la restricţionarea prelucrării

(1) Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în cazul în care se aplică unul din următoarele cazuri:

a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;

b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;

c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă; sau

d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

(2) În cazul în care prelucrarea a fost restricţionată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

(3) O persoană vizată care a obţinut restricţionarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricţiei de prelucrare.

Art. 19: Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării

Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării efectuate în conformitate cu articolul 16, articolul 17 alineatul (1) şi articolul 18, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.

Art. 20: Dreptul la portabilitatea datelor

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

a) prelucrarea se bazează pe consimţământ în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b);

şi b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menţionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.

(4) Dreptul menţionat la alineatul (1) nu aduce atingere drepturilor şi libertăţilor altora.

Secţiunea 4:

Dreptul la opoziţie şi procesul decizional individual automatizat

Art. 21: Dreptul la opoziţie

(1) În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situaţia particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziţii. Operatorul nu mai prelucrează datele cu caracter personal, cu excepţia cazului în care operatorul demonstrează că are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă.

(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.

(3) În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.

(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menţionat la alineatele (1) şi (2) este adus în mod explicit în atenţia persoanei vizate şi este prezentat în mod clar şi separat de orice alte informaţii.

(5) În contextual utilizării serviciilor societăţii informaţionale şi în pofida Directivei 2002/58/CE, persoana vizată îşi poate exercita dreptul de a se opune prin mijloace automate care utilizează specificaţii tehnice.

(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1), persoana vizată, din motive legate de situaţia sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepţia cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.

Art. 22: Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(2) Alineatul (1) nu se aplică în cazul în care decizia:

a) este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator de date;

b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului şi care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate;

sau c) are la bază consimţământul explicit al persoanei vizate.

(3) În cazurile menţionate la alineatul (2) literele (a) şi (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate, cel puţin dreptul acesteia de a obţine intervenţie umană din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia.

(4) Deciziile menţionate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menţionate la articolul 9 alineatul (1), cu excepţia cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) şi în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate.

Registru de evidenta a datelor cu caracter personal – Modele pentru Operator si Procesator – Free to download

Poti sa downloadezi de aici modele de registre de evidenta conform articolului 30 din GDPR:

gdpr-documentation-processor-template

gdpr-documentation-controller-template

Articolul 30: Evidenţele activităţilor de prelucrare

(1)Fiecare operator şi, după caz, reprezentantul acestuia păstrează o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea lor. Respectiva evidenţă cuprinde toate următoarele informaţii: Citește mai mult

Aveți un plan de răspuns în cazul unui incident de securitate?

În conformitate cu Regulamentul UE privind protecția datelor generale (GDPR), organizațiile trebuie să răspundă la o încălcare gravă a securitatii datelor cu caracter personal în termen de 72 de ore de la conștientizarea acestora. Aceasta pune o presiune semnificativă organizațiilor. Cum, cine, ce, cand…ce facem acum, cine face si cum ne organizam ca sa evitam sanctiunile impuse de GDPR, 4% sau 20 milioane de euro…

O altă veste vine de la studiul efectuat de Institutul Ponemon,  „Costul unei brese de securitate a datelor in 2018″, care arată că una din patru organizații va suferi o încălcare a datelor în următorii doi ani. Aceasta arată cât de important este să existe un plan de răspuns la o bresa de securitate a datelor pentru a face față incidentelor de securitate. ( Daca te intereseaza sa auditezi sau sa creezi un astfel de plan de raspuns la incidentele de securitate, Contacteaza-ne )

Ce este un plan de răspuns in caz de incident de securitate a datelor cu caracter personal?

Un plan de răspuns la un incident de securitate a datelor este un set de acțiuni care ajută organizațiile să detecteze și să răspundă breselor de securitate într-o manieră rapidă, planificată și coordonată. Acestea vor include măsuri tehnice, cum ar fi software anti-malware și criptarea datelor, precum și politici și procese de urmat de către personal.

Un plan eficient reduce prejudiciul financiar și reputațional asociat unei încălcări și vă ajută să vă conformați GDPR.

În ciuda eficienței dovedite a planurilor de răspuns la încălcarea datelor, PwC Global Crime Economic and Fraud Survey 2018 a constatat că doar 30% dintre organizații au un plan în vigoare.

Mai mult decat atat, acest plan trebuie sa fie testat, adică trebuiesc facute simulari bazate pe întrebari de genul „Ce facem daca…. cine face actiunea x, daca membrul echipei lipseste cine ii preia taskurile?”

Iată și câteva etape  în organizarea a unui plan de răspuns la bresele de securitate:

1. Identificarea incidentului.

Cu cât organizația dvs. este mai expusă unei vulnerabilități, cu atât mai multe daune pot fi cauzate. Ca urmare, detectarea promptă a unei brese a datelor poate fi diferența dintre o întrerupere moderată și un dezastru.

