Blog - Battlegroup

Blog

Brexit : GDPR se va aplica in Marea Britanie pâna la 1 iulie 2021

Începând de la 1 ianuarie 2021, Regatul Unit a părăsit definitiv Uniunea Europeana, prin finalizarea perioadei de tranzitie post-Brexit. Separarea Marii Britanii de blocul comunitar aduce numeroase schimbari si din prisma legislatiei din domeniul protectiei datelor personale.

Prin încheierea acordului comercial si de cooperare din 24 decembrie 2020 între Regatul Unit si Uniunea Europeana, a fost reglementata situatia fluxurilor de date catre Regatul Unit, care a devenit, prin urmare, o tara terta fata de Spatiul Economic European. Acest acord prevede, printre altele, ca Regatul Unit va continua sa aplice Regulamentul european privind protectia datelor (GDPR) pentru o perioada suplimentara de maxim 6 luni (deci cel mult pâna la 1 iulie 2021). În consecinta, în aceasta perioada, orice comunicare de date cu caracter personal din UE/SEE catre Regatul Unit poate avea loc în conformitate cu aceleasi reguli valabile pâna la 31 decembrie 2020 si nu va fi considerata un transfer de date catre o tara terta.

Suplimentar, Comisia Europeana si guvernul Regatului Unit s-au angajat, din nou în temeiul acordului comercial, sa încerce adoptarea de decizii de adecvare reciproce, care sa permita continuarea fluxurilor de date fără întrerupere, chiar si dupa perioada de tranzitie mentionata mai sus. În caz contrar, se vor aplica toate prevederile capitolului V din GDPR, care presupun existenta unor garantii adecvate de securitate (clauze contractuale standard, reguli corporative obligatorii, acorduri administrative, certificari, coduri de conduita) pentru a transfera date din UE si/sau din SEE catre o tara terta inadecvata sau permite unele exceptii în absenta garantiilor adecvate (consimtamântul explicit al persoanei vizate, interesul public al unui stat membru al SEE etc.).

În ceea ce priveste orice litigii sau reclamatii transfrontaliere în domeniul protectiei datelor cu operatorii de date sau procesatori stabiliti în Regatul Unit, de la 1 ianuarie 2021, Regatul Unit nu va mai aplica mecanismul „ghiseu unic” (one stop shop) care guverneaza aceste dispute între tarile SEE. În esenta, persoanele fizice sau juridice din Regatul Unit nu vor mai putea beneficia de posibilitatea de a avea de-a face cu o singura autoritate „principala” (adica, autoritatea competenta pentru sediul principal sau unic din SEE) pentru diferitele obligatii prevazute de Regulamentul european.

Cel mai important, de la 1 ianuarie 2021, operatorii si procesatorii cu sediul în Regatul Unit care fac obiectul aplicarii GDPR în conformitate cu articolul 3 alineatul (2) trebuie sa desemneze un „reprezentant” în UE în conformitate cu prevederile articolului 27 din GDPR. Acest reprezentant poate fi contactat de catre autoritatiile de supraveghere si de catre persoanele vizate pentru orice probleme legate de activitatile de prelucrare a datelor; de asemenea, reprezentantul va avea si rolul de a asigura respectarea GDPR de catre operatorul de date personale din Marea Britanie.

Registrul de evidenta a rezervarilor clientilor pentru terase – o noua provocare GDPR

Mult-asteptata redeschidere a teraselor, afectate de pandemia generat? de virus SARS-CoV 2, a fost reglementat? de Ordinul comun al Ministerului Sănătății, Ministerului Economiei si al ANSVSA nr. 966/1.809/105/2020, publicat în Monitorul Oficial al României nr. 461 din 30.05.2020.

Informațiile pe care le vom prezenta în cele ce urmeaz? sunt deopotriv? utile atât de?in?torilor de restaurante si cafenele cu terase, cât si clien?ilor acestora. Principala problem? generat? de acest Ordin este obligativitatea p?str?rii de c?tre operatorii economici a unui registru de eviden?? a rezerv?rilor clien?ilor, fapt ce d? nastere unui nou set de obliga?ii ce intr? sub inciden?a Regulamentului UE 679/2016 (GDPR).

