Documente Academic
Documente Profesional
Documente Cultură
1
Regulamentul General Privind
Protecţia Datelor (GDPR)
Regulamentul (UE) 2016/679
2
De ce GDPR LA #Tax Camp by Horatiu Hagiu
Face OP-ul/
opereaza
OP-ul pt
amenda
Fluxuri Cifre pt
proprii care activitatea
trebuie altor
analizate pt Responsabilul
de structuri
impact GDPR
Financiar -
Contabilitate
Dpt. de baza
Proactivitate in orice
Companie
3
Cine aplica GDPR?
Definitii GDPR (Art. 2)
6
Protectia datelor – ceva nou?
• Legea nr. 677 din 2001 pentru protectia persoanelor cu privire
la prelucrarea datelor cu caracter personal si libera circulatie a
acestor date
! Nici o penalizare
• GDPR - Regulamentul (UE) 2016/679 este aplicabil in Statele Membre UE
incepand cu 25 mai 2018
GDPR prevede AMENZI :
– de până la 10.000.000 EUR sau până la 2% din cifra mondială totală anuală corespunzătoare
anului financiar anterior, pentru încălcări privind obligațiile operatorului și împuternicitului;
–de până la 20.000.000 EUR sau până la 4% din cifra mondială totală anuală corespunzătoare
anului financiar anterior, pentru încălcarea principiilor de bază privind prelucrarea datelor,
inclusiv consimțământul, încălcarea drepturilor persoanelor vizate, transferurilor internaționale
de date și nerespectarea măsurilor unei autorități de supraveghere;
7
Proiect GDPR – Ce trebuie sa facem pana pe 25.05.2018?
Responsabil de
IMPLEMENTARE
Constintizarea
ANALIZA PREZENTULUI
proiect Stabilirea
DPO scopurilor în
care prelucrați
datele cu
caracter
personal
Temeiul legal
8
Constientizarea cerintelor GDPR?
9
Constientizarea cerintelor GDPR?
Guvernanta in afara multinationalelor si a societatilor
reglemenate?
ROF; Responsabil cu Inregistrari ale
Guvernanta Securitateaprotectia
Dreptul Organigrama datelor
Transferul activitatilor
Principiul de
(DPO) procesare
datelor in persoanelorPoliticidatelor
si datelor protectiei
proceduri (log-uri
contextul vizate • Pastrarea datelor • In UE/ in afara UE datelor
aplicatii)
GDPR • Operatorii de date
personale in
siguranta
(cloud?)
• Transparenta/
trebuie sa le dea Legalitate
• Tone at the top (criptolocker?pierde
Protectia datelor
(Atitudinea drepturi re/furt laptop) Analiza impactului Protectia implicita
conducerii) detinatorilor deincepand cu asupra protectiei a datelor
date momentul
• Organizare datelor
Reglementari demararii unui (DPIA)
interne proiect nou
• Alocarea de sarcini
(roluri si
responsabilitati)
Managementul riscurilor
10
Dreptul persoanelor vizate in contextul GDPR
Rectificare Stergerea
datelor cu Dreptul la
datelor cu
caracter restrictionarea
caracter
personal prelucrarii
personal
Art 17) (Art 18)
(Art 16)
Notificarea
privind
Dreptul la Dreptul la
rectificarea sau
portabilitatea opozitie
stergerea sau
datelor
restrictionarea
1
Cand este obligatorie numirea responsabilului cu
protectia datelor?
SC unde
operațiunile de activitățile principale
prelucrare care, ale operatorului sau
prin natura, ale persoanei
domeniul de împuternicite de
aplicare operator constau în
DPO
1
? Ce trebuie sa faceti voi pentru GDPR?
1 Constientizarea riscului financiar
2 Sa transmiteti informati catre directorii companiilor cu care colaborati
Sa colaborati cu DPO si Managerul de Proiect pentru identificarile pe ariile
3
pe care le gestionati
? Ce trebuie sa faca compania pentru GDPR?
