GDPR – Gestionarea Riscurilor

05 octombrie 2019

Care este cadrul de aplicare a GDPR?
Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor – RGPD).
Regulamentul (UE) 2016/679 : • pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal;• stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line;• consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării;• introduce sancţiuni severe, până la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.

RGPD se aplică:
-Prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
-Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de: oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
-Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.
Deoarece Uniunea Europeană (UE) este o uniune și nu un guvern federal, legile și regulamentele sale sunt aplicate direct de statele membre. GDPR a solicitat fiecărui stat membru¹ să înființeze cel puțin o autoritate de supraveghere independentă (denumite în mod obișnuit autorități de protecție a datelor sau DPA), iar aceste entități au responsabilitatea de a pune în aplicare GDPR în statul membru respectiv.

Procesul de aplicare a GDPR
• Autoritatea de protecție a datelor ( DAP data protection authorities ) află despre o posibilă încălcare 1.Auditul DPA , 2.Raportul DPO (data protection officer)
• DPA investighează posibila încălcare;
• PDA aplică măsuri coercitive asupra organizaţiei-1. Natura încălcării ; 2.Unele state membre permit entităţilor să conteste decizia DPA
Atunci când a fost identificată o potențială încălcare, DPA începe investigarea pentru a stabili dacă s-a produs o încălcare și care este impactul acesteia (dacă încălcarea afectează persoanele care au reședința în mai multe state membre, DPA-ul statului membru ai cărui rezidenți au fost cei mai mulți care au rolul principal). Odată încheiată o anchetă, DPA poate aplica sancțiuni pentru încălcări care nu fac obiectul unor amenzi administrative și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive. Fiecare stat membru informează Comisia cu privire la dispozițiile de drept intern pe care le adoptă precum și, fără întârziere, cu privire la orice modificare ulterioară a acestora.

In Romania măsurile corective pe care Autoritatea de Supraveghere le va putea dispune în temeiul Noului Regulament General privind Protecția Datelor Personale se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc. În privința stabilirii sancțiunilor cu amendă, aceasta va avea la bază o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte.

Principalele obligații pentru operatorii de date in aplicarea RGPD
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018- în cazul în care operatorul sau persoana împuternicită de operator: este o autoritate publică sau un organism public, cu excepţia instanţelor în exercitarea funcţiei lor jurisdicţionale; desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor; desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.
Cartografierea prelucrărilor de date cu caracter personal obligatorie in cazul in care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni
Prioritizarea acțiunilor de întreprins – identificarea acţiunilor care trebuie întreprinse pentru conformarea la cerinţele impuse de RGPD. Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertăţile persoanelor vizate
După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de Regulamentul General privind Protecţia Datelor.
Gestionarea riscurilor – În cazul în care au fost identificate prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul va efectua o evaluare a impactului asupra protecţiei datelor.
Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării.
Se va pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere al persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și scopurile prelucrării și utilizarea noilor tehnologii.
Evaluarea impactului asupra protecţiei datelor presupune:
-o descriere a prelucrării de date efectuate și a scopurilor acesteia;
-o evaluare a necesităţii și a proporţionalităţii prelucrării de date efectuate;
-o estimare a riscurilor asupra drepturilor și libertăţilor persoanelor vizate;
-măsurile prevăzute pentru a trata riscurile și a asigura conformitatea cu dispoziţiile RGPD.
Evaluarea impactului asupra protecţiei datelor permite:
-realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă viaţa privată;
-estimarea impactului asupra vieţii private a persoanelor vizate;
-demonstarea faptului că principiile fundamentale ale Regulamentul General privind Protecţia Datelor sunt respectate.
Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:
(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă; (b) prelucrării pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul 10; sau (c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de operator pentru atenuarea acestora, se consultă Autoritatea naţională de supraveghere.
Organizarea procedurilor interne: pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum: breșe de securitate; solicitări privind exercitarea drepturilor persoanelor vizate; modificarea datelor cu caracter personal colectate; schimbarea prestatorului.

Vă invităm sa citiţi mai mult accesând următoarele link-uri:

Sursa:
file:///C:/Users/panai/Downloads/GDPR_for_Third_Party_Risk_Management.pdf

https://www.dataprotection.ro/?page=noua%20_pagina_regulamentul_GDPR

Lăsaţi un raspuns

Adresa dumneavoastră de e-mail nu va fi publicată. Câmpurile obligatorii sunt marcate *