Campanie de informare publica UE 2016/679

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.

Anul 2016 marchează un moment cheie în evoluția reglementărilor europene privind protecția datelor personale prin adoptarea de către Parlamentul European și Consiliu, a Regulamentului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (Regulamentul General privind Protecția Datelor), de directă aplicabilitate în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018, alături de adoptarea și a Directivei privind protecţia datelor prelucrate în scopul prevenirii, detectării, investigării şi punerii sub urmărire a infracţiunilor şi a altor activităţi judiciare.

Această reformă a cadrului normativ în domeniu implică, pe termen scurt, pentru instituția noastră o evaluare complexă a instrumentelor specifice asigurării protecției datelor personale, în scopul adaptării cadrului normativ național și pregătirii instituționale pentru aplicarea noilor reglementări europene, inclusiv sub aspectul realizării unei cooperării eficiente cu Comitetul european pentru protecția datelor și cu celelalte autorități în domeniu din Uniunea Europeană.

Afla mai multe pe dataprotection.ro

Intrebari frecvente GDPR 2018

*Ce este GDPR?

GDPR reprezinta Regulamentul General privind Protectia Datelor ce va inlocui Directiva privind protectia datelor, lansata in anul 1995. Desi este bazata pe vechea directiva,
GDPR este mult mai bine structurata si corecta. Printre cele mai notabile adaugiri se numara si faptul ca GDPR ofera persoanelor un control mult mai mare asupra datelor proprii,
impunand noi obligatii firmelor si companiilor care proceseaza astfe de date. Mai mult, GDPR aplica amenzi imense celor care nu se conformeaza la noile reguli.

*Care sunt principalele cerinte ale GDPR?

Noua directiva intra in vigoare curand si va aduce noi cerinte impuse entitatilor care prelucreaza date cu caracter personal:
1) Se impune asigurarea integritatii, confidentialitatii si securitatii datelor personale
2) Se impune asigurarea corectitudinii tuturor datelor, mai ales posibilitatea de a fi editate sau sterse definitiv din baza de date a companiei
3) Limitarea la maxim a prelucrarii datelor cu caracter personal
4) Transparenta marita, corectitudine si implicit legalitate in manipularea si utilizarea datelor personale

*Este GDPR aplicabil organizatiei mele?

Da! GDPR se aplica tuturor organizatiilor care folosesc si prelucreaza date cu caracter personal, cu sediul in Uniunea Europeana, dar si firmelor non europene dar cu sediul
in Uniunea Europeana!

*Organizatia mea prelucreaza date. De unde stiu daca sunt acoperite de GDPR?

Raspunsul este unul foarte simplu. Directiva GDPR controleaza si reglementeaza toate procesele datelor cu caracter personal, de la utilizare pana la pastrare.GDPR defineste
datele cu caracter personal ca fiind orice data referitoare la o persoana. Ele pot include diferite informatii, de la etnice la religioase, inafara de cele obisnuite.

*Ce inseamna „confidentialitate din faza de proiectare” si „confidentialitate implicita”?

Dupa cum spun legile GDPR, este absolut obligatoriu ca toate serviciile firmelor sa incorporeze functionalitatile securitatii inca din faza de cand acestea sunt proiectate.
Trebuie tinut cont de multi factori, precum modul de prelucrare si eventualele riscuri care pot aparea la adresa confidentialitatii, dar si gradul costurilor de implementare.
De asemenea trebuie implementate masuri prin care clientului i se garanteaza ca nu se vor lucra cu mai multe date decat este necesar.

*Ce se intampla daca nu respectam GDPR?

Amenzile pentru nerespectarea regulilor si abuzurile grave sunt pedepsite cu pana la 20 de milioane de euro. In plus, GDPR permite oricarei persoane careia i-au fost incalcate
drepturi sa cheme in instanta compania cu pricina.

*Care sunt termenii cheie din GDPR pe care trebuie sa ii cunosc?