Ce spune legea

Potrivit art. 4 alin. 1 litera l) din Normele privind stabilirea m?surilor specifice de prevenire a r?spândirii virusului SARS-CoV-2 pentru activit??ile de preparare, servire si consum al produselor alimentare, b?uturilor alcoolice si nealcoolice în spa?iile special amenajate din exteriorul cl?dirilor unit??ilor de alimenta?ie public? aprobate prin Ordinul mai sus men?ionat, operatorii economici din sectorul alimenta?iei publice trebuie s? se îngrijeasc? de existen?a unui registru de eviden?? a rezerv?rilor clien?ilor, astfel încât, în cazul apari?iei unui caz de îmboln?vire cu virusul SARS-CoV-2 în rândul clien?ilor unit??ii de alimenta?ie, s? existe date concrete pe baza c?rora s? poat? fi efectuat? ancheta epidemiologic?.

Se prelucreaza date cu caracter personal?

Da. Aceast? activitate de ?inere a eviden?ei rezerv?rilor clien?ilor, împreun? cu datele acestora de contact, reprezint? o prelucrare a datelor în sensul art. 4 punctul 2 GDPR care for?eaz? operatorii economici s? îsi îndeplineasc? toate obliga?iile prev?zute de GDPR. Pe scurt, aceste obliga?ii vizeaz? urm?toarele:

  • îndeplinirea obliga?iei de informare a persoanelor vizate conform art. 13 sau, dup? caz, al art. 14 GDPR;
  • elaborarea documenta?iei de conformitate cu GDPR (proceduri interne, politici de prelucrare a datelor, acorduri de prelucrare a datelor, etc);
  • în cazurile prev?zute de art. 37 GDPR si de art. 4 din Legea 190/2018, desemnarea unui Responsabil cu Protec?ia Datelor (DPO) si notificarea desemn?rii lui c?tre ANSPDCP;
  • implementarea tuturor m?surilor necesare pentru garantarea securit??ii datelor personale prelucrate.

Ce date personale vom prelucra?

Ordinul nu prevede indica?ii concrete în privin?a categoriilor de date personale ce se vor colecta, însa instituie obliga?ia operatorilor economici de a solicita si ob?ine date concrete în baza c?rora sa fie efectuat? o eventual? anchet? epidemiologic?.

Ce înseamn? acest lucru? Operatorii economici sunt cei care vor trebui sa aplice principiul minimiz?rii datelor personale prev?zut de art. 5 alin. 1 litera c) GDPR si, ca urmare, s? solicite doar acele date strict necesare pentru a putea fi contactat ulterior clientul. Adic? numai numele, prenumele si num?rul de telefon sunt relevante în circumstan?a în care Direc?ia de S?n?tate Public? va fi nevoit? sa contacteze persoana în cauz?.

Sunt numeroase discu?ii pro si contra asupra solicit?rii, de exemplu, a unei adrese de email în locul num?rului de telefon, îns?, în situa?ia unei posibile contamin?ri cu coronavirus, viteza de reac?ie a autorit??ilor este esen?ial?, la fel cum este esen?ial? si utilizarea celui mai rapid mijloc de comunicare.

Riscurile pentru registrul de eviden?? a rezerv?rilor clien?ilor

Principalul risc, apar?inând atât operatorului economic, cât ?i clientului, îl reprezint? obliga?ia ambilor de a se asigura c? datele personale prelucrate în scopul p?str?rii registrului de eviden?? sunt corecte ?i actuale – principiul exactit??ii prelucr?rii datelor consacrat de art. 5 alin. 1 litera d) GDPR. Înseamn? c? operatorii economici sunt datori s? se asigure ca ob?in date reale de la clien?i, precum ?i c? ace?tia din urm? furnizeaz?, sub sanc?iunea aplicabil? falsului în declara?ii, datele lor personale corecte ?i complete.

