Battlegroup, autor la Battlegroup

Autor: Battlegroup

Actiuni de control la nivel european pentru desemnarea si rolul Responsabilului Cu Protectia Datelor (DPO)

De curând, a fost lansată de către Autoritatea Europeană pentru Protecția Datelor (European Data Protection Board – EDPB) o acțiune coordonata de control, la nivel european, pentru analiza modului de respectare a prevederilor GDPR cu privire la desemnarea și rolul Responsabililor Cu Protecția Datelor (DPO). Această inițiativă își propune să asigure conformitatea cu prevederile Regulamentului General privind Protecția Datelor (GDPR) și să promoveze practici eficiente de protecție a datelor în Uniunea Europeană (UE). Nerespectarea acestor dispoziții poate duce la consecințe grave pentru operatorii de date personale, inclusiv sancțiuni financiare semnificative și daune aduse reputației și imaginii acestora. 

EDPB, prin anunțul său recent disponibil online la adresa https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en, subliniază importanța respectării obligațiilor legate de desemnarea și rolul DPO. În conformitate cu GDPR, majoritatea organizațiilor trebuie să numească un DPO pentru a-și supraveghea activitățile de protecție a datelor. Aceste organizații includ autorități publice, entități private implicate în prelucrarea pe scară largă a datelor cu caracter personal sau cele care prelucrează date personale sensibile sau date legate de condamnări penale si infracțiuni. DPO acționează ca un consilier cheie în chestiunile legate de protecția datelor și se asigură că organizația își îndeplinește obligațiile conform GDPR.

În plus, ca parte a cadrului coordonat de punere în aplicare anunțat de Autoritatea Europeană pentru Protecția Datelor (EDPB), toate cele 26 de autorități de supraveghere din toate statele membre ale UE vor utiliza diferite metode pentru a verifica respectarea dispozițiilor art. 37-39 GDPR privind desemnarea și rolul DPO. Aceste mecanisme de control pot include, dar nu se limitează la:

– Audituri privind protecția datelor: autoritățile de supraveghere pot efectua audituri cuprinzătoare pentru a evalua conformitatea unei organizații cu obligațiile de protecție a datelor, inclusiv desemnarea și rolul corect al DPO. Aceste audituri pot implica revizuirea documentației, desfășurarea de interviuri și verificarea măsurilor tehnice și organizatorice în vigoare.

– Soluționarea sesizărilor: plângerile formulate de persoane sau organizații cu privire la potențiala nerespectare a dispozițiilor referitoare la DPO vor fi investigate. Aceste plângeri pot declanșa anchete din partea autorităților de supraveghere, care pot solicita informații relevante, pot examina procesele și pot evalua eficacitatea implicării și autorității DPO în cadrul organizației.

– Investigații oficiale: autoritățile de supraveghere pot efectua investigații ale organizațiilor, la fața locului sau online, pentru a evalua conformitatea cu cerințele de protecție a datelor. În timpul acestor inspecții, se va evalua caracterul adecvat al rolului și responsabilităților DPO, asigurându-se că aceștia sunt împuterniciți în mod adecvat și independenți în luarea deciziilor.

– Obligații de raportare: organizațiilor li se poate solicita să furnizeze rapoarte și actualizări regulate autorităților de supraveghere cu privire la desemnarea unui DPO, la rolul și acțiunile întreprinse pentru asigurarea conformității. Aceste rapoarte pot include detalii despre activitățile DPO, resursele alocate acestora de către operatori și orice provocări cu care se confruntă în îndeplinirea eficientă a rolului lor.

– Cooperarea între autoritățile de supraveghere: cadrul coordonat de aplicare promovează colaborarea și schimbul de informații între autoritățile de supraveghere din UE. Acest lucru facilitează schimbul de bune practici, permite evaluări transfrontaliere ale conformității și consolidează efortul colectiv de aplicare.

