GDPR - ABC

Razvan Ziemba
razvan.ziemba@gmail.com
Decembrie 2017

Ditribuit de Koding catre Koding Connect

Cuprins

 Glosar
 Generalitati
 Cui se aplica
 Temeiul prelucrarii
 Informarea persoanei vizate
 Consimtamantul persoanei vizate
 Consimtamantul copiilor
 Drepturile persoanei vizate
 Dreptul la portabilitatea datelor
 Responsabilul cu protectia datelor
 Evaluarea de impact
 Securitatea datelor
 Incidentele de securitate
 Registrul operatiunilor de prelucrare
 Relatia operator – persoana
imputernicita
 Remedii si sanctiuni
 Amenzi administrative
 Actiuni pentru operator
 Politici interne
 Ce se poate face?  Proiect GDPR!
 Glosar

 Date cu caracter personal:  Adresa de email

 Numele si prenumele  Date de trafic
 Porecla  Activitatea online
 Semnatura  Adresa IP
 Adresa  Imaginea
 Codul numeric personal  Voce
 Seria si numarul cartii de  Loc de munca
identitate
 Profesia
 Seria si numarul pasaportului
 Apartenenta sindicala
 Cetatenia
 Studii
 Locul nasterii
 Formare profesionala
 Originea rasiala
 Datele bancare
 Originea etnica
 Situatie financiara
 Date genetice
 Convingerile politice
 Date biometrice
 Cazier
 Caracteristici fizice
 Preferinte
 Stare de sanatate
 Obisnuinte
 Numarul de telefon
 Comportament
 Numar de fax
 Etc.
Glosar

 Autoritatea Nationala de Supraveghere a Prelucrarii

Datelor cu Caracter Personal
http://dataprotection.ro/
 “periodică și sistematică” presupune o activitate
continuă și recurentă, care implică prelucrări de
date.
 “pe scară largă”:
 numărul persoanelor vizate – un număr exact ori
un procent din populația relevantă;
 volumul datelor și/sau gama de elemente diferite
de date în curs de prelucrare;
 durata sau permanența activității de prelucrare a
datelor;
 suprafața geografică a activității de prelucrare.
Glosar

 “Categoriile speciale de date”:

 Originea rasială
 Originea etnică
 Opiniile politice
 Confesiunea religioasă
 Convingerile filozofice
 Apartenența la sindicate
 Date genetice
 Date biometrice pentru identificarea unică
 Date privind sănătatea
 Date privind viața sexuală sau orientarea sexuală
 Date cu caracter personal referitoare la fapte penale sau
contraventii
Generalitati

 Sfera de aplicare mai larga

 Reguli mai restrictive pentru consimtamant
 Raspundere distincta a imputernicitului
 Mai multe drepturi pentru persoana vizata
 Notificarea incidentelor de securitate
 Responsabil cu protectia datelor (DPO)
 Sanctiuni mai drastice
 Raspundere si guvernanta
Cui se aplica

 Persoane fizice, juridice

 Sediul in UE
 Produse oferite unor persoane din UE
 Monitorizarea comportamentului unor persoane din UE
Temeiul prelucrarii

 Pe baza de consimtamant
 Executarea unui contract, antecontract, inaintea unui
contract
 Protejarea vietii, integritatii fizice
 Indeplinirea unei obligatii legale a operatorului
 Indeplinirea unor masuri de interes public
 Interesul legitim al operatorului (sau al tertului,
inclusiv persoana vizata)
Informarea persoanei vizate
 Identitatea operatorului
 Datele de contact ale DPO
 Scopurile in care sunt prelucrate datele
 Temeiul juridic al prelucrarii
 Destinatarii datelor
 In cazul transferului in state terte:
✓ Mijloacele de protectie
✓ Mijloacele de a obtine o copie a garantiilor
adecvate
 Perioada pentru care vor fi stocate datele
Informarea persoanei vizate
 Informarea completa despre drepturi:
✓ Acces
✓ Transfer (portabilitate)
✓ Stergere
✓ Rectificare
✓ Restrictionarea prelucrarii
✓ Opunerea la prelucrare
✓ Retragerea consimtamantului
 Dreptul de a depune o plangere
 Daca este o obligatie legala, contractuala sau o
obligatie necesara incheierii unui contract
Informarea persoanei vizate

 Daca este o obligatie legala, informarea cu privire la

consecintele nerespectarii
 Daca se ia o decizie automata incluzand crearea de
profiluri, se vor furniza informatii pertinente privind
logica utilizata, importanta si consecintele
preconizate ale unei astfel de prelucrari
Consimtamantul persoanei
vizate
 Declaratie sau actiune fara echivoc
 Exprimata ca o manifestare de vointa libera,
specifica, informata (in cunostinta de cauza) si lipsita
de ambiguitate
 Pentru (fiecare) toate activitatile de prelucrare si
(fiecare) toate scopurile in clar
 Numele in clar al tertilor?
 Se poate retrage la orice moment
Consimtamantul copiilor