O a doua provocare o reprezint? securitatea datelor personale con?inute de aceste registre de evident? a clien?ilor. Aceasta obliga?ie apar?ine exclusiv operatorilor economici, ace?tia fiind responsabili de a nu permite niciunei persoane neautorizate s? aib? acces la aceste date, precum ?i de a folosi datele ob?inute numai în scopul prev?zut în Ordinul 966. Operatorii economici sunt cei care aleg modalitatea concret? de tinere a acestui registru, care poate fi în format fizic, în format electronic (de exemplu, un fi?ier Excel) sau poate fi ?inut prin intermediul unei aplica?ii software a unui furnizor ter?. In func?ie de modalitatea aleas? de operator, cerin?ele de securitate ?i confiden?ialitate pot fi diferite ?i pot face obiectul unei analize de impact asupra protec?iei datelor personale.

Sanc?iuni

Multitudinea de acte normative cu incidenta asupra registrului de evident? a clien?ilor implic? sanc?iuni diferite pentru operatorii economici ?i pentru clien?ii acestora.

Operatorii economici pot fi sanc?iona?i astfel:

  • amend? contraven?ional? de pan? la 20 milioane EUR sau 4% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa inform?rii clien?ilor cu privire la modul, scopul, temeiul legal ?i drepturile persoanei vizate conform art. 13 si 14 GDPR, pentru înc?lcarea principiilor minimiz?rii ?i/sau al exactit??ii datelor personale prev?zute de art. 5 GDPR sau pentru neasigurarea securit??ii ?i confiden?ialit??ii datelor personale, conform art. 32 GDPR;
  • amend? contraven?ional? de pan? la 10 milioane EUR sau 2% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa sau neconformitatea acordurilor de prelucrare a datelor ce trebuiesc încheiate, potrivit art. 28 GDPR, cu furnizorii externi de aplica?ii software pentru rezerv?ri ?i/sau similare;
  • amend? contraven?ional? de pan? la 10.000 lei pentru lipsa registrului de eviden?? a clien?ilor, aplicat? de ITM sau organele de poli?ie, jandarmerie sau poli?ie local? conform Legii nr. 55/2020 privind unele m?suri pentru prevenirea ?i combaterea efectelor pandemiei de COVID-19;
  • atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal si/sau pentru infrac?iunea de omisiune a declar?rii unor informa?ii, prevazut? de art. 352^1 Cod Penal.

Clien?ii teraselor pot fi sanc?iona?i astfel:

  • amend? contraven?ional? de pana la 20 milioane EUR, aplicat? de ANSPDCP, pentru înc?lcarea principiului exactit??ii datelor personale prev?zut de art. 5 GDPR;
  • atragerea r?spunderii penale pentru infrac?iunea de fals în declara?ii prevazut? de art. 326 Cod Penal;
  • atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal.

Pentru informa?ii suplimentare sau pentru analiza situa?iilor particulare, folosi?i cu încredere pagina noastr? de contact.

GDPR: 10 lucruri pe care ar trebui s? le face?i

Au trecut peste 100 de zile de la intrarea în vigoare a GDPR. Ne-am gândit s? v? prezent?m zece ac?iuni-cheie pe care firma dvs. ar trebui s? le întreprind? pentru a demonstra în mod activ conformitatea cu GDPR.

maxresdefault

1. Testa?i-v? planul de r?spuns la bre?ele de securitate a datelor

Pân? acum, ar trebui s? ave?i un plan de r?spuns la înc?lc?rile de securitate a datelor. Urm?torul lucru cheie trebuie f?cut: testa?i planul ?i asigura?i-v? c? func?ioneaz?. Dac? planul dvs. se baza pe persoane sau roluri specifice, s-ar putea s? descoperi?i c?, în cele câteva luni de la intrarea în vigoare a Regulamentului, oamenii s-au mutat sau rolurile s-au schimbat. Experien?a ne-a ar?tat c? planurile nerevizuite regulat se pot pr?bu?i, ajungând din nou la nivel de schi??, mai ales atunci când toat? lumea încearc? s? evite responsabilitatea pentru datele pierdute. Ve?i ob?ine doar acest lucru prin testarea sistemelor regulat – în mod ideal la cel pu?in fiecare ?ase luni. Un lucru pe care oamenii îl pot trece cu vederea este s? se asigure c? sunt con?tien?i de obliga?ia de notificare a Autorit??ii de supraveghere (ANSPDCP) care trebuie s? fie notificat? în cazul unei înc?lc?ri.