 

 

Nerespectarea dispozitiilor legale referitoare la DPO poate avea urmatoarele consecinte:

Consecințe juridice:

– Amenzi și sancțiuni: Nerespectarea poate duce la amenzi administrative substanțiale, care se pot ridica la un procent din cifra de afaceri globală anuală sau o sumă fixă, în funcție de gravitatea încălcării.

– Proceduri legale: organizația poate face obiectul unor acțiuni legale, investigații și reclamații din partea persoanelor ale căror drepturi au fost încălcate din cauza măsurilor inadecvate de protecție a datelor.

Daune reputaționale:

– Pierderea încrederii: Nerespectarea poate eroda încrederea clienților, colaboratorilor și partenerilor, ceea ce duce la un impact negativ asupra reputației organizației și la pierderea potențială a oportunităților de afaceri.

– Expunere in mass-media: expunerea publică a neconformității poate atrage o atenție semnificativă a mass-media, rezultând o publicitate negativă care poate fi dificil de contracarat.

Perturbare operațională:

– Controlul autorităților: Nerespectarea poate declanșa investigații și audituri de către autoritățile de protecție a datelor, provocând posibil întreruperi în operațiunile obișnuite de afaceri.

– Acțiuni de remediere: organizației i se poate cere să implementeze măsuri suplimentare sau să investească resurse materiale si umane pentru a remedia neconformitatea, alocând timp și efort prețios de la activitățile de bază ale afacerii.

Pentru a evita aceste rezultate negative, încurajăm cu tărie să evaluați obligațiile organizației în temeiul GDPR și să realizați următoarele acțiuni:

– Desemnarea unui DPO: dacă organizația dvs. se încadrează în criteriile subliniate de GDPR, asigurați-vă că ați desemnat un responsabil cu protecția datelor calificat și independent. DPO ar trebui să aibă experiență în legislația și practicile privind protecția datelor și să își poată îndeplini sarcinile fără existența unui conflicte de interese.

– Rolul DPO: Oferiți DPO resursele, autoritatea și independența necesare pentru a-și îndeplini responsabilitățile în mod eficient. Asigurați-vă că are acces direct la conducerea superioară a organizației și este implicat în toate problemele legate de prelucrarea datelor cu caracter personal.

– Cadrul de conformitate: Dezvoltați și implementați politici, proceduri și controale solide de protecție a datelor care se aliniază cu cerințele GDPR. Examinați și actualizați în mod regulat aceste măsuri pentru a aborda riscurile emergente și schimbările în activitățile de prelucrare a datelor.

– Instruire și conștientizare: Concepeți programe de formare cuprinzătoare pentru angajați, subliniind importanța protecției datelor și rolul acestora în protejarea datelor cu caracter personal. Promovați o cultură a confidențialității și a conștientizării protecției datelor în întreaga organizație.

– Documentare și înregistrări: mențineți înregistrări detaliate ale activităților de prelucrare a datelor ale organizației dvs., inclusiv evaluările impactului privind protecția datelor și orice decizii relevante luate. Aceste înregistrări ar trebui să demonstreze eforturile de conformare și să fie ușor disponibile in cazul unui control al autorității de supraveghere.

– Monitorizați și revizuiți: evaluați în mod continuu practicile de protecție a datelor ale organizației dvs. pentru a identifica și a remedia cu promptitudine orice lacune de conformitate. Examinați-vă în mod regulat politicile, procedurile și măsurile tehnice pentru a vă asigura că rămân actualizate și eficiente.

Dacă aveți nevoie de mai multe informații sau îndrumări, vă rugăm să nu ezitați să contactați echipa noastră de protecție a datelor prin e-mail sau telefon folosind datele din pagina Contact.

Adaptarea activitatii Battlegroup in contextul pandemiei de COVID-19

In ultimele saptamâni, am urmarit cu atentie evolutia situatiei globale in ceea ce priveste r?spândirea, transmiterea si, cel mai important, efectele produse de noul coronavirus, COVID-19, asupra noastr? si a celor din jurul nostru.