1 Constientizarea riscului financiar
Echipa
Back up slides
Drepturile persoanelor vizate:
Transparenta
Informare
persoana Măsuri pentru a informa persoanele vizate
vizata
(art. 13-14, art. 15-22 & 34 din GDPR)
- scris, electronic, verbal
Modalități de exercitare a drepturilor
Limbaj
Clar si
Simplu
17
Art. 13 GDPR
Drepturile persoanelor vizate:
Informarea detinatorului de date
Varianta 1: Datele sunt colectate de la persoana vizată – în momentul obținerii
Identitate, date de contact ale operatorului
- reprezentantului, responsabilului
Scopul & temeiul juridic al prelucrării
Destinatarii
Interesele legitime (art. 6 alin. 1, lit.f)
Transferul datelor în afara UE
Perioada de stocare (sau criterii de stabilire)
Drepturile persoanei
18
Art. 13 GDPR
Drepturile persoanelor vizate:
Informarea detinatorului de date
Varianta 1: Datele sunt colectate de la persoana vizată – în momentul obținerii -
CONTINUARE
Dreptul de a-și retrage consimțământul
- în orice moment, fără a afecta legalitatea prelucrării
Obligativitatea furnizării datelor și consecințele nerespectării
Dreptul de a depune plângere
Crearea de profiluri, logica utilizată, consecințe preconizate pt. persoana
vizata
Informații privind scopul secundar
Excepție: dacă și în măsura în care persoana vizata deține deja
informațiile
19
Art. 13 GDPR
Drepturile persoanelor vizate:
Informarea detinatorului de date
Varianta 2: Datele sunt colectate indirect, deci NU de la persoana vizata
In maxim 1 luna trebuie informat cu privire la:
Identitate, date de contact ale operatorului
- reprezentantului, responsabilului
Scopul & temeiul juridic al prelucrării
Destinatarii
Interesele legitime (art. 6 alin. 1, lit.f)
Transferul datelor în afara UE
Perioada de stocare (sau criterii de stabilire)
Drepturile persoanei
20
Art. 14 GDPR
Drepturile persoanelor vizate:
Informarea detinatorului de date
Varianta 2: Datele sunt colectate indirect, deci NU de la persoana vizata -
CONTINUARE
Dreptul de a-și retrage consimțământul
21
Art. 14 GDPR
Drepturile persoanelor vizate:
Accesul la date
Confirmarea că datele sunt/nu sunt prelucrate
Scopul prelucrării
Categoriile de date
Destinatarii (și din țări terțe)
Perioada de stocare (criterii)
Drepturile persoanei (rectificare, ștergere, restricționare, opoziție,
de a depune plângere)
Sursa obținerii datelor (colectare indirectă)
Existența unui proces decizional automat
Garanții adecvate în caz de transfer
Furnizarea unei copii (taxă); nu afectează drepturile altora
22
Art. 15 GDPR
Drepturile persoanelor vizate:
Rectificarea datelor
23
Art. 16 GDPR
Drepturile persoanelor vizate:
Dreptul de stergere – dreptul de a fi
uitat
Fără întârzieri nejustificate, dacă:
datele nu mai sunt necesare îndeplinirii scopului
retragerea consimțământului și nu există alt temei pt. prelucrare
drept de opoziție (marketing); nu există motive legitime care
să prevaleze
date prelucrate ilegal
obligație legală a operatorului
servicii ale societății informaționale oferite minorilor (prel. legală
dacă are cel puțin 16 ani sau consimțăm. reprezentatului legal)
24
Art. 17 GDPR
Drepturile persoanelor vizate:
Restrictia prelucrarii
Persoana contestă exactitatea datelor – necesită verificare de către operator
Prelucrare ilegală/persoana se opune ștergerii și solicită restricționarea
Datele sunt necesare pentru constatarea, exercitarea sau apărarea unui
drept al persoanei în instanță
25
Art. 18 GDPR
Drepturile persoanelor vizate:
Notificarea privind divulgare, rectificarea
/stergerea
Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele
orice rectificare, ștergere, restricționare
26
Art. 19 GDPR
Drepturile persoanelor vizate:
Portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o
privesc și pe care le-a furnizat operatorului într- un format structurat, utilizat
în mod curent și care poate fi citit automat și are dreptul de a transmite aceste
date altui
operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele
cu caracter personal
Condiții:
Prelucrare în baza consimțământului sau al unui contract
Prin mijloace automate
Transmitere directă – dacă este fezabil dpdv tehnic
Nu aduce atingere art. 17 (dr. la ștergerea datelor-interes public)
Nu aduce atingere drepturilor altora
27
Art. 20 GDPR
Drepturile persoanelor vizate:
Opozitie
Persoana vizată are dreptul de a primi datele cu caracter personal care o
privesc și pe care le-a furnizat operatorului într- un format structurat, utilizat
în mod curent și care poate fi citit automat și are dreptul de a transmite aceste
date altui
operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele
cu caracter personal
Condiții:
Prelucrare în baza consimțământului sau al unui contract
Prin mijloace automate
Transmitere directă – dacă este fezabil dpdv tehnic
Nu aduce atingere art. 17 (dr. la ștergerea datelor-interes public)
Nu aduce atingere drepturilor altora
28
Art. 21 GDPR