De asemenea, trebuie s? acorda?i prioritate persoanelor fizice ale c?ror date au fost afectate de bre?a de securitate. Nu fi?i tenta?i s? v? concentra?i atât de mult asupra propriei dvs. conformit??i interne ?i asupra posibilelor sanc?iuni ale autorit??ilor, cu riscul de a ignora persoanele care au fost efectiv afectate. ANSPDCP va dori s? aud? c? face?i tot ce pute?i pentru a ajuta persoanele vizate de date afectate. ?ine?i cont de faptul c? am putea vorbi despre angaja?i, clien?i sau parteneri de afaceri – oricine ar fi persoanele afectate, trebuie s? v? asigura?i c?:

  • acestea beneficiaz? de suportul dumnevoastr?;
  • simt c? nu a?i profitat de ei sau de datele lor personale;
  • furniza?i suficiente informa?ii pe baza c?rora persoanele vizate pot ac?iona ulterior, în cazul în care acestea vor dori acest lucru.

Trebuie s? ave?i grij? de persoanele afectate în modul în care a?i avea grij? de un client dezam?git. O ridicare colectiv? din umeri nu va ar?ta bine atunci când ANSPDCP v? va întreba ce a?i f?cut pentru a remedierea situa?iei persoanelor vizate afectate.

2. Examina?i comunic?rile interne ?i externe

Folosi?i cele mai sigure platforme? Ave?i metodele corecte de securitate în func?iune? Orice sistem care este fie nesecurizat, fie bazat în afara UE ar trebui s? fi fost actualizat pân? acum. Dac? utiliza?i aplica?ii precum Gmail sau Dropbox, disponibile în mod gratuit, v? recomand?m s? lua?i m?suri alternative.

De asemenea, ar fi trebuit s? opri?i pân? acum utilizarea de sisteme de comunica?ii cum ar fi WhatsApp sau Telegram pentru transmiterea datelor personale.

Asigura?i-v? c? a?i implementat m?suri care s? demonstreze conformitatea dvs. cu Regulamentul în fa?a autorit??ilor, dac? totu?i se întâmpl? un incident de securitate.

3. Reanaliza?i obliga?ia de desemnare a unui ofi?er de protec?ie a datelor (DPO)

S-ar putea s? fi decis anterior c? nu ave?i nevoie de un DPO, dar aceasta este o decizie pe care organiza?ia dumneavoastr? ar trebui s? o revad? în mod regulat. Noi recomand?m câte o reanalizare a situa?iei la un interval de aproximativ ?ase luni.

Vor trebui verificate:

  • circumstan?ele actuale ale firmei dvs.
  • prevderile legale actuale
  • planul de dezvoltare a afacerii
  • tipurile de activit??i pe care le desf??ura?i
  • sensibilitatea ?i volumul datelor personale pe care le manipula?i

Dac? observa?i modific?ri ale elementelor de mai sus, atunci un DPO ar trebui s? fie de ajutor. Dac? ave?i deja un DPO existent, acesta ar trebui s? se concentreze pe în?elegerea rolul s?u ?i pe eficientizarea activit??ii în companie. De asemenea, nu trebuie s? uita?i despre notificarea ANSPDCP-ului cu privire la desemnarea DPO-ului.

4. Efectua?i evalu?ri frecvente ale impactului asupra vie?ii private

Întreprinderile ar trebui s? realizeze un astfel de audit pentru orice nou proiect major care implic? prelucrarea de date cu caracter personal. De exemplu, vom avea nevoie de o astfel de evaluare atunci când:

  • implementa?i noi sisteme IT
  • realiza?i site-uri noi
  • introduce?i sisteme noi de management al datelor
  • schimba?i loca?ia birourilor
  • permite?i personalului s? lucreze de acas? / la distan??

Nu este cazul s? v? sim?i?i descuraja?i gândindu-v? c? o astfel de evaluare va fi costisitoare sau hiper-detaliat?; ea trebuie doar s?:

1. s? identifice riscurile pentru datele personale asociate proiectului

2. s? precizeze ce m?suri ar trebui s? fie luate pentru a reduce aceste riscuri

3. s? detalia?i cum ve?i reduce riscurile

Efectuarea periodic? a unei astfel de evalu?ri va contribui la asigurarea transferului responsabilit??ilor, mai ales în cazul în care personalul implicat poate p?r?si compania.