Battlegroup are in permanen?? misiunea de a livra clien?ilor serviciile premium pe care le merit?, la cele mai inalte standarde de calitate si de promptitudine. Cu toate acestea, in acelasi timp avem si datoria de a asigura si cele mai inalte standarde de securitate atât pentru noi, cât si pentru cei cu care interac?ion?m zi de zi. Prin urmare, am fost nevoi?i s? ne adapt?m modul de lucru, cel pu?in pentru cele 30 de zile in care ne vom afla sub imperiul st?rii de urgen?? decretate ast?zi.

Ce m?suri am luat?

  • vineri, 13 martie 2020, a fost ultima zi in care ne-am desf?surat activitatea f?r? restric?ii; incepând de astazi, 16 martie, toat? activitatea noastr? se desf?soar? exclusiv remote (la distan??);
  • toate c?l?toriile noastre in scop de afaceri sunt fie amânate, fie deja reprogramate pentru lunile de var?;
  • toate cursurile si evenimentele cu prezen?? fizic?, organizate de noi si partenerii nostri, programate a se desf?sura in lunile martie si aprilie, sunt anulate;
  • intâlnirile cu clientii si partenerii nostri sunt limitate doar la situa?iile de extrem? urgen?? (de exemplu, incidente de securitate sau alte asemenea evenimente de maxim? importan?? ce nu pot fi gestionate de la distan??).

Ce vom face in continuare?

In mod evident, nu vom l?sa nimic s? afecteze activitatea noastr?. Intrucât Battlegroup este o companie ce functioneaz? integral informatizat, vom continua s? oferim aceleasi servicii si in aceleasi conditii ca si pân? acum, concentrându-ne in schimb mai mult asupra gestion?rii rela?iilor contractuale f?r? a fi necesar? prezen?a fizic?. La acest moment, estim?m c? acest scenariu va fi aplicabil cel pu?in pân? la sfârsitul lunii aprilie 2020.

To?i clien?ii nostri beneficiaz? de suport suplimentar in aceast? perioad?, in special cei care sunt nevoi?i s? implementeze, la rândul lor, lucrul la distant?.

Suntem al?turi de to?i clien?ii, partenerii si prietenii nostri in efortul comun de a dep?si cât mai repede aceast? perioad? grea.

Dac? mai era nevoie, v? reamintim c? ne face pl?cere s? v? fim de ajutor, pentru orice situatie.

 

Implica?iile Brexit asupra GDPR

De?i incertitudinea este cuvântul de ordine în ceea ce prive?te ie?irea Marii Britanii din Uniunea Europeana la 31 octombrie 2019, autoritatea de supraveghere a datelor personale din Regatul Unit, Information Commissioner’s Office, desf??oar? campanii de informare a operatorilor de date britanici pentru clarificarea modului în care Brexit-ul va afecta prelucr?rile de date personale ale cet??eniilor UE efectuate de ace?tia, în special în care ie?irea din Uniune nu se va face prin intermediul unui acord UE – UK.

In eventualitatea unui Brexit f?r? acord, cele mai mari provoc?ri le vor avea de înfruntat operatorii de date din Marea Britanie, urmând ca ace?tia sa fie considera?i dup? 31 octombrie operatori de date non-UE.

Care va fi legisla?ia aplicabil? dup? Brexit?

GDPR este un regulament al Uniunii Europene. Aceasta înseamn? c? a devenit un act normativ aplicabil în toate statele membre ale UE (inclusiv în Marea Britanie), inclusiv în statele Spa?iului Economic European – SEE.

Când Marea Britanie va ie?i din UE, GDPR UE nu va mai fi aplicabil în mod direct în Marea Britanie. Cu toate acestea, guvernul britanic va men?ine GDPR în legisla?ia Regatului Unit, cu modific?rile necesare pentru a-?i adapta dispozi?iile pentru Marea Britanie („GDPR UK”).

