GDPR

7 mituri despre GDPR

În ultimii ani GDPR-ul a ajuns să fie foarte popular, foarte urmărit și discutat. Cu toate acestea, nu tot ce se spune este și adevărat. Adesea întâlnim o sumedenie de înțelegeri greșite ale regulamentului dar și câteva mituri.

Prin acest articol ne propunem să vă prezentăm câteva mituri despre GDPR, cu care noi ne-am întâlnit:

Conținut

  • 1. GDPR-ul este o Revoluție
  • 2. GDPR-ul te oprește să prelucrezi date
  • 3. Cumperi un kit de documente și ești conform
  • 4. Faci un curs, ești conform
  • 5. Consimțământul este „cheia” pentru conformarea la GDPR
  • 6. IT-ul rezolvă conformitatea
  • 7. GDPR-ul este o legislație, deci avocații sunt cei ce te pot conforma
  • Concluzii

1. GDPR-ul este o Revoluție

Auzim de multe ori că diverse persoane acuză legiuitorul despre faptul că a inventat o legislație menită doar să îngreuneze activitatea operatorilor. Totodată se spune că unele prevederi sunt exagerate și neaplicabile în societatea românească.

Cu toate acestea, trebuie să ne amintim următorul lucru: 60-70% din prevederile GDPR sunt regăsite într-o directivă anterioară (Directiva 95/46/CE) din 1995, iar legislația de punere în aplicare în România a fost Legea 677/2001. Dacă ne uităm mai departe în istorie, vedem prevederi care apără viața privată și datele cu caracter personal chiar înainte de anii 90. Astfel, analizând lucrurile vedem că GDPR-ul este o Evoluție și nu o Revoluție! GDPR-ul este o evoluție firească a legislației europene în acest domeniu și nu atât un lucru care ne creionează un nou mod de viață prin protecția datelor.

2. GDPR-ul te oprește să prelucrezi date

Din interacțiunile  avute cu diverși cursanți de-ai noștri, colaboratori sau alte persoane vizate, am putut vedea o serie de întrebări din care reieșea înțelegerea că GDPR-ul oprește / interzice prelucrarea datelor ca regulă. De multe ori am auzit întrebări de tipul: pot să le trimit newsletter dacă am consimțământul obținut în 2017? Pot să prelucrez CV-ul în procesul de recrutare sau am nevoie de un consimțământ pentru asta? Trebuie să șterg toată baza de date de emailuri acum că se aplică GDPR-ul? Toate aceste întrebări își au un singur răspuns: GDPR-ul nu interzice prelucrarea datelor ci reglementează un cadru în care prelucrările să fie efectuate în conformitate cu niște principii de protecție a vieții private a persoanei.

Astfel, da, trebuie să fim foarte atenți în identificarea corectă a temeiurilor legale în baza cărora ne desfășurăm activitatea, însă să nu pornim cu gândul că prelucrarea este interzisă din start.

3. Cumperi un kit de documente și ești conform

O tehnică adoptată de mulți operatori este următoarea: „să avem ceva, știm noi cum e cu protecția datelor”. Adică caută să cumpere un kit cu formulare pe care le semnează și consideră că sunt asigurați. Ei bine, din amenzile aplicate de ANSPDCP vedem că lucrurile nu stau deloc așa. Un kit de documente crează doar falsa impresie de siguranță pe când riscurile reale rămân, vulnerabilitățile rămân și posibilitatea amenzii rămâne.

Conformarea la GDPR presupune un proces asumat din partea conducerii, care implică mai mulți factori: resurse umane, juridic, IT, administrativ etc. coordonați, acolo unde este cazul de un Responsabil cu Protecția Datelor. Astfel, aproape fiecare latură a activității operatorului va fi avută în vedere spre analiză și monitorizare constantă.

4. Faci un curs, ești conform

Lucru care a caracterizat în mod aparte 2018 și o parte din 2019, trimiterea la un curs de perfecționare cu gândul că „gata, am obținut diploma, sunt conform” s-a dovedit ulterior a nu fi o metodă foarte eficientă. Vă amintiți cu siguranță fiecare dintre dumneavoastră valul de oferte de cursuri GDPR existente în trecut, însă care ne lăsau cu la fel de multe întrebări sau mai periculos, uneori cu înțelegeri greșite asupra regulamentului.

Sunt cursurile obligatorii? Da, este foarte important ca Responsabilul cu Protecția Datelor, persoana cu atribuții în acest domeniu sau chiar factori din managementul companiei să urmeze cursuri, pregătirea fiind un element cheie.

Este un curs suficient? Niciodată, chiar dacă este un curs de lungă durată, de 188 ore, cu multă practică. Uneori este nevoie de expertiză din mai multe domenii pentru a gestiona o situație: spre exemplu o breșă de securitate IT pe o platformă de plăți, care afectează drepturile persoanei vizate care efectuează atât confidențialitatea cât și plățile în sine. Avem 72 ore termen de raportare. Ce facem? Avem o mulțime de factori implicați: IT, protecția datelor, juridic, financiar. Cum gestionăm lucrurile? Ei bine, pentru a face față unei astfel de situații cu succes avem nevoie de cursuri specializate pentru tot personalul operatorului, sau de o echipă cu expertiză care te poate ajuta.

Adevărul este următorul: pentru conformarea la GDPR este nevoie de suport managerial și alocarea de resurse umane și materiale.

5. Consimțământul este „cheia” pentru conformarea la GDPR

Mulți operatori au căutat să obțină consimțământul persoanei vizate pentru orice prelucrare: ex. consimțământ pentru a face viramentele salariale angajatului; consimțământ pentru oferirea de servicii medicale; consimțământ pentru ducerea la îndeplinirea a anumitor obligații legale. În acest sens lucrurile nefiind clare, se amestecă. Dacă și când avem nevoie de consimțământ și mai ales, dacă l-am obținut, înseamnă că suntem asigurați împotriva oricărei probleme?

GDPR-ul prevede șase temeiuri legale: obligație legală, încheierea / executarea unui contract, consimțământ, interes vital, interes public și interes legitim. Nu este scopul acestui articol să dezvoltăm fiecare dintre acestea, însă, pentru a sublinia ideea, este clar că atunci când există o lege care ne obligă să prelucrăm anumite date, le vom prelucra în virtutea obligației legale și NU avem nevoie de un consimțământ suplimentar pentru aceasta. La fel se întâmplă și cu alte temeiuri legale enumerate mai sus. Doar prin excepție, pentru cazuri de marketing, publicitate și alte situații asemănătoare vom solicita consimțământul.

