Siguranta datelor clientilor, din perspectiva GDPR
O situatie des intalnita in cazul incalcarii dispozitiilor GDPR se refera la securitatea prelucrarii informatiilor cu caracter personal de catre furnizorii de servicii. Mai exact, este vorba despre acea divulgare neautorizata si accesul neautorizat la datele cu caracter personal ale persoanelor care au apelat la serviciile unei companii.
Dispozitiile art. (5) alin. 1 lit. f) din RGPD se refera la obligatia operatorului de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare ( integritate si confidentialitate ).
Mai mult, potrivit art. 32 din GDPR, Operatorul si persoana imputernicita de acesta trebuie sa implementeze masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator, incluzand printre altele, dupa caz:
a) pseudonimizarea si criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;
d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
Atentie! Cele mai des sesizate nereguli sunt:
Cum sa evitati amenzile GDPR
Recomanda includerea unor clauze specifice privind protectia datelor cu caracter personal la care tertul, care este furnizorul de servicii/aplicatii, ar avea acces ca imputernicit de date, care sa reflecte angajamentele tertilor:
prelucrarea datelor cu caracter personal numai in limitele scopului si scopurilor prelucrarii stabilite de Operator;
asigurarea securitatii procesarii datelor prin implementarea masurilor tehnice si organizatorice;
sa angajeze un subprocesator numai cu acordul scris al Operatorului;
sa asiste Operatorul in asigurarea conformitatii cu GDPR, tinand seama de natura procesarii si a informatiilor disponibile persoanei imputernicite;
la alegerea Operatorului, stergerea sau returnarea tuturor datelor cu caracter personal operatorului la incetarea furnizarii de servicii legate de prelucrare, cu exceptia cazului in care legea cere depozitarea;
sa puna la dispozitia Operatorului toate informatiile necesare pentru a demonstra conformitatea si sa contribuie la audit, la inspectiile efectuate de operator sau de un alt auditor mandatat de catre Operator.
Datele personale, conform reglementarilor GDPR
Va reamintim! Potrivit Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, reprezinta date cu caracter personal prelucrarea de date care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.
Prelucrarea acestor categorii de date este permisa numai in conditiile prevazute la art. 9 alin. (2) din Regulamentul (UE) 2016/679.
Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), prevede la art. 3 alin. (1) ca prelucrarea datelor genetice, biometrice sau a datelor privind sanatatea, in scopul realizarii unui proces decizional automatizat sau pentru crearea de profiluri, este permisa cu consimtamantul explicit al persoanei vizate sau daca prelucrarea este efectuata in temeiul unor dispozitii legale exprese, cu instituirea unor masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate .
Dispozitiile art. (5) alin. 1 lit. f) din RGPD se refera la obligatia operatorului de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare ( integritate si confidentialitate ).
Mai mult, potrivit art. 32 din GDPR, Operatorul si persoana imputernicita de acesta trebuie sa implementeze masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator, incluzand printre altele, dupa caz:
a) pseudonimizarea si criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;
d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
Atentie! Cele mai des sesizate nereguli sunt:
- lipsa implementarii masurilor tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii;
- prelucrarea in mod excesiv a datelor cu caracter personal;
- prelucrarea imaginilor prin intermediul sistemelor de supraveghere video;
- incalcarea drepturilor persoanelor vizate;
- primirea de mesaje comerciale nesolicitate;
- incalcarea masurilor de securitate si confidentialitate.
Cum sa evitati amenzile GDPR
Recomanda includerea unor clauze specifice privind protectia datelor cu caracter personal la care tertul, care este furnizorul de servicii/aplicatii, ar avea acces ca imputernicit de date, care sa reflecte angajamentele tertilor:
prelucrarea datelor cu caracter personal numai in limitele scopului si scopurilor prelucrarii stabilite de Operator;
asigurarea securitatii procesarii datelor prin implementarea masurilor tehnice si organizatorice;
sa angajeze un subprocesator numai cu acordul scris al Operatorului;
sa asiste Operatorul in asigurarea conformitatii cu GDPR, tinand seama de natura procesarii si a informatiilor disponibile persoanei imputernicite;
la alegerea Operatorului, stergerea sau returnarea tuturor datelor cu caracter personal operatorului la incetarea furnizarii de servicii legate de prelucrare, cu exceptia cazului in care legea cere depozitarea;
sa puna la dispozitia Operatorului toate informatiile necesare pentru a demonstra conformitatea si sa contribuie la audit, la inspectiile efectuate de operator sau de un alt auditor mandatat de catre Operator.
Datele personale, conform reglementarilor GDPR
Va reamintim! Potrivit Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, reprezinta date cu caracter personal prelucrarea de date care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.
Prelucrarea acestor categorii de date este permisa numai in conditiile prevazute la art. 9 alin. (2) din Regulamentul (UE) 2016/679.
Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), prevede la art. 3 alin. (1) ca prelucrarea datelor genetice, biometrice sau a datelor privind sanatatea, in scopul realizarii unui proces decizional automatizat sau pentru crearea de profiluri, este permisa cu consimtamantul explicit al persoanei vizate sau daca prelucrarea este efectuata in temeiul unor dispozitii legale exprese, cu instituirea unor masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate .
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!