Principiile, drepturile ?i obliga?iile cheie vor r?mâne acelea?i. Cu toate acestea, exist? implica?ii pentru regulile privind transferurile de date cu caracter personal între Marea Britanie ?i SEE.

Guvernul britanic inten?ioneaz? ca GDPR-ul Regatului Unit s? se aplice ?i operatorilor de date personale ?i împuternici?ilor acestora cu sediul în afara Regatului Unit, dac? activit??ile lor de procesare se refer? fie la oferirea de bunuri sau servicii persoanelor fizice din Marea Britanie, fie la monitorizarea comportamentului persoanelor fizice din Marea Britanie.

Exist?, de asemenea, implica?ii pentru operatorii de date personale din Marea Britanie care au un sediu si în SEE, sau au clien?i în SEE sau monitorizeaz? persoanele din SEE. GDPR UE se va aplica în continuare pentru aceste prelucr?ri de date personale, dar modul în care operatorii britanici interac?ioneaz? cu autorit??ile europene pentru protec?ia datelor se va schimba.

Transferurile de date intre Marea Britanie si SEE dup? Brexit

Autoritatea Europeana de Protec?ie a Datelor (EDPB) a emis înc? din 12 februarie 2019 o informare cu privire la modul în care se vor putea efectua transferuri de date din SEE în Marea Britanie, dup? ie?irea din UE f?r? acord.

In lipsa unui acord pentru Brexit, Regatul Unit va deveni o ?ar? ter?? începând cu 31 octombrie 2019. Acest lucru înseamn? c? transferurile de date personale în Marea Britanie trebuie s? se bazeze pe unul dintre urm?toarele instrumente:

  • Clauze contractuale standard sau ad-hoc de protec?ie a datelor
  • Reguli corporatiste obligatorii
  • Coduri de conduit? ?i mecanisme de certificare
  • Derog?ri ce pot fi utilizate numai în absen?a clauzelor standard de protec?ie a datelor sau a unei alte garan?ii alternative adecvate.

Efectele Brexit-ului asupra cerin?elor de conformitate cu GDPR

In situa?ia unui operator de date personale cu sediul în Marea Britanie care nu are o sucursal?, birou sau alt? unitate într-un stat al UE sau SEE, dar care ofera bunuri sau servicii persoanelor fizice din SEE sau monitorizeaz? comportamentul indivizilor afla?i în SEE, atunci acest operator britanic va trebui totu?i s? respecte GDPR cu privire la aceast? prelucrare chiar ?i dup? ce Marea Britanie va p?r?si UE.

Întrucât operatorii de date britanici vor fi considera?i non-SEE dup? Brexit, GDPR prevede obliga?ia de desemnare a unui reprezentant în SEE. Acest reprezentant va trebui s? fie înfiin?at într-un stat UE sau SEE în care sunt localizate unele dintre persoanele ale c?ror date personale pe care le prelucra?i în acest mod. Operatorii britanici vor trebui s? autorizeze, în scris, reprezentantul, s? ac?ioneze în numele lor cu privire la respectarea cerin?elor GDPR ?i s? gestioneze rela?iile cu autorit??ile de supraveghere sau persoanele vizate în acest sens. Reprezentantul poate fi o persoan? fizic? sau o companie sau organiza?ie înfiin?at? în SEE ?i trebuie s? poat? reprezenta operatorul britanic cu privire la toate obliga?iile pe care le are în baza GDPR (de exemplu, o societate de consultan??).

