JULY SOFT .NET BLOG

About GEYSIR ENTERPRISE SEARCH, .NET, TECHNOLOGY and MORE

Regulamentul general privind protectia datelor (DGPR) - Ce trebuie sa stiti


 

 

 

 

 

 

 

 

 

Regulamentul general privind protectia datelor (GDPR)

- Ce trebuie sa stiti - Oportunitati si riscuri pentru compania dvs.

 

Cui se adreseaza?

Daca detineti sau lucrati pentru(departament IT/Juridic) o intreprindere mica sau pentru o multinationala(grup de companii) care proceseaza sau stocheaza datele personale ale cetatenilor din UE, indiferent daca compania dvs. sau procesarea datelor personale are sau nu loc in UE, sau daca pur si simplu va intereseaza sa cunoasteti, ca persoana, drepturile dvs. de confidentialitate a datelor dvs. personale – va invitam sa cititi mai departe!

 

Problema

Protectia datelor personale este un nou regulament legal pe care compania dvs. trebuie sa-l respect. In caz contrar, exista riscuri de amenzi de pana la 20 milioane EUR.

 

Solutia

Sa cunoasteti obligatiile dvs. GDPR si sa investiti in instrumente de securitate, administrare si gestionarea datelor care va ajuta sa domonstrati ca sunteti conform cu respectarea normelor GDPR. July Soft ofera astfel de instrumente precum: Geysir Enterprise Search, Hekla DMS and/or Laki Extranet.

 

 

Context

Sa aveti in vedere ca ca sunt o persoana tehnica IT cu o vasta experienta in domeniul “big-data”, in procesarea automata a datelor, guvernanta si gestiunea datelor, fara a avea o formare juridica. Aceasta lucrare este “asa cum este” (fara garantii sau garantii exprese sau implicite si nu ne asumam nici o raspundere pentru nici o pierdere sau dauna directa sau indirecta pentru tine/afacerea ta care implica prezentul document).

Acest document este un ghid general – un sumar – al GDPR, care va poate ajuta, si va incurajam sa indepliniti aceste noi cerinte prin obtinerea de asistenta juridica profesionala.

 

Definitii

PD - Date Personale – orice informatie referitoare la o persoana (indentificata sau indentificabila)

REG - Regulamentul 2016/679 privind Protectia Datelor Personale

Operator - persoana fizica sau juridica care decide scopurile si mijloacele de procesare PD

Persoana Imputernicita de Operator - procesatorul PD in numele Operator-ului (Ex: Cloud Provider)

 

In timp ce Protectia Datelor cu Caracter Personal de catre autoritati este reglementata de Directiva 2016/680, Protectia Datelor cu Caracter Personal in general si libera circulatie a datelor cu caracter personal in UE este reglementata de Regulamentul 2016/679.

 

Diferenta intre directiva si regulament, este urmatoarea: in timp ce directiva va fi “clonata” de catre fiecare stat membru EU cu mai multa sau mai putina acuratete, regulamentul se aplica in mod exact si automat asa cum este pentru toate statele membre EU.

 

Scopul regulamentului 2016/679

  1. Scopul materialului: “Prezentul regulament se aplica prelucrarii datelor cu caracter personal, efectuata total sau partial prin mijloace automatizate, precum si prelucrarii prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenta a datelor.” - Art. 2, p. 1

  2. Scopul teritorial: ”Prezentul regulament se aplica prelucrarii datelor cu caracter personal in cadrul activitatilor unui sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, indiferent daca prelucrarea are loc sau nu pe teritoriul Uniunii.” - Art. 3, p. 1

Ca regula generala, REG include in scopul sau orice procesare PD ale cetatenilor UE indiferent de locul de procesare sau de locul Operator-ului/Persoanei Imputernicite de Operator pe teritoriul UE.

