Documente Academic
Documente Profesional
Documente Cultură
SC Dpo - Day 2
SC Dpo - Day 2
este un REGULAMENT
REGULAMENT
Regulamentul
General privind
Protectia Cum? echilibru doar in spatiul UE
Datelor
Protectia datelor cu caracter personal
≠
= Securitatea datelor
Necesitate
Proporționalitate
Transparență
Responsabilitate
Protecția datelor cu caracter personal în cadrul entităţii
măsuri organizatorice
măsuri tehnice
crearea unei
consiliere culturi
organizaționale
instruire
audit
REGULAMENTUL (UE) 2016/679
Operator
legalitatea prelucrarilor
Principiile prelucrarii
Legea nr.677/2001
datele cu caracter personal trebuie sa fie:
Directiva 95/46/CE
datele cu caracter personal trebuie sa fie:
principiile prelucrării
prelucrate în mod legal, echitabil și transparent față de
persoana vizată
principiile prelucrării
consimțământul
consimțământul
se ține seama cât mai mult de faptul că, printre altele, executarea unui
contract, inclusiv prestarea unui serviciu, este condiționată sau nu de
consimțământul cu privire la prelucrarea datelor cu caracter personal care
nu este necesară pentru executarea acestui contract
categorii speciale de date cu caracter personal
prelucrarea de
date genetice,
date biometrice pentru identificarea unică a unei persoane fizice
date privind sănătatea
date privind viața sexuală sau orientarea sexuală ale unei
persoane fizice
Conformitatea cu Regulamentul (UE) 2016/679
etape de considerat
1. conştientizare
2. audit identificarea prelucrărilor de date / inventarul datelor
identificarea fluxurilor de date
separarea fluxurilor funcţionale / administrative
3. identificarea politicilor / procedurilor interne şi reevaluare
determinarea responsabilitatilor – imputerniciti / destinatari / alti operatori
4. determinarea/stabilirea bazei legale pentru fiecare prelucrare şi catalogare
5. consimtamantul
6. date referitoare la minori
Conformitatea cu Regulamentul (UE) 2016/679
etape de considerat
10. DPO
DPO
2
Responsabilul cu protecția datelor - art.37
Desemnare DPO obligatorie
operator
persoana împuternicită de către operator
DPO
DPO desemnare
analiză internă
poate fi cerut / impus de Autoritatea Națională de Supraveghere
poate fi creat în măsura în care organizația dezvoltă noi funcții
are natură juridică distinctă
rezultă din statutul acestuia în cadrul organizației, poziție sau funcții
entitatea poate să desemneze o persoană care să gestioneze materia,
fără a fi însă DPO dacă nu îndeplinește condițiile exprese ale GDPR
Responsabilul cu protecția datelor - art.37
EXPRESII
Activități principale
EXPRESII
desemnare DPO
Desemnare
membru al personalului
în baza unui contract de servicii
Responsabilul cu protecția datelor - art.37
desemnare DPO
Condiții
calități profesionale
cunoștințe de specialitate în dreptul și practicile din domeniul
protecției datelor
capacitatea de a îndeplini sarcinile prevăzute de GDPR
Regulamentul (UE) 2016/679
posibile
transferul către o țară terță (...) nu poate avea loc decât dacă,
(...), țara terță asigură un nivel de protecție adecvat
cu autorizație
clauze contractuale între operator sau persoana împuternicită de
operator și operatorul, persoana împuternicită de operator sau
destinatarul datelor cu caracter personal din țara terță sau organizația
internațională; sau
dispoziții care urmează să fie incluse în acordurile administrative dintre
autoritățile sau organismele publice, care includ drepturi opozabile și
efective pentru persoanele vizate.