 Pana in 16 ani, acordul “titularului raspunderii

parintesti asupra copilului”
 Varsta poate diferi in functie de stat (poate cobori
pana la 13 ani)
 Consimtamantul trebuie verificat
Drepturile persoanei vizate

 Transparenta informatiilor
 Dreptul la acces
 Dreptul la rectificare
 Dreptul la stergere
 Dreptul la restrangerea prelucrarii
 Dreptul la portabilitatea datelor
 Dreptul la opozitie
 Dreptul de a nu fi supus unei decizii automate,
inclusiv profilare!!!
Dreptul la portabilitatea
datelor

 Datele pot fi portate

 Catre persoana vizata
 Catre un alt operator
 Conditii: existenta unui consimtamant/contract +
mijloace automate
 Date portabile:
 Date furnizate de persoana
 In mod direct si activ
 Prin observarea persoanei
 Exclude datele derivate sau deduse
 Date despre persoana
 Inclusiv datele pseudonimizate
 Exclude datele anonime
 Date despre terti
 Daca sunt transferate persoanei vizate
 Daca sunt transferate altui operator pentru
prelucrare in acelasi scop
 Exclude prelucrarea in alt scop (marketing)
Dreptul la portabilitatea
datelor

 Forma structurata a datelor

 Format utilizat in mod curent
 Care poate fi citit automat
 Termen cel mult o luna (inclusiv pentru refuz)
 Poate fi prelungit cu maxim 2 luni cu notificare in
termenul de o luna
Responsabilul cu protectia
datelor

 Obligatorie pentru:
 Autoritate sau organism public
 Activitatea principala: monitorizarea periodica si
sistematica pe scara larga
 Activitatea principala: prelucrarea pe scara larga
a unei categorii speciale de date
 Recomandat pentru toata lumea
 Nu exista conditii de certificare sau de studii
 Cerinte:
 Legislatia si practicile
 Intelegerea proceselor
 Intelegerea IT si securitatii datelor
 Intelegerea afacerii
 Abilitatea de a promova protectia datelor in
organizatie
Responsabilul cu protectia
datelor
 Activitati:
 Consultanta/consiliere cu privire la obligatiile in
temeiul GDPR
 Monitorizeaza respectarea GDPR si a politicilor
interne
 Consultanta/consiliere in cadrul DPIA (evaluare
de impact)
 Coopereaza cu autoritatea de supraveghere
 Punct de contact pentru autoritatea de
supraveghere
 Raspunde la solicitarile persoanelor vizate
 Training si eforturi de informare
 Poate fi angajat sau consultant extern
 Cerinte:
 Independent
 Acces la top management
 Nu poate fi sanctionat
 Trebuie sa i se aloce fonduri/resurse
 Trebuie sa aiba acces la personalul si operatiunile
de prelucrare
Responsabilul cu protectia
datelor

 Nu este personal responsabil

 Nu poate fi „demis sau sancționat de operator sau
persoana împuternicită de operator pentru
îndeplinirea sarcinilor sale” (de exemplu cand nu se
tine cont de recomandarile lui)
 Operatorul este responsabil
Evaluarea de impact

 Obligatorie:
 Prelucrare automata, inclusiv profilare
 Prelucrare pe scara larga a unor categorii speciale
de date
 Monitorizari sitematice pe scara larga a unei zone
accesibile publicului
 Anterior colectarii
 Contine:
 Descrierea operatiunilor, scopului, interesului
legitim
 Evaluarea necesitatii si proportionalitatii
 Evaluarea riscurilor
 Masurile preconizate
Evaluarea de impact

 Evaluarea riscurilor:
➢ Din perspectiva persoanelor vizate
➢ Natura datelor
➢ Domeniul de aplicare
➢ Contextul
➢ Scopurile prelucrarii
➢ Utilizarea noilor tehnologii
Securitatea datelor
 Nivel de securitate
corespunzator
 Masuri tehnice si organizatorice
 Exemplu:
 Controlul accesului
 Parola
 Pin
 Amprenta
 Criptarea datelor
 Managementul dispozitivelor
mobile
 Disaster recovery
 Backup cu redundanta
 Auditarea furnizorilor de
solutii
 Testarea penetrarii
 Phishing
 Malware
 Breach response mock-
up
 Politici interne
 Monitorizare periodica
 Certificare ISO 27001/27018
 Instruirea angajatilor
Incidentele de securitate