6. IT-ul rezolvă conformitatea

Uneori am văzut situații în care managementul au pus în cârca IT-ului soluționarea problematicii protecției datelor: „protecția datelor, securitatea informațiilor? ISO 27001? Același lucru, mai adăugăm niște consimțăminte și am rezolvat conformitatea”. O astfel de situație este cum nu se poate mai adevărată, în primul rând pentru că este vorba de cunoașterea și înțelegerea unei legislații, oferirea de puncte de vedere și răspunsuri cererilor persoanelor vizate ș.a. Mai apoi pentru că IT-ul are deja mult de muncă și conformarea impune alocarea de timp.

Este util să fie implicat IT-ul în procesul de conformare? Da, categoric, mai mult decât util este aproape obligatoriu deoarece multe din aspectele recomandate de GDPR au o latură tehnică de aplicare, cunoscută în detaliu doar de personalul cu pregătire IT.

Este suficient ca personalul IT să „facă ceva” pentru conformare și ne scăpăm de griji? În nici un caz: spre ex. un operator instituție publică își numește șeful de serviciu de la IT, Responsabil cu Protecția Datelor. Acesta face un curs și încearcă să conformeze activitatea. Va fi obligat să înceapă analiza chiar cu propria sa numire, dacă s-a făcut în condiții de legalitate, să facă notificarea la ANSPDCP, să realizeze evidența prelucrărilor de date (cartografierea datelor), să urmărească clauzele și garanțiile contractuale, să întocmească politici și proceduri, să realizeze evaluări de impact, să ofere puncte de vedere și sprijin în oferirea de răspuns pentru cererile de drept de acces, să gestioneze incidentele la confidențialitatea și securitatea datelor și să facă instruirea personalului..  pentru început. După cum putem înțelege, soluția stă în altă parte.

Articol adaptat dupa Website-ul de consultanta GDPR Complet

Sustine proiectul de Hub al transformării digitale

7 mituri despre GDPR Read More »

Amendă GDPR pentru folosirea unei aplicatii (platforme) software învechite

Amendă GDPR pentru folosirea în producție (rularea unui platforme software de tip web) a unui software învechit

Este vorba de prima amendă de acest tip și a fost primită de o companie din Saxonia Inferioară – Germania. Amenda este de 65.500 de euro și s-a acordat pentru încălcarea reglementărilor art. 25 și art. 32 din GDPR.

Se dovedește astfel încă o dată că aspectele tehnice joacă un rol decisiv în problema protecției adecvate a datelor cu caracter personal deținute de  companii. În special, trebuie luat în considerare stadiul actual al tehnicii pentru determinarea măsurilor tehnice și organizatorice adecvate.

Compania rulează în producție un site web de comerț electronic dezvoltat pe platforma XT:COMMERCE  – versiunea 3.0.4 SP2.1, versiune care nu mai este actualizată de către producător din 2014. Chiar producătorul a avertizat în mod explicit împotriva continuării utilizării versiunii 3 a software-ului său în producție. Fundalul avertismentului a fost vulnerabilități semnificative de securitate care au făcut posibile atacurile de injecție SQL. Ultima versiune XT:COMMERCE este 6 și nu este expusă acestui risc.

Investigațiile efectuate de autoritatea din Saxonia Inferioară au arătat că parolele stocate în baza de date au fost „securizate cu funcția hash criptografică MD5” fără a folosi SALT. MD5 nu este conceput pentru a fi utilizat și in cazul parolelor însă în anumite condiții prin utilizarea SALT poate face asta. În criptografie, SALT este un șir aleatoriu pe care îl adăugați la un cuvânt de intrare, pentru a genera un hash diferit decât hash-ul generat de cuvântul singur.

Datorită precauțiilor de securitate inadecvate, în cazul de față a fost posibil să se determine parolele cu text simplu și apoi să încerce vectorii de atac suplimentari cu efort gestionabil. Implementarea unei funcții SALT și a unui algoritm hash actualizat conceput pentru parole ar fi fost posibilă pentru companie, mai ales dacă această funcționalitate este implementată cu versiuni mai noi ale software-ului XT:COMMERCE.

La evaluarea incidentului, autoritatea a ajuns la concluzia că măsurile tehnice luate de operator nu îndeplineau cerințele de protecție ale GDPR, astfel încât a existat o încălcare a articolului 32 GDPR.

A fost impusă apoi o amendă de 65.500 de euro, pe care compania a acceptat-o. În favoarea companiei, s-a luat în considerare faptul că aceasta a informat deja persoanele în cauză că este necesară o schimbare a parolei înainte de procedura de amendare.

Aici găsiți o listă de aplicații vulnerabile la atacurile de injecție SQL.

Articol adaptat dupa Website-ul de consultanta – GDPR Complet

Sustine proiectul de Hub al transformării digitale

Amendă GDPR pentru folosirea unei aplicatii (platforme) software învechite Read More »

WhatsApp-ul în relațiile de muncă. Perspective GDPR

Conținut

  • 1. Aspecte introductive
  • 2. Ce date sunt prelucrate prin WhatsApp?
  • 3. Este WhatsApp sigur (securizat) pentru folosire în 2021?
  • 4. Este WhatsApp soluția ideală?
  • 5. Cum putem ridica nivelul de conformitate în utilizarea WhatsApp-ului?
    • 5.1 Trece această prelucrare în evidența prelucrărilor de date întocmită
    • 5.2 Întocmește o procedură de folosire a WhatsApp-ului
    • 5.3 Informează persoana vizată
    • 5.4 Instruiește personalul
    • 5.5 Oferă un nivel de securitate ridicat
    • 5.6 Oferă o alternativă 
  • 6. Rezumat – WhatsApp si GDPR-ul

1. Aspecte introductive

Majoritatea companiilor și instituțiilor publice folosesc astăzi WhatsApp-ul în desfășurarea activităților profesionale, acesta devenind cel mai eficient instrument de comunicații electronice de tip chat!

Astfel un grup WhatsApp poate conține numele, prenumele, numărul de telefon, fotografii și multe alte informații personale. Iar operatorii folosesc de regulă mai multe grupuri în funcție de echipele de lucru create, relațiile de prietenie legate între angajații operatorului, sau angajatii altor operatori cu care se afla relatii de munca.

Toate acestea însă ridică probleme cu privire la protecția datelor cu caracter personal și viața privată.