Exista cativa termeni pe care companiile ar trebui sa ii inteleaga pe deplin in cadrul GDPR:
OPERATOR – persoana fizica sau juridica, autoritate publica sau oricare alta entitate care este desemnata sa introduca si sa prelucreze date cu caracter personal
PERSOANA IMPUTERNICITA DE OPERATOR – persoana fizica sau juridica, autoritate publica sau oricare alta entitate care este desemnata de operator sa introduca si sa
prelucreze date cu caracter personal in numele operatorului
DATE CU CARACTER PERSONAL – orice informatie precum nume, numar de indentificare, proprietati fizice, fiziologice, genetice, psihice, convingeri, sau alt gen de informatie
prin care poate fi recunoscuta, definita sau identificata o persoana.
PRELUCRARE – orice operatiune sau set de operatiuni(colectare, inregistrare, organizare, structurare) prin care se folosesc datele cu caracter personal.
PSEUDONIMIZARE – prelucrarea datelor personale astfel incat acestea sa nu mai fie atribuite unei persoane fara adaugarea unor informatii suplimentare specifice, dar doar cu
conditia ca acestea sa fie pastrate separat de restul datelor.
Articolul 4 din GDPR contine intreaga lista de termeni, explicata pe larg publicului.

*Ce este important la securitatea prevazuta de GDPR?

Asa cum spun legile GDPR, firma pe care o detii trebuie sa ia masuri pentru a pastra cat mai in siguranta datele cu caracter personal ale clientilor. Prin masuri de securitate,
ne putem referi la criptarea informatiilor sau limitarea numarului de persoane care au acces la anumite date.
In GDPR nu sunt specificate exact masurile care trebuie sa fie luate pentru protejarea datelor personale, in schimb firmele au obligatia de a inaspri metodele actuale de securitate
pentru a se ridica la standardele impuse de GDPR si a evita eventuale amenzi.
Exista destule riscuri care pot aparea in orice moment, de la hackeri, angajati rau intentionati pana la calamitati si pierderea accidentala a datelor.Dezvoltarea unui plan de
actiune corect minimizeaza riscurile si sporeste securitatea.

*Ce prevede GDPR in cazul incalcarii securitatii datelor cu caracter personal?

Incalcarea securitatii datelor cu caracter personal este definita de GDPR ca „o incalcare a securitatii care duce, in mod accidentatal sau ilegal, la distrugerea, pierderea,
modificarea sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate in alt mod, sau accesul neautorizat la acestea”.
In momentul in care se intampla unul din aceste lucruri, sunteti obligati sa anuntati autoritatile in maxim 72 de ore de la producerea evenimentului. In functie de gravitate,
este posibil sa fie obligatorie si notificarea persoanelor vizate.

*Este mentionat ca organizatiile trebuie sa fie „transparente”. Ce inseamna acest lucru?

Ce este de retinut este ca firmele trebuie sa fie clare, corecte si concise in ceea ce priveste informatiile despre prelucrarea informatiilor. Sunt specificate in GDPR informatii
cu privire la ce trebuie comunicat oamenilor referitor la prelucrarea datelor.
1) Scopul prelucrarii datelor personale
2) Cu cine vor fi impartasite datele
3) Perioada de pastrare a datelor
4) Daca datele vor fi trimise altor entitati din afara Uniunii Europen

GDPR impact asupra turismului si hotelurilor

Asa cum bine se stie, GDPR aduce noi reguli care vor afecta orice institutie ce prelucreaza date cu caracter personal, automat se vor reflecta si asupra industriei hoteliere. Sectorul hotelier va fi atent vizat de autoritatile responsabile cu protectia datelor cu caracter personal pe intreg teritoriul Uniunii Europene, avand in vedere ca volumul mare  de date personale pus in circulatie in acest segment este imens.

In momentul de fata, regulile referitoare la colectarea datelor personale de catre administratorii hotelurilor sunt destul de permisive si flexibile, cea mai mare practica fiind  aceea de a utiliza un consimtamant general sau implicit pentru folosirea acestor date in scop publicitar prin aproape orice fel de mijloc de prelucrare ar fi considerat bine venit afacerii de catre management. Datele sunt colectate de la persoana respectiva si preluate de terti colaboratori si prelucrate ulterior aproape fara restrictii, informatiile circuland nestingherit, acest lucru ducand la un control mult mai dificil din partea autoritatilor.