5. Aplica?i politici de p?strare ?i prelucrare a datelor

Întreprinderile ar trebui s? revizuiasc? în mod regulat arhivele, bazele de date ?i mesajele de po?t? electronic?. Asigura?i-v? c? datele cu caracter personal nu sunt ?inute mai mult timp decât a?i declarat ini?ial. Exist? motive întemeiate pentru care unele date sunt p?strate pentru perioade prelungite (de exemplu,acte financiar-contabile, state de salarii). Cu toate acestea, în cazul unei înc?lc?ri care implic? prelucr?ri de date cu caracter personal de-a lungul unei perioade de zece ani, dac? politica de p?strare a datelor a firmei afirm? c? aceste date vor fi ?terse dup? ?apte ani, a?i putea fi sanc?ionat de ANSPDCP. Asigura?i-v? c? politica dvs. este corect? ?i aplicat? uniform.

6. Documenta?i-v? riscurile

Asigura?i-v? c? documentele dumneavoastr? interne reflect? toate riscurile asociate cu GDPR ?i protec?ia datelor. Acestea ar trebui s? fie revizuite în mod regulat ?i actualizate ca parte a monitoriz?rii permanente a conformit??ii companiei cu GDPR. Din nou, este recomandat ca ?i aceast? revizuire s? aib? loc la fiecare sase luni, pentru a v? asigura c? respecta?i în continuare legile privind protec?ia datelor ?i lua?i în considerare orice noi orient?ri ale ANSPDCP.

7. Efectua?i teste regulate de penetrare a sistemelor informatice

Ar trebui s? v? asigura?i c? sistemele informatice ale firmei dvs. sunt testate în mod regulat. Testele ar trebui efectuate de un furnizor extern, pentru a evalua pe deplin orice riscuri asociate cu sistemele dumneavoastr? de comunica?ii electronice, inclusiv site – uri web, e-mail, servere, telefoane mobile sau dispozitivele pentru munca la distan??. Dac? apar probleme, ac?iona?i imediat ?i reduce?i la minimum riscurile identificate.

8. Examina?i practicile de lucru la distan??

Asigura?i-v? c? firma dvs. respect? cele mai bune practici în ceea ce prive?te munca de la distan??. De exemplu, personalul ar trebui s? ?tie s? nu foloseasc? Wi-Fi public gratuit, nici s? lucreze în cafenele sau în public transport (atunci când ecranul laptopului sau un fi?ier sensibil poate fi observat de c?tre persoana de lâng?).

9. Instrui?i-v? personalul

Firma dvs. ar trebui s? aib? un program de formare bine pus la punct, care ar trebui s? fie revizuit în mod regulat ?i prezentat tuturor angaja?ilor noi ca parte a instructajului lor ini?ial. În cadrul acestor activit??i aceast? formare, ar trebui s? oferi?i personalului o mul?ime de exemple pentru a le ajuta s? se identifice „ingineriile de social media”, cum ar fi phishing-ul, în cazul în care fraudatorii reprezint? o firm? sau o institu?ie public?. Re?ine?i c? astfel de atacuri nu se mai limiteaz? la e-mailuri, ci pot avea loc ?i prin social media, mesaj text sau alte forme de mass-media. Este notorie în?el?toria prin mesaje false care încearc? s?-i fac? pe oameni s? acceseze un link pentru a asculta aparent un mesagerie vocal?, în timp ce, de fapt, acest lucru ar instala malware sau ar permite accesul la PC sau la dispozitivul mobil.

10. Fi?i la curent cu cele mai recente prevederi legale ?i recomand?ri

În afar? de respectarea constant? a regulilor privind prelucrarea datelor, ar trebui s? ave?i o analiz? periodic? a activit??ii dumneavoastr? pentru a aborda noile probleme de reglementare pentru GDPR. În cadrul acestor analize ar trebui s? monitorizeze, printre altele, ?i actualiz?rile din partea Comitetului european pentru protec?ia datelor sau din partea ANSPDCP. De asemenea, trebuie s? fi?i la curent ?i cu ?tirile în leg?tur? cu GDPR provenite din activit??ile de control ale ANSPDCP.