Oportunitati de business

  1. Libera circulatie a datelor cu caracter personal in interiorul Uniunii nu poate fi restrictionată sau interzisa din motive legate de protectia persoanelor fizice în ceea ce priveste prelucrarea datelor cu caracter personal.” -Capitolul 1, Art. 1, p. 3 REG

Astfel, grupul dvs. de companii poate incepand cu 25 Mai 2018, cand REG se va aplica, sa mute fara restrictii PD intre entitatile sale din UE – avand in vedere ca va respecta toate cerintele REG.

  1. Mai simplu, costuri mai mici si mai convenabile – Evident, si inainte de REG, daca compania dvs./grupul opera in 5 state membre, atunci trebuia sa angajeze 5 firme de avocatura pentru a se asigura ca respecta toate reglementarile nationale specifice; acum, o data cu REG se va respecta o singura lege.

  2. Multi ar putea vedea acest nou regulament ca pe o cheltuiala, dar de fapt, este o noua oportunitate. Respectand REG inseamna ca veti investi in instrumente de securitate, de guvernanta si audit al datelor, deoarece dupa cum veti vedea, daca nu faceti asta va plasati compania intr-un zona de risc si de nerespectare a regulilor REG si acest lucru va poate aduce amenzi de pana la 20 milioane de EUR sau de pana la 4% din cifra de afaceri anuala globala!

Drepturile pe care Operatorul trebuie sa le asigure persoanei vizate:

- “Informare si acces la datele personale”: Cand cere persoana vizata, in maxim 1 luna, operatorul trebuie sa trimita acesteia, in mod gratuit, in format scris/electronic toate PD ale acesteia pe care le detine, alaturi de celelalte date precum: date de contact ale Ofiterului de Protectie a Datelor(angajat sau contractor al Operatorului pentru REG – care exista in anumite conditii -, scopul procesarii, lista tertelor parti carora li s-a transmis PD si de ce, etc.. Nerespectarea acestor solicitari poate permite persoanei vizate sa completeze o plangere la UE Protectia Datelor Personale si, de asemenea, poate solicita despagubiri materiale in termenii REG. (Art. 12, Art. 13).

-”Dreptul de a fi uitat” - “Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fără intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate ...” - Art. 17, p.1

-”Dreptul la restrictionarea prelucrarii” - Persoana vizata poate cere Operatorului sa nu-i mai proceseze PD - Art. 18

-”Obligatia de notificare privind rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii” - Art. 19 – Operatorul trebuie sa notifice persoana vizata dupa orice stergere/actualizare a PD realizata sub termenii REG - Art. 16, 17, 18

-”Dreptul la transferabilitatea datelor” - “Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc si pe care le-a furnizat operatorului intr-un format structurat, utilizati in mod curent si care poate fi citit automat si are dreptul de a transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal ...” - Art. 20, p.1

Obligatii generale ale Operatorului si ale Persoanei Imputernicita de Operator

Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul pune în aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi în măsură sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar.” - Art. 24, p.1

Declaratia generala de mai sus implica faptul ca Operatorul trebuie sa asigure securitatea si protectia PD, si anume sa previna disponibilitatea acesteia unui numar nelimitat de persoane – PD trebuie pastratat din punct de vedere tehnic in mod privat. De asemeni, orice Operator care colecteaza PD trebuie sa aiba un motiv rezonabil sa proceseze PD, motiv pe care il poate justifica si orice procesare realizata de catre Operator/Persoanei Imputernicita de Operator trebuie sa fie trasabila.

Alte obligatii sunt:

- Notificarea unei incalcari a datelor cu caracter personal catre autoritatea de supraveghere – Art. 33

- Communication of a personal data breach to the data subject – Art. 34

- Comunicarea unei incalcari a datelor cu caracter personal catre persoana vizata – Art 35, Art. 36

- Ofiter de Protectie a Datelor – Art. 37, Art. 38, Art. 39

- Codurile de conduita – Art. 40, Art. 41, Art. 42

Referinte: http://ec.europa.eu/justice/data-protection/

http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN

Stelian de la www.JulySoft.Net – Bucuresti, 27 Noiembrie 2017

Add comment

Loading