Vedem tot mai des:

  • sancțiuni aplicate WhatsApp-ului, de sute de milioane de euro, de către diverse autorități de supraveghere din Europa (ex. Autoritatea din Spania, autoritatea din Irlanda etc);
  • procese pe rol și dezbateri cu privire la WhatsApp

Astfel ne putem întreba: este în regulă să folosim acest canal de comunicare în relațiile de muncă?

În următoarele rânduri ne propunem să dăm răspuns la această întrebare:

Premisa de la care suntem nevoiți să plecăm este că WhatsApp-ul deține la acest moment monopolul în domeniul comunicațiilor electronice de tip chat, realitatea vieții impunând folosirea acestuia din raționamente de eficiență – avem telefonul  mereu deschis, internetul pornit și WhatsApp-ul ne informează de îndată despre orice mesaj și notificare primită. Deoarece îl folosim foarte mult în relația cu familia, prietenii și apropiații, căutăm adesea să verificăm mesajele, fiind mereu conectați. Astfel, devine un instrument foarte util în relațiile de muncă, spre deosebire de alte canale (ex. emailul profesional care poate fi accesat doar de la lucru, de pe anumite calculatoare, uneori neputând să răspundem în timp real – pe moment unei provocări).

Chiar dacă sunt ridicate probleme pe diverse capitole cum ar fi: securitatea, confidențialitatea, transparența datelor și transferul acestora, WhatsApp-ul nu încetează să fie cel mai folosit instrument de acest tip.

În acest context rolul GDPR-ului este de a oferi un cadru pentru desfășurarea relațiilor menționate mai sus într-un mod care prezintă un nivel ridicat de protecție a datelor cu caracter personal iar prin amenzile aplicate de către autoritățile de supraveghere, Regulamentul forțează Operatorul (Facebook) să conformeze aceste activități. Nu ne propunem să dezbatem aspectele sancționate sau sancționabile ale acestei rețele ci să vedem cum și în ce fel ne putem folosi de aceasta într-un mod care respectă cât mai mult prevederile GDPR.

Înainte însă ar trebui să răspundem la câteva întrebări:

2. Ce date sunt prelucrate prin WhatsApp?

  • Număr de telefon
  • Nume, prenume (dacă se trece)
  • ID-ul dispozitivului
  • ID-ul userului
  • Date referitoare la reclame
  • Locație
  • Adresă de email
  • Contacte
  • Date referitoare la plăți
  • Date referitoare la erori
  • Date referitoare la performanță
  • Fotografie
  • Alte date de conținut – de exemplu:
    • Date medicale
    • Fotografii cu alte persoane vizate
    • Videoclipuri – filmări etc.

3. Este WhatsApp sigur (securizat) pentru folosire în 2021?

WhatsApp-ul ne informează că este folosită o tehnologie de securizare – criptare end-to-end. În acest fel, ne asigură că discuțiile noastre vor rămâne confidențiale chiar și pentru aceștia, Facebook și WhatsApp.

Doar în anumite cazuri speciale în care există o autorizare specifică pot fi verificate conversațiile, pentru a preîntâmpina probleme precum: amenințări, violențe, abuzuri, terorism etc.

Cu toate acestea, WhatsApp se consideră Persoană Împuternicită față de utilizator, pasând responsabilitatea acestuia în ceea ce privește modul și felul în care rețeaua este folosită. Astfel compania care folosește spre exemplu grupuri de WhatsApp va stabili care este scopul pentru care acestea sunt folosite și în ce fel.

Conform Propublica care citează spusele lui Zuckerberg, în mărturie la Senatul SUA în 2018, „Nu vedem niciun conținut în WhatsApp”.

WhatsApp subliniază acest punct atât de consecvent, încât un steag cu o asigurare similară apare automat pe ecran înainte ca utilizatorii să trimită mesaje: „Nimeni din afara acestui chat, nici măcar WhatsApp, nu le poate citi sau asculta.”

Având în vedere aceste asigurări cuprinzătoare, s-ar putea să fiți surprinși să aflați că WhatsApp are peste 1.000 de lucrători contractuali care au acces doar la un subset de mesaje WhatsApp – cele semnalate de utilizatori și redirecționate automat către companie ca fiind posibil abuzive. Revizuirea este un element al unei operațiuni mai largi de monitorizare în cadrul căreia compania revizuiește și materialul care nu este criptat, inclusiv date despre expeditor și contul acestora.

4. Este WhatsApp soluția ideală?

În mod evident, nu este, existând multe semne de întrebare așa cum am menționat la început: referitor la confidențialitatea datelor, la securitatea acestora, la transfer și transparență etc.

Întotdeauna este de preferat o soluție internă – folosirea de companie în mod clasic, contactarea telefonică, crearea de grupuri de discuții de tip chat intern și de ce nu contactul personal cu angajații companiei.

Cu toate acestea este soluția cel mai adesea aleasă datorită modului rapid în care orice fel de informație poate să ajungă de la un utilizator la altul sau la un întreg grup de persoane. În domenii precum cel medical sau în fabrici în procesele de producție, intervenția rapidă în anumite situații poate salva vieți sau poate reduce enorm pagubele produse de o defecțiune.

5. Cum putem ridica nivelul de conformitate în utilizarea WhatsApp-ului?

5.1 Trece această prelucrare în evidența prelucrărilor de date întocmită

Întrucât există o responsabilitate mare în utilizarea acestui canal, este bine să se răspundă la următoarele întrebări:

  • Ce date sunt prelucrate?
  • Care este scopul folosirii acestor date?
  • Cine are acces la date și de ce ?
  • Detalii referitoare la părțile terțe care pot avea acces la date?
  • Cât timp vor fi păstrate datele de pe grupul de WhatsApp?

În funcție de natura și specificul companiei sau instituției în care lucrați, procesul acesta poate să fie mai laborios sau nu.

5.2 Întocmește o procedură de folosire a WhatsApp-ului

În calitate de administrator al companiei sau director de departament poți iniția redactarea unei proceduri pentru utilizarea grupurilor de WhatsApp în cadrul companiei / instituției în care lucrezi.