GDPR – Regulamentul (UE) 679/2016 privind protec?ia datelor cu caracter personal

GDPR

Regulamentul (UE) 679/2016 – Regulamentul general privind protecția datelor cu caracter personal (GDPR) este un actul normativ principal, aplicabil pe intreg teritoriul Uniunii Europene ?i care va gestiona modul de protec?ie a datelor personale pentru toate entit??ile, publice sau private, care opereaz? în Uniunea European? ?i care gestioneaz? datele personale ale cet??enilor s?i. GDPR va intra în vigoare la data de 25 mai 2018 ?i presupune modul de gestiune ?i prelucrare a datelor personale ale angaja?ilor ?i clien?ilor persoane fizice.

Noua reglementare va înlocui toate actele normative existente la nivel na?ional, instituind proceduri ?i controale adecvate pentru a preveni înc?lcarea securit??ii informa?iilor ?i a drepturilor cet??enilor.

 

CE NOUT??I ADUCE GDPR?

Data Protection Officer (DPO)

Toate institu?iile publice (cu excep?ia instan?elor de judecat?), companiile a c?ror activitate principal? const? în opera?iuni de prelucrare a datelor care necesit? o monitorizare periodic? ?i sistematic? pe scar? larg? a persoanelor vizate, precum ?i companiile care prelucreaz?, pe scar? larg?, categorii speciale de date (originea rasial? sau etnic?, opiniile politice, confesiunea religioas? sau convingerile filozofice, apartenen?a la sindicate, date genetice, date biometrice, date privind s?n?tatea, date privind via?a sexual? sau orientarea sexual?) sau date referitoare la condamn?ri penale ?i infrac?iuni, vor fi obligate s? î?i angajeze un responsabil cu protec?ia datelor personale (DPO – Data Protection Officer) sau sa încheie un contract cu un DPO extern.

În propor?ie covâr?itoare, majoritatea companiilor proceseaz?, într-o form? sau alta, date cu caracter personal, fie c? realizeaz? aceast? procesare în interes propriu, fie c? o realizeaz? în interesul altor companii. Conceptul de date personale este atât de larg, încât este aproape imposibil ca o entitate s? nu prelucreze astfel de date. Fie c? vorbim despre prelucrarea datelor angaja?ilor, a datelor clien?ilor în scopuri de marketing, sau a datelor sensibile ale unor clien?i (date de s?n?tate, cazier fiscal sau judiciar etc.), toate aceste situa?ii transform? compania într-un subiect al GDPR.

Reguli noi pentru consim??mânt

Consim??mântul persoanei vizate pentru prelucrarea datelor, unul din posibilele temeiuri legitime, va avea un regim mult mai restrictiv. Astfel, solicitarea acordului trebuie sa fie in form? inteligibil? ?i u?or accesibil?, utilizând un limbaj clar ?i simplu; dac? sunt incluse mai multe aspecte, solicitarea acordului trebuie clar diferen?iat? de celelalte aspecte; retragerea consim??mântului trebuie s? poat? fi f?cut? la fel de simplu cum a fost dat; ?i, mai ales, nu este admis? condi?ionarea consim??mântului (de exemplu, condi?ionarea prest?rii unui serviciu sau livr?rii unui bun de acordul de prelucrare a datelor pentru marketing direct).

Drepturi noi pentru persoana vizat?. Portabilitatea datelor personale

Pe lâng? drepturile reglementate deja, persoanele vizate vor avea unele drepturi noi, între care dreptul la portabilitatea datelor. Persoanele vor avea dreptul s? primeasc? (direct sau prin intermediul unui alt operator indicat) datele lor într-un format structurat, utilizat în mod curent ?i care poate fi citit automat – una dintre cele mai provocatoare nout??i pentru întreprinderile digitale.

Transparen?? extins?

?i în prezent prelucrarea datelor personale trebuie adus? la cuno?tin?a persoanelor vizate, îns? regulile aplicabile potrivit GDPR impun aducerea la cuno?tin?a persoanelor vizate a unor informa?ii suplimentare, cum ar fi cine este responsabilul cu protec?ia datelor, care este temeiul prelucr?rii, dac? se recurge la profilare, cât timp sunt stocate datele personale, etc.