Sub egida noului regulament, intreaga practica urmeaza sa fie schimbata in  intreaga Uniune Europeana cu sisteme de prelucrare a datelor personale, bazate pe mai multa responsabilitate, prodenta, legalitate si raspundere.Astfel, se atrage atentia agentiilor de turism, platformelor on line, hoteluri, pensiuni si altele pentru revizuirea setului de reguli si a intregilor dispozitii.

Cele mai importante aspecte introduse de GDPR:

1) Reducerea la minim a datelor, acest lucru insemnand ca toti administratorii de hoteluri, agentii de turism sau companii de transport vor fi nevoiti sa isi revizuie necesitatile
si sa se rezume la colectarea datelor care sunt intr-adevar necesare indeplinirii scopului vizat pentru a fi prelucrate, si nimic in plus.
2) Principiul limitarii scopului, ceea ce inseamna ca datele colectate se vor folosi strict pentru scopurile vizate si legitime.
3) Limitarea perioadei de stocare a datelor, se refera la principiul prin care timpul de stocare a datelor personale sa fie minim, iar datele care nu mai sunt folositoare sa fie
obligatoriu sterse.
4) Desemnarea unei persoane responsabile cu protectia datelor cu caracter personal, persoana care poate sa faca parte din angajatii hotelului sau din exterior. Persoana responsabila
trebuie sa indeplineasca toate criteriile prevazute in Regulament si sa respecte fara dubiu toate obligatiile fisei postului.
5) Dreptul la stergerea datelor(sau dreptul de a fi uitat) in baza caruia fiecare persoana are dreptul de a solicita stergerea completa a datelor sale din baza operatorului.
De asemenea, in cazul in care prelucrarea datelor se bazeaza pe consimtamantul persoanei vizate, aceasta va avea dreptul sa isi retraga oricand consimtamantul.

Acest impact provoaca cel putin doua situatii, referitoare la gravitatea si extinderea consecintelor GDPR:

In prima faza, acestia vor suferi prin prisma marketingului, mai ales a celui online, deoarece o considerabila parte din clienti sosesc din mediul online. Din data intrarii in
vigoare a GDPR, acestia nu vor mai putea primi oferte sau reclame decat daca isi dau acordul pentru acest lucru.

Pe de alta parte, consecintele vizeaza si reanalizarea intregii organizari a activitatii hoteliere, sub sanctiunile drastice pregatite de GDPR, care ajung la amenzi de pana la
4% din cifra anuala globala.

Pentru o piata a turismului majoritar digitala, provocarea pentru hotelieri va fi aceea de a se indrepta catre dispozitiile legale impuse bazate pe transparenta prelucrarii datelor,
care totusi sa nu conduca la o restrangere majora a clientilor.Pentru preintampinarea acestor efecte se recomanda acordarea unei atentii sporite in perioada ce urmeaza si actionarea
prin:

1) informarea corespunzatoare
2) instruirea conforma a personalului
3) consultarea unui specialist in acest domeniu
4) stabilirea unui consimtamant pentru persoanele

Este mai mult decat necesara luarea in calcul a masurilor de adaptare pentru a impiedica o scadere a cererilor pentru turism. Altfel, cei responsabili trebuie sa inteleaga ca
ca pentru a intra in legalitate nu trebuie decat sa se conformeze si sa urmeze procedurile impuse de GDPR.

Cursuri de formare DPO

Daca doriti sa indreptati atentia spre aceasta tehnologie, este bine sa stiti ca in Romania sunt deja disponibile cateva optiuni pentru instruire DPO.Multe dintre ele reprezinta rezultatul final al cooperarii dintre companii romanesti si alte entitati care gireaza recunoasterea internationala a certificarii DPO in anumite conditii prestabilite, altele reprezentand initiative locale care ofera programe de formare speciale pentru cei ce doresc sa aprofundeze GDPR. O parte din aceste oferte pot fi gasite in Catalogul GDPR publicat in octombrie 2017, iar altele vor fi disponibile in noua versiune a calendarului ce va fi lansat in curand.

Cu toate acestea, in acest moment, niciunul din programele de instruire ce au loc la noi nu beneficiaza de recunoasterea oficiala a unei autoritati nationale sau europene,  care sa reglementeze certificarea DPO.Se poate miza pe faptul ca nu va aparea niciun incident major de securitate pana cand DPO-ul nostru va capata destula experienta pentru a  administra si gestiona situatiile mai critice, ceea ce inseamna un risc asumat foarte mare.

