Web
Analytics
Recomandare

Data Protection Conference – 17 octombrie 2017

Data Protection Conference este conferinta care te pregateste pentru conformarea la noul regulament privind protectia datelor (GDPR). In ciuda deadline-ului iminent si a obligativitatii pentru companii de a-si imbunatati practicile de protectie a datelor in ceea ce priveste stocarea si procesarea datelor personale – si a penalizarilor financiare usturatoare pentru nerespectarea acestora – o cercetare Kaspersky Lab arata ca un factor de decizie din cinci, din domeniul IT (20%), are prea putine sau nu are deloc cunostinte despre GDPR.

In timp ce departamentele juridice, cele de securitate a informatiilor si persoanele din managementul de top s-ar putea sa detina o imagine de ansamblu despre GDPR, exista riscul ca angajatii din prima linie, care se ocupa direct de gestionarea datelor, sa nu fie la fel de bine pregatiti sau nici macar sa nu inteleaga ce anume se asteapta de la ei.

Incepand din 25 mai 2018, companiile care prelucreaza datele personale ale cetatenilor din Uniunea Europeana vor trebui sa se conformeze noului Regulament european privind protectia datelor (General Data Protection Regulation – GDPR) in contextul oricarei activitati ce presupune utilizarea datelor.

GDPR redefineste regulile aplicabile protectiei datelor, crescand efortul organizatoric al organizatiilor de a asigura conformarea cu cerintele in domeniu si de a demonstra aceasta conformare in relatia cu persoanele ale caror date le folosesc, precum si in relatia cu partenerii de afaceri si autoritatile publice. Iar ignorarea regulilor poate antrena amenzi de pana la 20 de milioane de euro sau 4% din cifra de afaceri globala!

In conditiile in care orice societate utilizeaza date personale, fie ca sunt datele angajatilor, fie ca sunt datele clientilor, partenerilor contractuali sau chiar ale vizitatorilor, impactul GDPR va fi resimtit in toate industriile si in toate departamentele. In plus, activitatile de Marketing si Publicitate se bazeaza in general pe consimtamantul persoanei vizate manifestat in mod specific, pentru fiecare actiune in parte.

Data Protection Conference este primul eveniment de amploare din Romania care abordeaza direct provocarile noului Regulament general privind protectia datelor personale cu accent pe solutii practice.

Apar functii noi: DPO (data protection officer) si DPA (data protection assistent)

La momentul actual, cele mai multe companii din U. E. si din S.U.A au inteles ca noul Regulament General privind Protectia Datelor (G.D.P.R.) le va afecta activitatea si ca este nevoie sa se conformeze prevederilor acestui nou cadru legislativ.

Una dintre cele mai importante intrebari legate de G.D.P.R. se refera la conditiile in care o companie are nevoie sa angajeze un responsabil cu protectia datelor (D.P.O).

Exista trei scenarii mentionate in G.D.P.R in care numirea unui responsabil cu protectia datelor este obligatorie:

  1. in cazul in care prelucrarea este efectuata de catre o autoritate sau un organism public;
  2. in cazul in care activitatile principale ale companiei sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care necesita o monitorizare regulata si sistematica pe scara larga a persoanelor vizate;
  3. in cazul in care activitatile principale ale companiei sau ale persoanei imputernicite de operator constau in prelucrarea la scara larga a unor categorii speciale de date cu caracter personal referitoare la condamnari penale si infractiuni.

Pentru prima categorie, lucrurile sunt destul de clare – autoritatile si organismele publice includ autoritatile nationale, regionale si locale, dar si orice alte institutii sau organisme care, conform legii nationale, sunt asimilate institutiilor publice.

La fel este si situatia ultimei categorii unde sunt incluse foarte clar categoriile speciale de date, unde intra: date despre originea rasiala, opiniile politice, religie, date biometrice si date referitoare la istorul condamnarilor penale.

insa categoria a doua de date este cea care poate impacta intr-o masura foarte mare un numar vast de companii.

