Documente Academic
Documente Profesional
Documente Cultură
6 iulie 2017
Agenda: protecția datelor personale
1. Frauda utilizând identități furate sau falsificate
2. GDPR
3. Măsuri de protecție a datelor personale
4. Răspunsul în caz de incidente
2
1.Frauda utilizând identități furate
sau falsificate
Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor
fizice in ceea ce privește prelucrarea datelor cu caracter personal si privind libera circulație a acestor date (“GDPR”) a intrat
in vigoare la data de 25 mai 2016.
GDPR înlocuiește Directiva 95/46/EC privind protecția persoanelor fizice in ceea ce privește prelucrarea datelor cu caracter
personal si libera circulație a acestor date si va fi direct aplicabil in toate statele membre ale UE fără a fi necesara
transpunerea in legislația națională.
21 noiembrie 3 mai 2005 1 ianuarie 2007 27 aprilie 2016 25 mai 2016 25 mai 2018
2001 Legea nr. 102/2005
privind înființarea
Autorității Naționale de
Supraveghere a
Prelucrării Datelor cu Intrare in vigoare a GDPR
Caracter Personal
(“ANSPDCP”)
01 02
LPD GDPR
334 EUR - 11,112 EUR Amenzi de pana la 10.000.000 EUR
Art. 33 LPD: Neîndeplinirea obligațiilor privind sau, in cazul unor întreprinderi, 2% din
aplicarea măsurilor de securitate și de păstrare cifra de afaceri mondială totală anuala
a confidențialității prelucrărilor, prevăzute la corespunzătoare exercițiului financiar
art. 19 și 20, constituie contravenție, dacă nu anterior, luându-se cea mai mare
este săvârșită în astfel de condiții încât să valoare
constituie infracțiune, și se sancționează cu pentru încălcarea dispozițiilor privind, de
amendă de la 1.500 lei la 50.000 lei. exemplu, următoarele:
Obligațiile operatorului si ale persoanei
împuternicite de operator
Obligațiile organismului de certificare
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații Daca societatea s-a bazat pe consimțământ, iar acesta este invalidat (e.g.
legale care îi revine operatorului; viciat sau retras), este discutabil daca poate sa se ralieze pe un alt temei legal
de prelucrare (e.g. interes legitim). In plus, apelarea la consimțământ
(d) prelucrarea este necesară pentru a proteja interesele vitale afectează drepturile persoanelor vizate, acestea vor avea drepturi
ale persoanei vizate sau ale altei persoane fizice; suplimentare in baza Regulamentului (e.g. dreptul de a fi uitat si dreptul la
portabilitate).
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care
servește unui interes public sau care rezultă din exercitarea
autorității publice cu care este învestit operatorul;
1 Concept, clarificări
3
Principala recomandare – evaluarea
necesitatii de a numi o persoana
responsabila
4 o anumita
“imunitate”
3
instructiuni
cu privire la
indeplinirea
atributiilor
2
resurse
necesare
pentru
exercitarea
atributiilor
implicare in mod
1
corespunzator si in
timp util in toate
aspectele legate
de protectia
datelor cu caracter
personal
Scop
Primul pas pe care îl recomandăm societăților care prelucrează − mediul ITC utilizat de organizație pentru prelucrarea datelor cu caracter
date cu caracter personal este o auto-evaluare, un audit intern personal;
care să răspundă cel puțin următoarelor întrebări:
− măsurile tehnice și organizatorice luate deja de organizație pentru a
− care sunt categoriile de date cu caracter personal prelucrate respecta cerințele de confidențialitate, e.g. documentație de
de către societate? confidențialitate, politici, ghiduri, declarații de confidențialitate, clauze
contractuale, măsuri luate cu privire la transferul internațional de date,
− dacă aceste date cu caracter personal sunt transferate şi etc.
către cine?
Scopul evaluării este de a oferi o viziune de ansamblu clară asupra gradului de
− dacă prelucrarea şi/sau transferul datelor respectă respectare a confidențialității și protecției datelor cu caracter personal în cadrul
principiile şi regulile impuse de Regulament? organizației locale. Practic, societatea va avea o privire de ansamblu a tuturor
activităților de prelucrare de date la nivelul societății, a proceselor de business
− dacă societatea are implementat un sistem de care implica prelucrare de date, cu indicarea precisa a zonelor in care trebuie
notificare/informare a persoanelor vizate, precum şi de luate masuri pentru a asigura respectarea Regulamentului.
preluare a consimțământului acestora?
1. Guvernanta (datelor)
Inregistrări ale
Politici și Responsabil cu
activităților de
proceduri protecția datelor
procesare
Protecția datelor
Analiza impactului
începând cu Protectia implicită
asupra protecției
momentul a datelor
datelor
proiectării
Managementul riscurilor
Motivare (1): Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii
Europene („carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene
(TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.