 Accidental sau ilegal

 Distrugerea
 Pierderea
 Modificarea
 Divulgarea neautorizata
 Accesul neautorizat
 Notificarea autoritatii de supraveghere in maxim 72
de ore
 Contine:
 Natura incalcarii
 Datele de contact ale DPO
 Consecintele probabile
 Masurile luate
Incidentele de securitate

 Obligatia de documentare a tuturor incidentelor

 Situatia de fapt
 Efectele
 Masurile
 Notificarea persoanelor vizate daca incidentul este
susceptibil sa genereze un risc ridicat pentru
drepturile si libertatile lor
 Consecinte practice
 Proceduri interne de identificare, notificare si
raspuns la incidente
 Polite de asigurare “cybersecurity”
 Drept contractual de regres impotriva
imputernicitului (limite de raspundere)
Registrul operatiunilor de
prelucrare
 Nu se mai notifica autoritatea de supraveghere
 Evidenta a activitatilor de prelucrare (operatori si
imputerniciti)
 Nu se aplica entitatilor cu mai putin de 250 de
angajati decat daca:
 Prelucrarea este susceptibila sa genereze un risc
 Prelucrarea nu este ocazionala
 Prelucrarea include categorii speciale de date
Registrul operatiunilor de
prelucrare
 Pentru operator contine:
 Datele de contact operator si DPO
 Scopurile prelucrarii
 Categoriile de persoane vizate
 Categorii de date prelucrate
 Transferurile de date + documentatia care
dovedeste existenta unor garantii adecvate
 Termenele limita preconizate pentru stocarea
datelor
 Descrierea masurilor tehnice si organizatorice de
securitate
Registrul operatiunilor de
prelucrare

 Pentru imputernicit contine:

 Datele operatorilor
 Categoriile de activitati de prelucrare pentru
fiecare operator
 Transferurile de date + documentatia care
dovedeste existenta unor garantii adecvate
 Descrierea masurilor tehnice si organizatorice de
securitate
Relatia operator – persoana
imputernicita
 Contract cu instructiuni documentate
 Nu se poate adauga alt imputernicit fara acordul
operatorului
 Imputernicitii trebuie sa asigure acelasi nivel adecvat
de securitate a datelor
 Personalul folosit trebuie sa incheie angajamente de
confidentialitate
 Imputernicitul trebuie sa informeze operatorul
despre incidentele sale de securitate
Relatia operator – persoana
imputernicita

 Operatorul este raspunzator pentru prejudiciul

cauzat de operatiunile sale de prelucrare care incalca
GDPR.
 Operatorul este raspunzator pentru activitatea
desfasurata in numele sau de imputernicit.
 Imputernicitul este raspunzator numai in cazul in
care:
 Nu a respectat obligatiile care-i revin in mod
specific conform GDPR
 A actionat in afara sau in contradictie cu
instructiunile legale ale operatorului
Remedii si sanctiuni

 Plangere la autoritatea de supraveghere

 Cale de atac judiciara impotriva deciziei autoritatii
de supraveghere
 Actiune directa impotriva
operatorului/imputernicitului
 Recuperarea prejudiciului material/moral
 Raspunderea solidara daca sunt mai multe
entitati
 Actiunile pot fi exercitate de organisme colective
active in domeniul GDPR
 Amenzile nu sunt o urmare garantata (implicita) a
nerespectarii regulilor de prelucrare
Remedii si sanctiuni

 In functie de circumstante, amenzile sunt impuse in

completarea sau in locul masurilor mentionate
 Autoritatea poate:
 Sa emita avertizari
 Sa emita mustrari
 Sa dea dispozitii
 Sa oblige operatorul sa informeze persoana vizata
 Sa limiteze sau sa interzica prelucrarea
 Sa dispuna rectificarea sau stergerea datelor, sau
restrictionarea prelucrarii
Amenzi administrative

 10.000.000 EUR sau pana la 2% din cifra de afaceri:

 Consimtamantul minorilor
 Privacy by design
 Alocarea responsabilitatii intre operatori
neasociati
 Numirea unui reprezentant in UE
 Respectarea de catre imputernicit a
instructiunilor operatorului
 Pastrarea evidentelor activitatii de prelucrare
 Cooperarea cu autoritatea nationala de
surpaveghere
 Securitatea prelucrarii
 Studii de impact
 Numirea unui DPO
 Notificarea incalcarilor
Amenzi administrative

 20.000.000 EUR sau pana la 4%:

 Principiile prelucrarii
 Consimtamant
 Drepturile persoanei vizate
 Transferuri internationale
 Incalcarea masurilor dispuse de autoritatea
nationala de supraveghere
 Obligatii potrivit dreptului national
Actiuni pentru operator