In lipsa unor standarde de certificare, se merge pe principiul ca experienta este preluata din piata, care teoretic ajuta la formarea expertilor. In alte state, asociatiile  profesionale si mediile academice reprezinta doi pioni foarte importanti. Daca privim la recomandarile organismelor de certificare cu recunoastere internationala precum IAPP sau PECB vom observa ca pentru acordarea diplomei de Certified Data Protection Officer este obligatorie o experienta de minim 2-3 ani in proiecte de protectie a datelor cu  caracter personal sau un cumul total de peste 300 de ore de proiect. Partenerii IAPP ofera cursuri independente sau corelate de Certified Information Privacy Professional/Europe(CIPP/E) si Certified Information Privacy Manager (CIPM), menite sa asigure formarea optima a unui DPO. Statisticile vorbesc clar despre nevoia de cel putin 25-30 de ore de instruire numai pentru a obtine o intelegere clara a problematicilor ridicate de GDPR, si peste 300 de ore de proiect pentru a obtine experienta in acest domeniu.

DPO la mare cautare

Toate institutiile publice ( exceptie fac instantele de judecata), toate companiile a caror prima activitate consta in operatiuni de prelucrare care necesita o atenta monitorizare
periodica si sistematica pe scara larga a persoanelor vizate, precum si alte firme care prelucreaza la scara larga diverse categorii de date ( opinii publice, originea rasiala
sau etnica, date generale, date biometrice, confesiuni religioase, convigeri filosofice sau date privind viata sexuala sau orientarea sexuala) sau date ce se refera la condamnari
penale si infractiuni de diferite naturi, vor fi toate obligate sa angajeze o persoana responsabila petru protectia datelor personale (DPO – Data Protection Officer).

Solutia Microsoft pentru GDPR

Cum iti va afecta GDPR activitatea?

GDPR sau Regulamentul General privind Protectia Datelor reprezinta o noua lege referitoare la gestionarea si protectia datelor cu caracter personal din intreaga Uniune Europeana.
Este conceputa pentru a oferi oamenilor mai multa incredere ca datele lor sunt in siguranta, impunand gestionarilor seturi de legi noi si mult mai transparente.
Legea intra in vigoare din 25 mai 2018, asa ca momentul se apropie cu pasi repede. Se recomanda accederea catre conformitatea cu GDPR si descopera noul set de reguli pentru
o siguranta sporita.

MODIFICARI CHEIE

Confidentialitatea personala

Toate persoanele au dreptul sa:
1) acceseze si exporte toate datele personale
2) stearga datele cu caracter personal
3) corecteze eventuale greseli observate in datele personale
4) se opuna prelucrarii datelor personale

Masuri de control si notificari

Toate companiile si organizatiile trebuie sa:
1) protejeze prin masuri adecvate toate datele personale
2) notifice autoritatile pentru orice incalcare privind datele personale
3) obtina consimtamantul persoanei in cauza pentru prelucrarea datelor
4) detina evidente detaliate despre toate activitatile de prelucrare a datelor

Transparenta

Companiile si organizatiile trebuie sa aiba politici care sa :
1) implementeze o comunicare clara pentru colectarea datelor
2) precizeze motivul si momentul in care se prelucreaza datele
3) stabileasca politici de pastrare si stergere a datelor cu caracter personal

IT si instruire specifica

Companiile si organizatiile vor fi obligate sa:
1) isi instruiasca toti angajatii cu privire la toate practicile de confidentialitate si securitate a datelor
2) auditeze si sa actualizeze politicile privind datele personale
3) angajeze, daca este necesar, o persoana responsabila pentru protectia datelor
4) redacteze si gestioneze contracte in conformitate cu furnizorii

GDPR. Evaluare si activitati DPO.

Programul GDPR nu reglementeaza mecanismele si obiectivele prin care activitatea DPO ar putea fi evaluata in vreun fel. Astfel ca, pentru a evalua activitatile DPO-ului, se va lua in calcul implementarea unor masuri care sunt, de regula, folosite pentru evaluarea activitatii angajatilor.