Sanc?iuni pentru neconformarea la dispozi?iile GDPR

Nerespectarea GDPR poate atrage mai multe tipuri de sanc?iuni, inclusiv amenzi de pân? la 20 de milioane de euro sau 4% din cifra de afaceri global?, oricare dintre acestea este mai mare. În plus, dac? au suferit un prejudiciu, persoanele vizate pot ob?ine desp?gubiri care s? acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective (asocia?ii, sindicate, etc).

Actiuni de control la nivel european pentru desemnarea si rolul Responsabilului Cu Protectia Datelor (DPO)

De curând, a fost lansată de către Autoritatea Europeană pentru Protecția Datelor (European Data Protection Board – EDPB) o acțiune coordonata de control, la nivel european, pentru analiza modului de respectare a prevederilor GDPR cu privire la desemnarea și rolul Responsabililor Cu Protecția Datelor (DPO). Această inițiativă își propune să asigure conformitatea cu prevederile Regulamentului General privind Protecția Datelor (GDPR) și să promoveze practici eficiente de protecție a datelor în Uniunea Europeană (UE). Nerespectarea acestor dispoziții poate duce la consecințe grave pentru operatorii de date personale, inclusiv sancțiuni financiare semnificative și daune aduse reputației și imaginii acestora. 

EDPB, prin anunțul său recent disponibil online la adresa https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en, subliniază importanța respectării obligațiilor legate de desemnarea și rolul DPO. În conformitate cu GDPR, majoritatea organizațiilor trebuie să numească un DPO pentru a-și supraveghea activitățile de protecție a datelor. Aceste organizații includ autorități publice, entități private implicate în prelucrarea pe scară largă a datelor cu caracter personal sau cele care prelucrează date personale sensibile sau date legate de condamnări penale si infracțiuni. DPO acționează ca un consilier cheie în chestiunile legate de protecția datelor și se asigură că organizația își îndeplinește obligațiile conform GDPR.

În plus, ca parte a cadrului coordonat de punere în aplicare anunțat de Autoritatea Europeană pentru Protecția Datelor (EDPB), toate cele 26 de autorități de supraveghere din toate statele membre ale UE vor utiliza diferite metode pentru a verifica respectarea dispozițiilor art. 37-39 GDPR privind desemnarea și rolul DPO. Aceste mecanisme de control pot include, dar nu se limitează la:

– Audituri privind protecția datelor: autoritățile de supraveghere pot efectua audituri cuprinzătoare pentru a evalua conformitatea unei organizații cu obligațiile de protecție a datelor, inclusiv desemnarea și rolul corect al DPO. Aceste audituri pot implica revizuirea documentației, desfășurarea de interviuri și verificarea măsurilor tehnice și organizatorice în vigoare.

– Soluționarea sesizărilor: plângerile formulate de persoane sau organizații cu privire la potențiala nerespectare a dispozițiilor referitoare la DPO vor fi investigate. Aceste plângeri pot declanșa anchete din partea autorităților de supraveghere, care pot solicita informații relevante, pot examina procesele și pot evalua eficacitatea implicării și autorității DPO în cadrul organizației.

– Investigații oficiale: autoritățile de supraveghere pot efectua investigații ale organizațiilor, la fața locului sau online, pentru a evalua conformitatea cu cerințele de protecție a datelor. În timpul acestor inspecții, se va evalua caracterul adecvat al rolului și responsabilităților DPO, asigurându-se că aceștia sunt împuterniciți în mod adecvat și independenți în luarea deciziilor.

– Obligații de raportare: organizațiilor li se poate solicita să furnizeze rapoarte și actualizări regulate autorităților de supraveghere cu privire la desemnarea unui DPO, la rolul și acțiunile întreprinse pentru asigurarea conformității. Aceste rapoarte pot include detalii despre activitățile DPO, resursele alocate acestora de către operatori și orice provocări cu care se confruntă în îndeplinirea eficientă a rolului lor.