© 2017 Deloitte Romania 22
Măsuri de protecție
Privacy by Design
art. 30(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o Monitorizare –
evidență a activităților de prelucrare desfășurate sub activități și
responsabilitatea lor. Respectiva evidență cuprinde toate următoarele securitate
informații:
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și
organizatorice de securitate menționate la articolul 32 alineatul (1).
art.30(2) Fiecare operator și, după caz, persoana împuternicită de operator Monitorizare –
păstrează o evidență a tuturor categoriilor de activități de activități și
prelucrare desfășurate în numele operatorului, care cuprind: securitate
art.33(1) în cazul în care are loc o încălcare a securității datelor cu caracter personal,
operatorul notifică acest lucru autorității de supraveghere competente în temeiul
articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult
72 de ore [...]. în cazul în care notificarea nu are loc în termen de 72 de ore,
aceasta este însoțită de o explicație motivată din partea autorității de
supraveghere.
art.33(2) Persoana împuternicită de operator înștiințează operatorul fără întârzieri
nejustificate după ce ia cunoștință de o încălcare a securității datelor [...]
art.33(3) Notificarea menționată la alineatul (1) cel puțin:
(a) descrie caracterul încălcării securității datelor cu caracter personal, inclusiv,
acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în
cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu
caracter personal în cauză;
(b) comunică numele și datele de contact ale responsabilului [...]
(c) descrie măsurile luate sau propuse spre a fi luate de operator pentru a
remedia problema încălcării securității datelor cu caracter personal, inclusiv, după
caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Obține implicarea conducerii superioare • Determinați-vă rolul: sunteți operator sau persoană
împuternicită?
Implica principalii actori: responsabilul de securitate,
persoana din conducere responsabila de conformitate • Protecția datelor prin proiectare si dezvoltare va deveni
privind protecția datelor, IT (dezvoltare & operațiuni), risc, obligatorie (General Data Protection Regulation)
juridic, conformitate, responsabili
procese/produse/servicii, utilizatori finali, … • Nu exista un standard (încă), doar cerințe minime
(bune practici)
Caută aliați în interiorul organizației, e.g. Financiar,
Achiziții (funcții “cheie”) • Adaptarea cerințelor fiecărei organizații în parte
Definirea clară: aceeași înțelegere evitarea modificării • Creșterea valorii prin integrare in procesul existent de
scopului și obiectivelor management al riscurilor informaționale
Evită abordarea departamentală: este important să fie • Folosește protecția datelor personale pentru a creste
înțeles întregul ciclu de viață al datelor de către toți nivelul de conștientizare privind securitatea datelor
responsabilii in general in cadrul organizației
Termene clare necesare pentru acțiuni de remediere • Desfășurați o evaluare de risc, dacă este cazul și
implementați măsurile sugerate de experți.
Protecția datelor nu trebuie sa încetinească
activitățile de afaceri ci sa le faciliteze • Asigurați-vă că este clar cine este persoana responsabilă
cu securitatea datelor cu caracter personal și cu
securitatea sistemelor informatice.
© 2017 Deloitte Romania 30
GDPR – Protecția datelor personale
6 iulie 2017
Numele Deloitte se refera la organizatia Deloitte Touche Tohmatsu Limited, o companie cu raspundere limitata din Marea Britanie, la
firmele membre ale acesteia, in cadrul careia fiecare firma membra este o persoana juridica independenta. Pentru o descriere amanuntita a
structurii legale a Deloitte Touche Tohmatsu Limited si a firmelor membre, va rugam sa accesati www.deloitte.com/ro/despre.
Reff si Asociatii SCA este societate de avocati membra a Baroului Bucuresti, independenta in conformitate cu reglementarile aplicabile
profesiei de avocat, si reprezinta reteaua de societati de avocati Deloitte Legal in Romania. Deloitte Legal inseamna practicile juridice ale
membrilor Deloitte Touche Tohmatsu Limited si afiliatii acestora care ofera servicii de asistenta juridica. Pentru o descriere a serviciilor de
asistenta juridica oferite de entitatile membre ale Deloitte Legal, va rugam accesati: http://www.deloitte.com/deloittelegal.
Deloitte furnizeaza servicii clientilor din sectorul public si privat in urmatoarele domenii profesionale - audit, taxe, consultanta, consultanta
financiara – deservind numeroase industrii. Prin intermediul retelei sale globale de firme membre, care activeaza in peste 150 de tari,
Deloitte pune la dispozitia clientilor sai resursele internationale precum si priceperea locala pentru a-i ajuta sa exceleze indiferent de locul
in care acestia isi desfasoara activitatea. Obiectivul celor 225 000 de profesionisti din Deloitte este acela de a crea un impact vizibil in
societate.