 Testare/audit conformitate GDPR

 Inventarul operatiunilor de prelucrare
 Verificarea operatiunilor de prelucrare
 Revizuirea/completarea datelor
 Stergerea datelor care nu sunt necesare
 Identificarea/clarificarea temeiurilor prelucrarii
 A nu se abuza de consimtamant acolo unde nu e
oportun
 Documentarea analizei interesului legitim
 Stabilirea modalitatilor de exercitare a drepturilor
Actiuni pentru operator

 Verificarea consimtamantului dpdv al cerintelor GDPR

 Granularitate pentru fiecare tip de prelucrare
 Daca cerintele nu sunt indeplinite trebuie re-
obtinut consimtamantul pentru prelucrarile in
curs
 Verificarea politicilor si notelor de informare catre
persoanele vizate:
 Complete
 Accesibile
 Actualizate cu elementele noi conform GDPR
 Verificarea oportunitatii numirii unui DPO
 Verificarea oportunitatii unei evaluari de impact
Actiuni pentru operator

 Verificarea contractelor care implica date personale:

 Alocarea responsabilitatilor
 Raspunderea fiecarei parti
 Solutionarea disputelor
 Limitarea raspunderii
 Verificarea transferurilor de date si a temeiului lor
 Comunicarea catre personal si imputerniciti a noilor
obligatii si resposnabilitati
 Implementarea unor programe de training
Actiuni pentru operator

 Analiza aprofundata in anumite situatii (evaluare de

impact):
 Date sensibile
 Scop: monitorizarea permanenta si evaluarea
sistematica aprofundata
 Transfer in afara UE
 Adoptarea unor politici interne
 Prelucrarea datelor
 Raspuns la cererile persoanelor vizate
 Raspuns la incalcarile de securitate
 Verificarea masurilor de securitate implementate
 Asigurare!
Proceduri interne

 Evenimente vizate:
 Breșe de securitate
 Solicitări privind exercitarea drepturilor
persoanelor vizate
 Modificarea datelor cu caracter personal
colectate
 Schimbarea prestatorului
 Privacy By Design (din faza de proiectare)
 Minimizarea colectării datelor în funcţie de scop
 Politica de cookie-uri
 Perioada de stocare
 Informaţiile furnizate persoanelor vizate
 Obţinerea consimţământului persoanelor vizate
 Securitatea și confidenţialitatea datelor cu
caracter personal
 Garantarea rolului și responsabilităţii părţilor
implicate în efectuarea prelucrării datelor
Proceduri interne
 Privacy by default (numai datele si persoanele
absolut necesare):
 volumul de date colectate
 gradul de prelucrare a acestora
 perioada de stocare și accesibilitatea lor
 Informari si traininguri interne regulate
 Solutionarea plangerilor si cererilor
 Anticiparea incalcarii si tot ceea ce decurge de aici
 Asigurarea confidenţialităţii și securităţii prelucrării:
 pseudonimizarea și criptarea datelor cu caracter
personal
 capacitatea de a asigura confidenţialitatea,
integritatea, disponibilitatea și rezistenţa
continue ale sistemelor și serviciilor de prelucrare
 capacitatea de a restabili disponibilitatea datelor
cu caracter personal și accesul la acestea în timp
util în cazul în care are loc un incident de natură
fizică sau tehnică
 un proces pentru testarea, evaluarea și
aprecierea periodice ale eficacităţii măsurilor
tehnice și organizatorice pentru a garanta
securitatea prelucrării
Proceduri interne

 Privacy by design
 Dezvoltator de aplicaţii care vor prelucra şi date
personale
 Din stadiul dezvoltării, aplicaţia va respecta
regulile şi principiile stabilite de Regulament
 Privacy by default
 Furnizor de aplicaţie care prelucrează date
personale
 Setările iniţiale le vor permite utilizatorilor să îşi
menţină controlul asupra vieţii lor private/asupra
a ceea ce postează sau împărtăşesc cu alţi
utilizatori.
 Utilizatorul poate alege să dezvăluie mai multe
informaţii/date personale, însă trebuie să o facă
în cunoştinţă de cauză, nu implicit (datorită
setărilor iniţiale).
Ce se poate face? 
 Proiect GDPR!
1. Informare
 Cine?
 Ce?
 De ce?
 Unde?
 Pana cand?
 Cum?
2. Analiza
 Tehnica – sisteme IT
 Organizatorica – politici,
procese, proceduri
 Terti
3. Decizie
 Masuri
 Informarea angajatilor si
colaboratorilor
 Prioritizare in functie de
riscuri
4. Implementare