Asa ca, se recomanda redactarea unor clare reguli interne, care sa sublinieze mecanismele de prelucrare a datelor, de asemenea si masurile/procesele ce trebuie respectate sau urmarite atent.

Este foarte necesara si sublinierea sarcinilor si atributiilor DPO-ului prin politicile interne si fisa postului sau contractul incheiat cu DPO-ul, care sa includa sarcini periodice de raportare catre superiorii societatilor in care a fost desemnat.

Nu in ultimul rand, toata activitatea DPO-ului poate fi efectuata si analizata prin contextul auditarii prin intermediul unor specialisti ( consultanti, specialisti in securitate cibernetica, avocati, etc.) ai activitatii societatii de prelucrare a datelor cu caracter personal sau a unor controale venite din partea autoritatilor competente pentru supravegherea prelucrarii datelor personale.

Ce presupune GDPR?

INFORMATII GENERALE

Incepand cu data de 25 mai 2018 intra in vigoare Regulamentul (UE) 679/2016, sau Regulamentul General privind Protectia Datelor Personale, ceea ce va aduce automat schimbari
majore privind legislatia protectiei datelor cu caracter personal din Europa.

CE ESTE GDPR?

„GDPR”, sau General Data Protection Regulation este un act adptat de Parlamentul European in aprilie 2017.Daca facem o comparatie cu alte directive cu care populatia era obisnuita,
Regulamentele Europene nu au deloc nevoie de legi nationale care sa transpuna orice prevedere in legislatia fiecarui stat membru UE si intra in vigoare direct, fara vreo
formalitate in prealabil, in toate statele membre ale Uniunii Europene.

CAND VA INTRA IN VIGOARE GDPR?

Potrivit datelor oficiale, data in care se va aplica acest act este 25 mai 2018, la aproape doi ani de cand a fost publicat, tocmai pentru a li se da tuturor companiilor prilej
pentru a-si contura si implementa propriul lor cadru de conformitate la prevederile acestui Regulament. Mai pe scurt, toate companiile vor fi nevoit sa-si rezolve toate
problemele impuse de GDPR inainte de termenul limita, altfel riscand sanctiuni foarte drastice.

SE APLICA GDPR COMPANIEI MELE?

In cele mai multe dintre cazuri,da. Raspunsul este unul simplu. Cele mai multe dintre companii folosesc si proceseaza, intr-un fel sau altul, date cu caracter personal. Conceptul
de date personale in sine este atat de vast, incat in zilele noastre este aproape imposibil ca o firma sa nu prelucreze un astfel de tip de date. Chiar daca ne referim la
prelucrarea datelor proprilor angajati, a datelor clientilor in scopuri de marketing sau prelucrarea datelor sensibile, toate aceste lucruri atrag obligativitatea aplicarii si
implementarii GDPR in firma respectiva.

Un lucru foarte important de retinut este ca GDPR nu se aplica doar companiilor ce au sediul in Uniunea Europeana, ci si celor cu sediul in alte state ale globului, in masura
in care ele folosesc sau prelucreaza date ale persoanelor ce au domiciliul in Uniunea Europeana. Altfel spus, daca o firma mare ce nu are sediul in UE vinde online si livreaza
bunuri catre persoane din UE, compania este obligata sa respecte si sa aplice GDPR.

PRINCIPALELE 5 OBLIGATII IMPUSE DE LEGEA GDPR COMPANIILOR

Trebuie specificat si faptul ca GDPR preia o mare parte din obligatiile existente deja in legislatia europeana (practic, noua lege GDPR inlocuieste Directia privind protectia datelor
cu caracter personal 95/46/EC) deci toate obligatiile existente vor fi pastrate si in viitor. Conditiile GDPR sunt vaste, de aceea fiecare societate in parte trebuie sa munceasca
pentru indeplinirea tuturor conditiilor impuse.

Noutatile aduse de GDPR:
1) DPO – Noua functie la mare cautare
2) Reguli noi pentru consimtamant
3) Drepturi noi pentru persoana vizata.Portabilitatea datelor personale
4) Transparenta extinsa
5) Neconformitatea duce la amenzi imense