Această procedură ar trebui să cuprindă detalii la:

  • Dispozitivele pe care vor putea fi folosite grupurile de lucru: ex. aceste grupuri pot fi folosite doar pe dispozitivele puse la dispoziție de companie;
  • Felul în care se adaugă membrii într-un grup: recomandarea noastră este ca invitarea participanților în grupurile de WhatsApp să se realizeze prin distribuirea unui link de invitație din partea administratorului grupului (aici găsiți pașii în concret referitor la crearea grupurilor și invitațiile în grup). În acest fel, ne asigurăm că nu forțăm angajatul să lucreze prin această rețea, și îi oferim și o alternativă.
  • Discuțiile care pot fi inițiate: ex. se va stabili cine are drept de postare – ex. există varianta ca doar administartorul grupului să posteze pe grup, în acest fel limitând orice fel de problematici specifice cu privire la divulgarea eronată a unor date cu caracter personal. Totodată se poate menționa că se vor avea în vedere strict discuții organizatorice / strict anunțuri. De asemenea, putem preciza că nu se vor posta fotografii cu documente ci acestea vor fi trimise prin email, pe WhatsApp doar vom anunța că am trimis etc.
  • Rolul ocupat de către fiecare membru: se va stabili cine este admnistratorul grupului, cine este moderator al acestuia, cine poate șterge postările care nu corespund direcției stabilite de companie etc;
  • Perioada pentru care se vor păstra datele: ex. toate documentele mai vechi de 30 de zile se vor șterge;
  • Condițiile de utilizare a grupului și care sunt aspectele care vor atrage eliminarea din grup;
  • Alte aspecte relevante.

5.3 Informează persoana vizată

Este deosebit de important ca încă de la momentul angajării unui nou coleg, dacă se utilizează grupuri de WhatsApp, acesta ar trebui să fie informat cu privire la acesta: fie că este vorba despre o notă de informare specifică, de luare la cunoștință printr-un alt act de tipul ROI, fie prin aducerea la cunoștință a politicii de confidențialitate pe care am actualizat-o cu privire la lucrul prin grupuri de WhatsApp.

Una peste alta, este important să avem o informare prealabilă bine făcută, astfel încât persoana vizată să aibă așteptări rezonabile cu privire la această prelucrare.

5.4 Instruiește personalul

Aspectul care diminuează riscurile cel mai mult este instruirea persoanelor cu privire la folosirea acestor grupuri. Această instruire ar trebui făcută pentru toți noii angajați pe de o parte, iar pe de altă parte, periodic să le readucem aminte colegilor cum și în ce fel putem folosi această rețea.

5.5 Oferă un nivel de securitate ridicat

Securitatea datelor este o responsabilitate a operatorului (companie, instituție publică de cele mai multe ori). Astfel, recomandarea noastră este să se aibă în vedere:

  • Securizarea rețelelor WIFI folosite;
  • Securizarea dispozitivelor – folosirea de parole ;
  • Efectuarea de teste de vulnerabilitate.

Toate acestea te pot scăpa de o amendă!

5.6 Oferă o alternativă

În orice situație recomandăm să se ofere o alternativă! De ce? Deoarece s-ar putea să avem de a face cu angajați care vor refuza utilizarea grupului sau nu o găsesc eficientă și să își exercite un drept de opoziție la această prelucrare.

O alternativă poate fi utilizarea emailului ori rețelelor de comunicații interne ale companiei.

‍6. Rezumat – WhatsApp și GDPR-ul:

Dacă în activitatea dumneavoastră se dorește să se adopte WhatsApp ca un canal de contact și de comunicare, puteți avea în vedere că activitatea dumneavoastră are un nivel mai ridicat de protecție a datelor cu caracter personal realizând următoarele:

  • că știți ce date sunt prelucrate și care sunt acestea
  • că știți ce garanții de securitate oferă rețeaua și ce probleme specifice poate ridica
  • că ați asumat acest lucru printr-o procedură
  • că ați făcut informarea persoanelor vizate
  • că ați realizat instruirea personalului
  • că oferiți o alternativă!

Articol – adaptat dupa website-ul de GDPR Complet 

Sustine proiectul de Hub al transformării digitale

WhatsApp-ul în relațiile de muncă. Perspective GDPR Read More »

Cele mai frecvente 3 greșeli de implementare GDPR în România

Unul din aspectele frumoase și frustrante în același timp ale GDPR este faptul că multe din prevederile sale sunt interpretabile. Implementare gdpr însemnă cum alegem să interpretăm prevederile GDPR în instituțiile sau companiile din România în care lucrăm.

În consecință, greșelile de care vom vorbi pleacă pe de-o parte tocmai pe înțelegerea și aplicarea eronată a principiilor noului Regulament de către profesioniștii din GDPR, adeseori dublată de o abordare superficială a managementului operatorilor față de protecția datelor.
Așadar iată care sunt cele mai frecvente trei greșeli de aplicare a noului Regulament.

1. Implementare GDPR prin cererea consimțământului pentru orice fel de prelucrare de date

Să luăm un exemplu. Mergem la Primărie să cerem o fișă fiscală. Pe lângă formularul pe care îl avem de completat în mod normal, instituția ne mai cere să semnăm separat, că suntem de acord ca datele noastre personale să fie prelucrate.
Ori în acest caz, consimțământul nu este necesar în primul rând. Asta pentru că instituția nu ne-ar putea da fișa respectivă dacă nu ar avea datele noastre. Deci temeiul legal pentru prelucrarea datelor personale în acest caz este  obligația legală de a oferi serviciul respectiv (așa cum este reglementată de legislația internă în vigoare, HG, OG, HCL, legi organice etc.).

În al doilea rând, dacă cereți consimțământul în astfel de situații bazate pe alte temeiuri legale (ex onorarea unui contract, îndeplinirea unei obligații legale, interes public, interes legitim, interes vital) încălcați principiul minimizării colectării a datelor, colectând date în plus și mai aveți în acel document nenecesar de acordare a consimțământului încă o hârtie cu date personale de care să aveți grijă.

Așadar țineți minte: un singur temei legal de prelucrare a datelor este de ajuns. Cerând consimțământul atunci când deja prelucrarea respectivă are alt temei legal (onorarea unui contract, îndeplinirea unei obligații legale, un interes public, etc. ) faceți mai mult rău decât bine din punct de vedere al conformării la GDPR.

2. Implementare GDPR prin obligarea angajaților de a semna o declarație prin care ei ‘se obligă să respecte GDPR

Marea problemă aici este că acest lucru se întâmplă de foarte multe ori fără ca angajatul respectiv să aibă habar ce presupune GDPR. Faptul că un operator le transmite angajaților ‘să fie atenți ce fac cu datele personale’ este departe de a fi o instruire,  și este departe de a fi suficient pentru conformare.