Aici se foloseste sintagma „activitati principale”, acestea fiind definite ca operatiunile cheie necesare pentru atingerea obiectivelor companiei inclusiv activitatile in care prelucrarea datelor formeaza o parte indisolubila a activitatii companiei.

De exemplu, activitatea de baza a unei companii este sa vanda prin intermediul unei platforme online. Totusi, o platforma online nu poate furniza produsele in conditii de siguranta si in mod eficient fara prelucrarea datelor personale ale clientilor. De aceea procesarea acestor date ar trebui considerata ca fiind una dintre activitatile de baza ale unui magazin online si, prin urmare, magazinele online trebuie sa numeasca un D.P.O.

Daca tinem cont de faptul ca majoritate site-urilor folosesc cookie-uri si alte modalitati de profiling, putem spune, intr-un sens larg, ca orice companie cu un site web care are un trafic suficient de mare ar trebui sa aiba un D.P.O – si acest lucru ar include o multime de companii care nu au neaparat o baza mare de clienti, dar care au un trafic consistent.

Pe de alta parte, toate organizatiile desfasoara anumite activitati, de exemplu: activitati de plata a angajatilor sau activitati standard de asistenta IT. Acestea sunt functii de suport necesare pentru activitatea sau afacerile de baza ale organizatiei. Chiar daca aceste activitati sunt necesare sau esentiale, ele sunt de obicei considerate functii auxiliare, mai degraba decat o activitate de baza.

Ce inseamna „monitorizarea sistematica”?

Monitorizarea comportamentului persoanelor vizate include in mod clar toate formele de urmarire si crearea de profiluri pe internet, inclusiv in scopuri de publicitate comportamentala (cookie, geo-locatie). Cu toate acestea, notiunea de monitorizare nu este limitata la mediul online.

Avand in vedere ca majoritatea business-urilor s-au mutat in zona de online, putem spune ca intr-o mai mica sau mai mare masura, cu totii monitorizam comportamentul userilor pe internet. insa pentru a indeplini conditia monitorizarii sistematice, ar trebui ca orice colectare de date sa faca parte dintr-o strategie generala de colectare a datelor personale a respectivei companii.

in concluzie, inainte sa te hotarasti daca este cazul sa numesti sau nu un responsabil cu gestionarea datelor personale, ar fi bine sa iei legatura cu un specialist in domeniu care sa faca un audit al companiei tale, pentru a vedea care este cea mai buna solutie de implementat.

In concluzie, noutatile GDPR in linii mari sunt: DPO, noua functie la mare cautare, drepturi noi pentru persoana vizata si portabilitatea datelor personale, reguli noi pentru consimtamant, transparenta extinsa si in caz de neconformare amenzile sunt foarte mari

Checklist GDPR

  • Evaluati gradul de pregatire pentru GDPR si verificati unde sunt discrepante si ce trebuie facut in privinta lor .
  • Verificati daca trebuie sa numiti un responsabil cu protectia datelor. Implementati programe de training pentru personalul care lucreaza cu date personale.
  • Inventariati categoriile de date prelucrate si operatiunile de prelucrare, si realizati evidenta activitatilor de prelucrare. Totodata, trebuie analizat daca datele detinute respecta cerintele GDPR (daca sunt necesare si proportionale scopului, de exemplu) si daca, acolo unde era necesara obtinerea consimtamantului, acesta respecta cerintele GDPR.
  • Verificati contractele care implica date personale, in special alocarea responsabilitatilor si raspunderea fiecarei parti, precum si solutionarea disputelor si limitarea raspunderii. Sanctiunile ridicate si raspunderea solidara intre operator si imputernicit sau intre operatorii asociati, face ca limitarea de raspundere pentru chestiuni de prelucrare a datelor sa trebuiasca analizata cu deosebita atentie.
  • Clarificati temeiurile prelucrarilor. Nu abuzati de consimtamant acolo unde nu e oportun (de exemplu, in relatia angajat-angajator, acolo unde nu exista optiune reala, unde nu puteti opri prelucrarea chiar fara consimtamant), documentati analiza interesului legitim.

gdpr

Distribuie articolul pe:
TwitterFacebookGoogle+
Cristian Iosub