Acesta este motivul pentru care evaluarea riscurilor de securitate a informațiilor este atât de importantă. Acestea vă ajută să detectați punctele slabe și să vă informați cu privire la modul în care să le abordați.( Contacteaza-ne acum pentru un audit de securitate a datelor cu caracter personal )

2. Stabilirea obiectivelor  investigației și a unei operațiuni de curățare.

Este evident că este important să reacționam cât mai curând posibil după un incident de securitate identificat, dar acest lucru ar trebui să fie un efort coordonat. Trebuie să revedeți ce a cauzat incidentul și să stabiliți obiectivele pentru ceea ce doriți să atingeți. S-ar putea să întrebați, de exemplu, când sau dacă clienții / persoanele vizate afectate trebuie să fie notificați sau dacă un sistem este la capacitate maximă înainte de a putea fi pus in functionare.

3. Analiza tuturor informațiilor disponibile referitoare la breșa de securitate.

Breșele (sau revizuirile în cazul unor incidente care au avut loc deja) vor genera o mulțime de date. Trebuie să știți nu numai cum să utilizați aceste informații, ci și să aveți personal și resurse adecvate pentru a o disemina.

4. Determinarea a ceea ce s-a întâmplat de fapt.

Incidentele de securitate nu sunt întotdeauna clare. De aceea trebuie identificat ce s-a intamplat, in ce situatie si cine este raspunzator.

5. Identificarea impactului bresei – ce sisteme, rețele și informații au fost compromise.

6. Determinarea informațiilor care au fost dezvăluite părților neautorizate, furate, șterse sau corupte.

7. Aflati cine a cauzat incidentul de securitate si de ce.

8. Identificarea modului în care a avut loc încălcarea.

9. Determinarea impactului potențial asupra afacerilor cauzat de bresa

10. Efectuarea unei investigații cu specialiști in domeniu pentru a identifica persoanele responsabile.

 

Cum să depășim aceste provocări?

Echipa noastra va ajuta cu sfaturi pentru a va îmbunătăți înțelegerea în ceea ce privește gestionarea răspunsului la breșele de securitate a datelor și la capacitatea organizatiei dumneavoastră de a gestiona incidentele de securitate.
Pentru a vă putea organiza eficient echipa si pentru a evita amenzile ne puteti contacta acum.

 

 

Adriana Szentgyorgyi Ceaușescu, Project Manager, ASCPD: Jumătate dintre companii nu reuşesc să identifice breşele de securitate cibernetice

Ameninţările cibernetice devin din ce în ce mai complexe, dar jumătate dintre companii nu reuşesc să identifice breşele de securitate, potrivit Adrianei Szentgyorgyi Ceaușescu, Project Manager, Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD).

În cadrul primei ediții a Conferinței Naționale ”Securitatea Informației în Era Digitală”, organizate de Oameni și Companii în cadrul programului de comunicare profesională și marketing Global IT Manager, reprezentanta ASCPD a prezentat diverse cazuri de breșe cibernetice, atrâgând atenția că, potrivit unui studiu Kaspersky Lab, 66% dintre companii sunt de acord că ameninţările devin din ce în ce mai complexe, dar pentru 52% din ei este din ce în ce mai dificil de stabilit diferenţa dintre atacurile “normale” şi atacurile complexe. Potrivit studiului prezentat, în 2018 a crescut cu până la 26% bugetul pentru securitatea cibernetică, iar costul mediu al unei breşe de securitate a datelor a fost de 1,23 milioane de dolari; pentru un IMM, costurile au variat de la 24.000 de dolari la 39.000 de dolari, în ultimele 12 luni.

Evenimentul Oameni și Companii a reunit aproximativ 100 de participanți vineri, 15 februarie 2019, la Hotel Pullman, București. Programul de marketing și comunicare profesională Global IT Manager se derulează în cadrul unei comunități formate din specialiști IT cu diverse specializări. Programul a fost lansat de Oameni și Companii în anul 2014. Oameni și Companii este o organizație specializată în soluții de marketing și acces în comunități business, profesionale și premium-consumer.

Mai multe detalii pe situl publicatiei

 

Dreptul de a fi uitat – când, cum și mai ales în ce condiții

Regulamentul 679/2016, intrat în vigoare la 25 mai 2018, este de fapt despre drepturile persoanelor fizice, în viață, cu privire la modul îin care datele lor cu caracter personal sunt prelucrate.

Astfel,o persoană vizată trebuie în primul rand să fie informată despre temeiul legal în baza caruia datele sale sunt prelucrate. Acel “DE CE?” pe care noi, persoanele fizice trebuie să îl intrebam fie la bancă, fie la primarie, ori în altă instituțtie în care ni se solicită informații despre datele cu caracter personal. Citește mai mult