Angajații trebuie instruiți în funcție de specificul postului, mai precis în funcție de cât acces au la date cu caracter personal.

De exemplu, angajați care nu au acces la date cu caracter personal trebuie instruiți cu privire la accesare și procesarea datelor cu caracter personal neautorizată. Gen dacă din anumite motive, independente de ei, au acces la o hârtie cu date cu caracter personal, este important să știe că nu au voie sa facă copii, să fotografieze, să copieze ca mai apoi să distribuie spre publicul larg din cauza riscului unui prejudiciu.
Angajații care prelucrează date cu caracter personal trebuie instruiți cu privire la modul în care acestea trebuie prelucrate pentru a fi protejate, pentru a nu fi dezvăluite spre persoane care nu sunt autorizate. De asemenea trebuie întocmite proceduri de lucru în funcție de procesare pe care angajații să și le însușească.

Dincolo de instruire, trebuie modificate fișele de post și regulamentele de ordine interioară în mod corespunzător pentru a putea fi sigur că operatorul nu va fi sancționat pe motiv de reconformare.

Așadar de reținut aici importanța instruirii corespunzătoare a angajaților și a modificărilor aferente în fișele de post și regulamentelor de ordine interioară pentru a reduce drastic riscul unei amenzi.

Amenzile date până acum în România au scos în evidență clar faptul că Autoritatea nu dă neapărat amenzi pentru breșele de securitate în sine, cât în primul rând pentru lipsa unor proceduri corespunzătoare cu scop de conformare la GDPR.

3. Implementare GDPR prin informări greșite ale persoanelor vizate

Cum facem corect informarea persoanelor vizate? Ce anume îi informăm? Cum îi informăm?

”Vă informăm că datele d-voastră cu caracter personal sunt prelucrate conform Regulamentului General privind Protecția Datelor” – această sintagmă deja arhifolosită. Totuși, NU este o informare corectă.

De ce? Pentru că informarea se face pentru a-i oferi persoanei vizate informați cu privire la: scopul prelucrării, durata prelucrării, temeiul legal al prelucrării, drepturile pe care le are etc.

Haideți să luăm exemplul supravegherii video de tip CCTV într-un mall. Nu este suficient să afișați un autocolant pe coridoare care să atenționeze că zona este supravegheată video. În primul rând, autocolantul respectiv trebuie să fie plasat înainte de intrarea în mall, intrarea reprezentând acordul persoanelor vizate.

În al doilea rând, dincolo de faptul că ‘Zona este supravegheată video’, formularea de pe autocolantul respectiv mai trebuie să conțină faptul că:

  • supravegherea se face în baza interesului legitim de siguranță al clienților, respectiv angajaților din mall de către compania X SRL.
  • persoanele vizate au dreptul de a avea acces la înregistrările video în care aceștia apar, precum și dreptul la modificarea sau ștergerea înregistrărilor respective.

Nu credem că mai e cazul să o spunem dar informarea cu pricina NU trebuie semnată.

Cum spuneam la început, aceste greșeli pleacă în general fie de la lipsa unei înțelegeri temeinice a Regulamentului de către unii consultanți / specialiști GDPR din România, mai puțin pregătiți, fie din cauza ignoranței companiilor sau instituțiilor pentru protecția datelor. Așadar dacă v-ați dat seama că faceți aceste greșeli dar aveți totuși în organizația dumneavoastră o preocupare reală pentru conformarea la prevederile Regulamentului, acest articol ar trebui să fie un punct bun de plecare pentru remedierea problemelor în cauză.

Sustine proiectul de Hub al transformării digitale

Cele mai frecvente 3 greșeli de implementare GDPR în România Read More »

Heathrow Airport Limited amenda 120.000 lire pentru masuri neconforme privind pastrarea DCP - pierdere stick

Heathrow Airport Limited (HAL) a fost amendat cu 120.000 de lire sterline de către Autoritatea de supraveghere locala pentru că nu întreprins măsurile tehnice și organizatorice ncesare pentru a se asigura că datele personale deținute în rețeaua sa internă nu au fost asigurate în mod corespunzător.

În data de 16 octombrie 2017 un cetățean englez a găsit un stick de memorie USB, pierdut de un angajat HAL. Stick-ul, care conținea 76 de dosare și peste 1.000 de fișiere, nu era criptat sau protejat prin parolă, astfel datele de pe acesta fiind expuse.

Cetățeanul a putut citi materialul pe conținut pe stikul găsit la o bibliotecă locală.

Deși volumul de date personale și sensibile cu caracter personal păstrate pe stick conținea o cantitate mică din cumulul de informații totate de pe stick, inspectorii care au investigat cazul au acordat o atenție deosebită pentru un material video ce dezvăluia antrenamente, clip care a expus detalii despre zece persoane, inclusiv nume, date de naștere, numere de pașaport și detalii despre 50 de membri ai personalului de securitate aeronautică ai aeroportului Heathrow.

Cetățeanul a înmânat stickul unui ziar național care a făcut copii ale datelor deținunte înainte de a returna stickul înapoi către reprezentanții aeroportului.

 

Directorul echipei de investigații, a declarat:

“Protecția datelor este o problemă a bordului de administrație și este imperativ ca organizația să dispună de politici, proceduri și instruirea personalului pentru a reduce la minimum vulnerabilitățile informațiilor datelor personale care le-au fost încredințate”.

Ancheta Autorității de Supraveghere locale, a constatat un alt deficit, cum că doar două procente din forța de muncă de 6.500 de persoane au fost instruite în domeniul protecției datelor.

În cursul anchetei au fost vizate și descoperite utilizarea pe scară largă a mijloacelor de stocare amovibile (stickuri usb, carduri de memorie, harddiscuri portabile), încălcând astfel politicile și orientările proprii ale HAL, precum și controale ineficiente care sa întâmpine și să împiedice descărcarea datelor personale pe suporturi neautorizate sau necriptate.

HAL a întreprins o serie de acțiuni de remediere odată ce a fost informat despre încălcare, inclusiv prin raportarea problemei la poliție, acționând pentru a constata incidentul și angajarea unui specialist terț pentru a monitoriza dezvăluirile din mediul online.

Întru-cât breșa de securitate a avut loc in data de 16 Octombrie 2017, înainte ca Regulamentul Euorpean 679/2016 șă fie aplicat, cazul a fost tratat în conformitate cu prevederile și sancțiunile maxime ale Legii privind protecția datelor din 1998.