Operatorii britanici vor fi obliga?i s? furnizeze persoanelor cu domiciliul în SEE ale c?ror date personale le prelucreaz?, datele de contact ale reprezentantului desemnat. Acest lucru se poate face prin includerea lor în politica de confiden?ialitate sau în notele de informare furnizate persoanelor fizice atunci când sunt colectate datele lor. De asemenea, datele reprezentantului trebuiesc f?cute u?or accesibil autorit??ilor de supraveghere – de exemplu, publicându-l pe site-ul web. Numirea reprezentantului trebuie s? fie f?cut? obligatoriu în scris ?i ar trebui s? stabileasc? termenii rela?iei operatorului cu acesta. Desemnarea unui reprezentant nu afecteaz? propria responsabilitate sau r?spundere a operatorului în ceea ce prive?te respectarea cerin?elor GDPR.

Amend? GDPR de 400 000 EUR: înc?lcarea securit??ii datelor ?i nerespectarea duratei de p?strare

Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protec?ia insuficient? a datelor personale ale utilizatorilor site-ului s?u web ?i pentru modul necorespunz?tor de stocare a acestor date.

Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a re?inut faptul ca societatea SERGIC este specializat? în dezvoltarea imobiliar?, cump?rarea, vânzarea, închirierea ?i administrarea propriet??ilor. În scopul desf??ur?rii activit??ii sale, a creat ?i gestionat site-ul www.sergic.com. Prin intermediul acestui site, compania permite clien?ilor înc?rcarea ?i desc?rcarea de documente justificative necesare pentru constituirea dosarului lor.

Sursa amenzii: plângerea unui utilizator

În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat c? poate accesa, din spa?iul sau personal de pe site, documentele salvate de al?i utilizatori prin modificarea u?oar? a adresei URL afi?ate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat c? documentele transmise de c?tre solicitan?i pentru închiriere au fost accesibile în mod liber, f?r? autentificare prealabil?. Aceste documente includeau copii ale c?r?ilor de identitate, declara?iilor fiscale, certificatelor eliberate de fondul de aloca?ii familiale, hot?râri de divor?, extrase de cont sau alte documente bancare.

Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate ?i a înc?lc?rii în consecin?? a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu aceast? ocazie, a devenit evident c? societatea era con?tient? de vulnerabilitate înc? din martie 2018 ?i c?, dac? ar fi ini?iat dezvolt?ri informatice pentru a o corecta, deficienta putea fi înl?turat? complet pana la data controlului.

Doua înc?lc?ri ale GDPR

In primul rând, CNIL a constatat c? societatea SERGIC nu ?i-a îndeplinit obliga?ia de a asigura securitatea datelor personale ale utilizatorilor site-ului s?u, prev?zut? la articolul 32 din GDPR.
Compania nu a avut o procedur? de autentificare a utilizatorului pentru site, pentru a se asigura c? persoanele care acceseaz? documentele au avut acest drept, chiar dac? era de a?teptat o astfel de m?sur? elementar?. Acest e?ec a fost agravat, pe de o parte, de natura datelor puse la dispozi?ie ?i, pe de alt? parte, de lipsa de diligen?? a societ??ii în corectarea acesteia: vulnerabilitatea nu a fost corectat? definitiv decât dup? 6 luni ?i nu au fost luate m?suri de urgen?? pentru a limita impactul vulnerabilit??ii.

In al doilea rând, autoritatea a constatat faptul c? societatea a p?strat în baza sa activ? de date toate documentele transmise de c?tre candida?i, f?r? o limitare a duratei de p?strare.

Concluzii

In motivarea sanc?iunii, CNIL a reamintit c?, în principiu, perioada de p?strare a datelor cu caracter personal trebuie s? fie stabilit? în func?ie de scopul prelucr?rii.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins ?i c? nici un alt scop nu justific? p?strarea datelor în baza activ?, datele trebuie fie ?terse, fie arhivate, dac? reten?ia este necesar? pentru respectarea cerin?elor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediar?, de exemplu într-o baz? de date separat?. Din nou, durata acestei arhiv?ri trebuie s? fie limitat? la ceea ce este strict necesar.

Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea înc?lc?rilor, lipsa de diligen?? a societ??ii în abordarea vulnerabilit??ii ?i faptul c? documentele astfel accesibile au relevat aspecte foarte intime ale vie?ii oamenilor. De asemenea, a ?inut cont ?i de m?rimea companiei ?i de situa?ia sa financiar?.

Textul complet al deciziei, in limba franceza, poate fi consultat AICI

Sursa informa?iilor: https://www.cnil.fr

De ce trebuie ?terse datele personale

Autoritatea danez? pentru protec?ia datelor Datatilsynet a aplicat recent prima sa amend? pentru înc?lcarea GDPR de c?tre compania de taxi Taxa 4 × 35 (Taxa), pentru p?strarea anumitor date ale clien?ilor pentru mai mult timp decât era necesar.

Înc?lcarea principiului minimiz?rii datelor personale

Autoritatea daneza a constatat c? societatea Taxa nu a respectat principiul minimiz?rii datelor GDPR prin re?inerea datelor cu caracter personal mult timp dup? limita de re?inere preconizat? pentru astfel de categorii de date. Taxa a eliminat numele ?i adresele clien?ilor dup? doi ani de re?inere, dar au p?strat numerele de telefon ale clien?ilor pentru înc? trei ani. Taxa a sus?inut c? numerele de telefon au reprezentat o parte esen?ial? a bazei sale de date IT ?i, prin urmare, nu au putut fi ?terse în acela?i timp.

Autoritatea de protec?ie a datelor nu a fost de acord cu justificarea c? o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de înc?lcare grav? a confiden?ialit??ii datelor. În plus, încerc?rile de anonimizare ale datelor de?inute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societ??ile s? fac? imposibil? conectarea anumitor informa?ii astfel încât sa nu poat? fi identificata o persoan? fizica. În ciuda ?tergerii numelor clien?ilor de la Taxa, informa?iile ce au r?mas în sistemul s?u informatic pot totu?i sa identifice persoanele vizate prin numerele de telefon.

Care este relevan?a sanc?iunii?

Autoritatea din Danemarca a aplicat o amend? de 1,2 milioane de coroane, adic? aproximativ 160,754 EUR. Aceasta reprezint? aproximativ 2,8% din cifra de afaceri anual? a companiei, ceea ce demonstreaz?, în esen??, disponibilitatea autorit??ilor de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amend? în Danemarca nu ar fi dep??it 25.000 de coroane (aproximativ 3.350 de euro). Aceast? amenda consistenta este legata de cantitatea mare de date despre clien?i de care compania nu a mai avut nevoie, ci a p?strat-o prea mult timp – ?i anume numere de telefon personale conectate la nou? milioane de c?l?torii de taxi. Decizia autorit??ii stabile?te, de asemenea, ?i un precedent, in sensul c? limit?rile organiza?ionale ale procedurilor ?i aplica?iilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-p?stra datele cu caracter personal. Companiile care se confrunt? cu astfel de limit?ri sunt nevoite s? exploreze alte solu?ii pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon ?i a informa?iilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sanc?iunea autorit??ii daneze este prima impus? în aceasta ?ar? pentru nerespectarea cerin?elor GDPR, dup? cum tot prima a fost ?i amenda din Polonia pentru înc?lcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de c?tre o companie a inform?rii persoanelor vizate cu privire la modul în care prelucreaz? datele lor personale, sau amenda-record aplicata în Fran?a gigantului Google, despre care am scris pe larg anterior.

Este evident c? aceast? list? de „prime sanc?iuni” este într-o continua cre?tere, în condi?iile în care autorit??ile de reglementare din UE vor folosi, f?r? îndoial?, practica recent? ca element definitoriu pentru viitoarele controale ?i sanc?iuni. Operatorii de date personale sunt nevoi?i astfel s? ?in? seama de sanc?iunile aplicate în întreaga UE pentru a aprecia consecin?ele înc?lc?rii GDPR ?i a începe s? adopte m?suri tehnice ?i organizatorice de protec?ie a datelor personale.