întrebări
exemple de declaratii scrise privind consimtamantul persoanei vizate privind prelucrarea datelor cu
caracter personal ( ca ex., daca este cazul, declaratia data de salariatul unei persoane juridice privind
acordul dat de acesta cu privire la prelucrarea datelor sale de catre serviciul personal-salarizare din cadrul
angajatorului sau dupa caz, declaratia data de salariatii dintr-o sectie de productie in care sunt montate
camere de luat vederi, e.t.c.);
întrebări
desemnarea responsabilului cu protectia datelor este obligatorie si de catre un operator – persoana juridica
privata care are ca obiect de activitate , in principal, fabricarea si comercializarea produselor de panificatie,
patiserie si cofetarie iar activitatile privind prelucrarea datelor cu caracter personal privesc
operatorul ( angajatorul/ persoana juridica) are obligatia ca la incheierea contractului individual de munca sa solicite
si declaratia scrisa privind consimtamantul persoanei vizate (salariatului) privind prelucrarea datelor sale cu caracter
personal de catre serviciul personal-salarizare din cadrul angajatorului sau dupa caz, declaratia data de salariatii
dintr-o sectie de productie in care sunt montate camere de luat vederi, e.t.c) ? O asemenea declaratie trebuie luata
si tertilor la intrarea -iesirea pe poarta, in si din incinta unei persoane juridice ? In acest sens va rog sa aveti in vedere
si dispozitiile alin. 4 al art. 7 din Regulament
in cazul in care societatea are incheiat contract de prestari servicii de paza cu o alta societate, agentii acesteia
adunand date cu caracter personal, persoanele vizate – vizitatori, furnizori, clienti, potentiali clienti, cum
gestionam problema din punct de vedere a protectiei datelor cu caracter personal?
întrebări
Care sunt principalele obligatii privind gestionarea problemei din perspectiva mediului
IT?
Cum procedam in cazul in care Codurile de Conduita de la cei “reprezentativi” nu sunt
publicate si nu avem la ce sa ne raportam ?
Este nevoie de o solutie de criptare in cazul in care datele sunt transmise prin serverele
companiei , pleaca din locatia x si ajung in locatia y (orase diferite) ?
Cum ar arata o evaluare a riscurilor pentru drepturile si libertatile persoanelor fizice din
perspectiva unui operator economic ? Concret cum ar trebui sa arate analiza de risc
(puteti da si un exemplu ?) – preambul (pct 75, 76, 77 si 90)
identificarea contextului
identificarea cadrului normativ/de reglementare
identificarea riscurilor incidenta probabila
gravitate
aprobare
monitorizare
reevaluare
întrebări
geolocalizare
riscuri
Ce facem cu datele personale stocate atât în format de hârtie cât şi electronic atunci
când ni se solicită de persoana vizată să ştergem datele referitoare la ea, în condiţiile în
care societatea are nevoie de documentul respectiv? Cum anonimizăm datele persoanei
vizate ?
În cazul unui grup de societăţi, softul societăţii mama din Anglia e în limba engleză.
Societatea din România poate folosi softul în limba engleză sau trebuie să fie un soft în
limba română ?
obligativitatea informarii clientilor exitintenti despre noile prevederi ale GDPR –ului.
Care va fi relatia dintre Regulamentul GDP si legislatia nationala actuala? O data cu 25 mai 2018,
Legea 677/2001 si Deciziile Autoritatii se vor abroga sau vor ramane in continuare in vigoare si se
vor aplica in masura in care nu contravin dispozitiilor din Regulament?;
Regulamentul GDP lasa la aprecierea statelor membre, posibilitatea de reglementare in ceea ce priveste conditiile
de prelucrare a cnp-ului. Intentioneaza Autoritatea sa emita vreo decizie noua in acest domeniu? Sau se va aplica
si dupa data de 25 mai 2018, Decizia 132/2011?;
întrebări
In cazul unor prelucrari de date cu efecte transfrontaliere, in situatia unor incalcari ale securitatii
datelor, potrivit Regulamentului, Autoritatea de Supraveghere din statul in care s-a produs
incalcarea poate dispune aplicarea unei sanctiuni direct operatorului situat in Romania, vinovat
de aceasta incalcare? Daca da, in ce conditii, in ce termene si la ce Autoritate se poate contesta
aceasta sanctiune?;
Care vor fi consecintele pentru operator in cazul in care evaluarea riscurilor facuta de acesta nu
coincide cu situatia de fapt? Este raspunzator operatorul in acest caz, daca demonstreaza ca
potrivit “assessment-ului” sau ajunge la concluzia ca incalcarea de securitate nu prezinta un “risc
ridicat”?;