Sustine proiectul de Hub al transformării digitale

Heathrow Airport Limited amenda 120.000 lire pentru masuri neconforme privind pastrarea DCP – pierdere stick Read More »

GDPR Social Media – 8 reguli de bun simț pentru a îți proteja datele

Comuniunea cu celălalt

De la începuturile istoriei omul a trait într-o comunitate, fapt care i-a permis o dezvoltare fără egal a nivelului de trai, în mod aparte în ultimii 20 de ani. În acești ultimi ani, un element nou care a apărut în viața fiecăruia dintre noi sunt comunitățile online care oferă posibilitatea oamenilor de a se conecta și a comunica într-un mod foarte eficient. Astfel, pe Facebook, Instagram, Linkedin etc. împărtășim experiențe, gânduri, opinii politice, aspecte din viața noastră de familie sau aspirații de ale noastre.

O oportunitate excelentă

Deși rețelele de socializare reprezintă o modalitate excelentă de a încuraja interacțiunea socială și a aduce oamenii ,,mai aproape” unul de altul, acestea au și o latură mai puțin cunoscută și mai puțin plăcută pentru fiecare dintre noi. Aceste platforme de socializare, fiind deținute de corporații private, în fapt, au preocupări serioase în ceea ce privește viața privată a oamenilor, gusturile, preferințele. Ajungând să colecteze aceste date, le vând mai departe către părți terțe (spre exemplu companii de publicitate) câștigând astfel foarte mulți bani.

Consecințe nedorite

Cum ne afectează acest lucru pe fiecare dintre noi? Ei bine pentru că procesele de prelucrare a datelor și de profilare a noastră au devenit de cele mai multe ori automatizate, navigând pe rețelele de socializare, ne trezim deseori că ajungem pe diverse website-uri de vânzări online de produse sau servicii care ne interesează. Cum? Foarte simplu, pe baza preferințelor și comportamentului nostru ne-a fost făcut un profil în mod automat spre care sunt trimise reclame cu bunuri sau servicii de interes.

Ce vom face mai departe?

Ne dorim așa ceva? Fiecare dintre noi va răspunde în dreptul său. Însă dacă răspunsul este negativ, ce facem pentru a evita tot acest angrenaj și a putea folosi totuși rețele de socializare?

 

Mai jos am pregătit câteva aspecte care îți sunt de folos:

1. Securizează-ți contul

Recomandare: puternică

Deseori se întâmplă ca profilele de pe social media să fie sparte, parolele schimbate și astfel toate informațiile pierdute. Pentru a îți proteja contul folosește o parolă puternică și activează-ți opțiunea de 2FA (autentificare în doi pași). Dacă vrei să cunoști mai multe despre cum să îți securizezi contul, citește următorul articol: https://gdprcomplet.ro/conformitatea-gdpr-parola/

2. Verificați setările de confidențialitate

Recomandare: puternică

Majoritatea rețelelor sociale vă permit să vă gestionați setările de confidențialitate. Asigurați-vă că sunteți confortabil cu datele pe care le expuneți în prezent și cui sunt afișate. Dar nu uitați, setările de confidențialitate sunt menite doar să vă protejeze de ceilalți membri ai rețelei sociale, nu vă protejează pe dumneavoastră sau datele dumneavoastră de proprietarii rețelei.

3. Gândiți-vă la toate interacțiunile pe care le aveți ca fiind publice

Recomandare: puternică

Există numeroase metode de vizualizare a conținutului „privat” al utilizatorilor pe multe rețele sociale, prin diverse inginerii tehnice. Prin urmare, înainte de a încărca, posta sau comenta ceva, gândiți-vă „M-ar deranja dacă acest lucru ar fi total public?”

4. Gândiți-vă la toate interacțiunile pe care le aveți ca fiind permanente

Recomandare: puternică

Aproape toate postările, comentariile, fotografiile etc. sunt susținute în mod continuu de o multitudine de servicii terțe, care arhivează aceste date și le fac indexabile și disponibile public aproape pentru totdeauna . Site-uri precum Ceddit și https://snew.notabug.io/r/all/ , Politwoops , The Way Back Machine permit oricui să caute prin postări șterse, site-uri web și media. Prin urmare, este important să nu dezvăluim în mod neintenționat prea multe informații și să luăm în considerare care ar fi implicațiile dacă ar deveni „viral”.

5. Nu dezvăluiți prea mult

Recomandare: puternică

Informațiile despre profil creează o mină de aur de informații pentru hackeri, genul de date care îi ajută să personalizeze escrocheriile de phishing. Evitați să împărtășiți prea multe detalii ( DoB , orașul natal, școală etc. )

Recomandare: puternică

6. Aveți grijă la ce încărcați

Actualizările de stare, comentariile, înregistrările și mass-media pot dezvălui neintenționat mult mai mult decât v-ați dorit (cum ar fi locația, preferințele, contactele / relațiile etc. ). Acest lucru este relevant mai ales pentru fotografii și videoclipuri, care pot afișa lucruri în fundal (documente, nume / indicatoare de drumuri, carduri de credit, dispozitive electronice).

Recomandare: opțională

7. Nu distribuiți adresa de e-mail sau numărul de telefon

Postarea adresei de e-mail sau a numărului de telefon real, oferă hackerilor, trollilor și spammerilor mai multe muniții pe care să le poată folosi împotriva dumneavoastră și, de asemenea, poate permite conectarea aliasurilor , profilurilor sau punctelor de date separate.

Recomandare: opțională

8. Nu acordați permisiuni inutile

În mod implicit multe dintre populare aplicații de social networking va cere permisiunea de a accesa contactele, jurnalul de apeluri, localizare, mesaje istorie etc .. În cazul în care nu au nevoie de acest acces, nu – l acordă. Pentru utilizatorii de Android, consultați Bouncer – o aplicație care vă oferă posibilitatea de a acorda temporar permisiuni

Recomandare: puternică

(Articol preluat din GDPR Complet)

Sustine proiectul de Hub al transformării digitale

GDPR Social Media – 8 reguli de bun simț pentru a îți proteja datele Read More »

GDPR: Cand e obligatorie efectuarea unei evaluări de impact?

GDPR: Cand e obligatorie efectuarea unei evaluări de impact? Evaluarea de impact privind protecția datelor (DPIA- Data Protection Impact Assessment, sub denumirea care se regasește în Regulament), nu are o definiție anume, dar conținutul acesteia este prevăzut de art. 35(7) din GDPR, în sensul că acesta trebuie să conțină cel puțin:
  • o descriere sistematică a operațiunilor de prelucrare și a scopurilor prelucrării;
  • o evaluare a necesității prelucrarii datelor;
  • o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;
  • măsurile luate pentru a reduce riscul;
  • numărul proiectelor similare care pot fi cuprinse in aceeași evaluare
DPIA este necesară în cazul în care un tip de prelucrare – si in mod special cele în care se utilizează noile tehnologii- poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice (art. 35 (1)). Ca și exemple de prelucrări care pot genera un risc ridicat, putem menționa:
  • Evaluarea sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, (ex: profilarea);
  • Prelucrarea pe scară largă a unor date sensibile;
  • Monitorizarea sistematica pe scară largă a unei zone accesibile publicului;
  • Datele privind persoanele vulnerabile aflate într-o poziție de dezechilibru (ex: copii, anumiți angajați, persoane bolnave psihic, solicitanți de azil sau pacienți vârstnici);
  • Prelucrarea pe scară largă a unor date în legătură cu condamnările sau infracțiunile penale;
  • Utilizarea noilor tehnologii (acces pe bază de amprentă (fingerprint) sau scanare retină, tehnologii smart, etc.);
  • Instrumente de monitorizare a angajaților care sunt folosite in evaluare;
  • Testările psihometrice.
Sustine proiectul de Hub al transformării digitale

GDPR: Cand e obligatorie efectuarea unei evaluări de impact? Read More »

Cum efectuăm evaluarea de impact (DPIA)?

GDPR Practic. Ghid. Cum efectuăm evaluarea de impact (DPIA)?

Ce este evaluarea de impact (DPIA)?

Evaluarea de impact (DPIA) este un obligație nouă impusă operatorilor de date de către GDPR, fiind obligatorie doar în situațiile în care o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele fizice vizate.

Efectuarea unei evaluări de impact are drept scopuri gestionarea și prevenirea riscurilor la adresa persoanei vizate și reprezintă o măsură pentru demonstrarea conformității la GDPR. Cu alte cuvinte, în situație în care este obligatorie efectuarea unei evaluări de impact, operatorul trebuie să demonstreze că a efectuat-o pentru a sta la adăpost de sancțiunile GDPR. Neefectuarea unei evaluări de impact, atunci când aceasta este obligatorie, poate conduce către amenzi de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare. Poți citi aici și alte situații care pot conduce la amenzi GDPR. 

Când este obligatorie efectuarea evaluării de impact?

GDPR impune operatorilor o abordare bazată pe risc. Evaluarea de impact (DPIA) nu este obligatorie în orice situație, ci doar atunci când o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele vizate. („ar putea duce la un risc ridicat petnru drepturile și libertățile persoanelor fizice” (art. 35(1) GDPR)

Următoarea figură arată principiile de bază după care trebuie să ne ghidăm pentru a afla dacă suntem obligați sau nu să realizăm o evaluare de impact.

Cu toate acestea, ANSPDCP a publicat o listă orientativă privind cazurile în care evaluarea de impact este obligatorie prin Decizia nr. 174/2018. A se remarca faptul că lista nu este exhaustivă, ci oferă doar câteva exemple unde efectuarea unei evaluări de impact este obligatorie. Această concluzie rezultă din art. 1 alin. (1) din Decizia nr. 174/2018 : „Evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri”

Totuși, chiar dacă nu ne regăsim în niciuna din situațiile din decizia ANSPDCP, este posibil să avem obligația să realizăm o evaluare de impact deoarece, așa cum am precizat deja, lista de mai sus nu este exhaustivă și pot exista situații care nu se regăsesc mai sus, dar sunt susceptibile să genereze un risc ridicat pentru persoanele fizice.

În continuare, pentru a putea identifica dacă este obligatorie sau nu realizarea unei evaluări de impact, vom analiza ce spune fostul Grup de Lucru Art. 29 (actual Comitet European pentru Protecția Datelor) despre cazurile în care evaluarea de impact (DPIA) este obligatorie.

Pentru a identifica dacă o anumită activitate de prelucrare este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”, trebuie luați în calcul mai mulți factori, dar următoarele întrebări pot fi utile în a afla dacă este necesară sau nu efectuarea unei evaluări de impact:

1.Există activități de evaluare sau scoring, inclusiv profilare sau preconizare care pot avea un impact ridicat asupra drepturilor și libertăților persoanelor vizate?

Exemple: evaluarea performanței la locul de muncă, monitorizarea clienților de către o societate de asigurări pentru a preveni frauda, monitorizarea clienților de către o bancă pentru a preconiza comportamentul viitor etc.

2.Prelucrarea poate conduce la excluderea sau discriminarea persoanelor?

3.Datele sunt sensibile sau sunt de natură foarte personală?

Datele sensibile sunt datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, datele privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate.

Date sensibile sunt și datele copiilor sub 16 ani, dar și datele privitoare la condamnări și infracțiuni.

4. Sunt datele prelucrate pe scară largă?

Pentru a identifica dacă o activitate prelucrare este efectuată pe scară largă, Grupul de Lucru Art. 29 recomandă luarea în calcul a următorilor factori:

  • Numărul persoanelor vizate;
  • Suprafața geografică unde se întinde activitatea de prelucrare;
  • Volumul datelor;
  • Durata activității de prelucrare.

5. Sunt utilizate noi tehnologii în respective activitate de prelucrare?

 Exemple: amprentă digitală, recunoaștere facială, internet of things.

În principiu, pentru orice nouă tehnologie ar trebui efectuată o evaluare de impact pentru a afla impactul potential asupra drepturilor și libertăților persoanei vizate. Fiind o tehnologie nouă, este posibil ca potențialele riscuri asupra drepturilor persoanelor vizate să nu fie cunoscute în prezent.

În principiu, dacă răspunsul este „DA” la mai mult de două întrebări de mai sus, realizarea unei evaluări de impact (DPIA) este obligatorie.

PROCEDURA. CUM REALIZĂM EVALUAREA DE IMPACT (DPIA)

1. Când se realizează evaluarea de impact?

Potrivit GDPR, evaluarea de impact se realizează anterior activității de prelucrare și se actualizează pe măsură ce în procesul de prelucrare intervin noi modificări. Potrivit Grupului de Lucru Art. 29, efectuarea DPIA este un proces continuu, iar nu un exercițiu unic. Evaluarea de impact (DPIA) face parte din documentația GDPR. 

2. Cine este obligat să efectueze evaluarea de impact (DPIA)?

Organizația este obligată să efectueze DPIA și o poate face cu resurse interne (ca de exemplu șabloane) sau poate externaliza acest proces unui avocat. În ambele situații, operatorul este responsabil pentru efectuarea ei.  La efectuarea evaluării de impact și, îndeosebi, pe raportul final, trebuie cerut avizul responsabilului cu protecția datelor (DPO).

Dacă activitatea de prelucrare este realizată de persoana împuternicită, aceasta din urmă este obligată să participe și să sprijine concret operatorul la efectuarea evaluării de impact și să ofere toate informațiile necesare.

Operatorul este obligat să solicite avizul persoanelor vizate sau al reprezentanților acestora la efectuarea evaluării de impact. Acest aviz poate fi obținut, de exemplu, prin sondaje. Dacă nu obține avizul persoanelor vizate, operatorul ar trebui să documenteze în scris motivul pentru care a decis să nu obțină acest aviz.

Cum realizăm evaluarea de impact (DPIA)?

RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și Considerentele 84 și 90):

  • „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării ”;
  • „o evaluare a necesității și proporționalității prelucrării”;
  • „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
  • „măsurile preconizate în vederea abordării riscurilor și demonstrării conformității cu GDPR”

Pentru gestionarea riscurilor se vor utiliza următorii pași:

  • Stabilirea contextului;
  • Evaluarea riscurilor (probabilitatea și gravitatea riscurilor);
  • Tratarea riscurilor (măsuri propuse pentru atenuarea riscurilor).

Structura și forma concretă a unei evaluări de impact este lăsată la libera apreciere a Organizației, cu toate aceastea, ea trebuie să ilustreze o evaluare reală a riscurilor. 

Când trebuie consultată Autoritatea de supraveghere?

Atunci când, din raportul DPIA rezultă că riscurile sunt ridicate și măsurile identificate nu sunt suficiente pentru a atentua riscurile, trebuie consultată Autoritatea de supraveghere. Dacă totuși riscurile sunt ridicate, însă au fost găsite măsuri care atenuează concret aceste riscuri, Autoritatea de supraveghere nu trebuie consultată.

Alte criterii pentru efectuarea corectă a unei DPIA

Metologia descrisă de Grupul de Lucru Art. 29 pentru efectuarea corectă a unei DPIA este următoarea:

  1. Descrierea prelucrării
  2. Evaluarea necesității și proporționalității
  3. Identificarea riscurilor
  4. Gestionarea riscurilor și propunerea măsurilor pentru atenuarea riscurilor
  5. Implicarea părților interesate (avizul DPO, avizul persoanelor vizate).
Sustine proiectul de Hub al transformării digitale

Cum efectuăm evaluarea de impact (DPIA)? Read More »

TAROM, amendata din nou pentru incalcarea GDPR

TAROM, compania aeriana nationala, a fost amendata din nou pentru incalcarea GDPR. Iata ce probleme a constatat ANSPDCP.

Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul SC CNTAR TAROM SA, ca urmare a transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal, constatandu-se incalcarea dispozitiilor art. 32 alin. (4), art. 32 alin. (1) lit. b) si alin. (2) din Regulamentul General privind Protectia Datelor, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 24.182,50 lei, echivalentul a 5.000 EURO.

Incalcarea securitatii datelor a constat in faptul ca operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la pierderea confidentialitatii datelor personale prin accesarea neautorizata a datelor apartinand unui numar de cinci (5) pasageri TAROM, precum si la divulgarea neautorizata a datelor acestora.

Iata ce prevad articolele incalcate:

  • Art. 32 – “Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:”
    • alin. (1), lit. b): “capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;”
    • alin. (2): “La evaluarea nivelului adecvat de securitate, se tine seama in special de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.”
    • alin. (4): “Operatorul si persoana imputernicita de acesta iau masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de operator si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.”

De asemenea, operatorului i s-a aplicat si masura corectiva de revizuire si actualizare a masurilor tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor de lucru referitoare la protectia datelor cu caracter personal, precum si implementarea unor masuri privind instruirea periodica a persoanelor care actioneaza sub autoritatea sa (angajatii).

Sustine proiectul de Hub al transformării digitale

TAROM, amendata din nou pentru incalcarea GDPR Read More »

Pagina de Facebook utilizata in scop de informare cetateni

Intrebare

In situatia in care o institutie publica are pagina de Facebook utilizata in scop de informare cetateni, ce setari ar trebui sa facute astfel incat operatorul (institutia publica) sa nu aduca atingere drepturilor persoanelor vizate, iar prelucrarea de date sa fie conforma cu GDPR?

Raspuns.

1.In vederea respectarii principiului reducerii prelucrarii datelor cu caracter personal si pentru a restrange accesul persoanelor la datele cu caracter personal, recomandam sa fie stabilite exact persoana/persoanele care au acces in platforma Facebook a institutiei. In cadrul procedurilor de lucru scrise privind protectia datelor cu caracter personal, recomandam sa fie incluse sarcinile exacte ale persoanei/persoanelor care au acces in platforma precum si modalitatea de transmitere a acestor catre alte servicii sau departamente din cadrul institutiei.

2. Pentru persoana/persoanele care au acces in platforma Facebook recomandam sa fie incluse informatii cu privire la protectia datelor cu caracter personal in sectiunea Responsabilitati a fisei postului, sau ca o sectiune distincta, Protectia datelor cu caracter personal.

Aceste prevederi au urmatoarele obiective:
1. Facilitarea angajarii raspunderii salariatilor;
2. Constientizarea de catre salariati a importantei protectiei datelor cu caracter personal;
3. Preocuparea institutiei pentru protectia datelor cu caracter personal.

3. In ceea ce priveste pagina de facebook, puteti sa includeti un capitol intitulat Regulile casei (sau alta denumire) in care sa stabiliti un set de principii cu privire la interactiunile celorlalti utilizatori cu pagina de facebook, ca de exemplu:
1. incurajarea dialogului civilizat si constructiv;
2. moderarea continutului nepotrivit;
3. raspunsul la intrebarile adresate utilizatorilor;
4. protectia datelor cu caracter personal: pentru siguranta si protectia datelor cu caracter personal incurajati utilizatorii sa nu posteze date cu caracter personal si sa fie precauti cu informatia privata transmisa pe retelele sociale.

Sustine proiectul de Hub al transformării digitale

Pagina de Facebook utilizata in scop de informare cetateni Read More »