– Cooperarea între autoritățile de supraveghere: cadrul coordonat de aplicare promovează colaborarea și schimbul de informații între autoritățile de supraveghere din UE. Acest lucru facilitează schimbul de bune practici, permite evaluări transfrontaliere ale conformității și consolidează efortul colectiv de aplicare.

 

 

Nerespectarea dispozitiilor legale referitoare la DPO poate avea urmatoarele consecinte:

Consecințe juridice:

– Amenzi și sancțiuni: Nerespectarea poate duce la amenzi administrative substanțiale, care se pot ridica la un procent din cifra de afaceri globală anuală sau o sumă fixă, în funcție de gravitatea încălcării.

– Proceduri legale: organizația poate face obiectul unor acțiuni legale, investigații și reclamații din partea persoanelor ale căror drepturi au fost încălcate din cauza măsurilor inadecvate de protecție a datelor.

Daune reputaționale:

– Pierderea încrederii: Nerespectarea poate eroda încrederea clienților, colaboratorilor și partenerilor, ceea ce duce la un impact negativ asupra reputației organizației și la pierderea potențială a oportunităților de afaceri.

– Expunere in mass-media: expunerea publică a neconformității poate atrage o atenție semnificativă a mass-media, rezultând o publicitate negativă care poate fi dificil de contracarat.

Perturbare operațională:

– Controlul autorităților: Nerespectarea poate declanșa investigații și audituri de către autoritățile de protecție a datelor, provocând posibil întreruperi în operațiunile obișnuite de afaceri.

– Acțiuni de remediere: organizației i se poate cere să implementeze măsuri suplimentare sau să investească resurse materiale si umane pentru a remedia neconformitatea, alocând timp și efort prețios de la activitățile de bază ale afacerii.

Pentru a evita aceste rezultate negative, încurajăm cu tărie să evaluați obligațiile organizației în temeiul GDPR și să realizați următoarele acțiuni:

– Desemnarea unui DPO: dacă organizația dvs. se încadrează în criteriile subliniate de GDPR, asigurați-vă că ați desemnat un responsabil cu protecția datelor calificat și independent. DPO ar trebui să aibă experiență în legislația și practicile privind protecția datelor și să își poată îndeplini sarcinile fără existența unui conflicte de interese.

– Rolul DPO: Oferiți DPO resursele, autoritatea și independența necesare pentru a-și îndeplini responsabilitățile în mod eficient. Asigurați-vă că are acces direct la conducerea superioară a organizației și este implicat în toate problemele legate de prelucrarea datelor cu caracter personal.

– Cadrul de conformitate: Dezvoltați și implementați politici, proceduri și controale solide de protecție a datelor care se aliniază cu cerințele GDPR. Examinați și actualizați în mod regulat aceste măsuri pentru a aborda riscurile emergente și schimbările în activitățile de prelucrare a datelor.

– Instruire și conștientizare: Concepeți programe de formare cuprinzătoare pentru angajați, subliniind importanța protecției datelor și rolul acestora în protejarea datelor cu caracter personal. Promovați o cultură a confidențialității și a conștientizării protecției datelor în întreaga organizație.

– Documentare și înregistrări: mențineți înregistrări detaliate ale activităților de prelucrare a datelor ale organizației dvs., inclusiv evaluările impactului privind protecția datelor și orice decizii relevante luate. Aceste înregistrări ar trebui să demonstreze eforturile de conformare și să fie ușor disponibile in cazul unui control al autorității de supraveghere.

– Monitorizați și revizuiți: evaluați în mod continuu practicile de protecție a datelor ale organizației dvs. pentru a identifica și a remedia cu promptitudine orice lacune de conformitate. Examinați-vă în mod regulat politicile, procedurile și măsurile tehnice pentru a vă asigura că rămân actualizate și eficiente.

Dacă aveți nevoie de mai multe informații sau îndrumări, vă rugăm să nu ezitați să contactați echipa noastră de protecție a datelor prin e-mail sau telefon folosind datele din pagina Contact.

Adaptarea activitatii Battlegroup in contextul pandemiei de COVID-19

In ultimele saptamâni, am urmarit cu atentie evolutia situatiei globale in ceea ce priveste r?spândirea, transmiterea si, cel mai important, efectele produse de noul coronavirus, COVID-19, asupra noastr? si a celor din jurul nostru.

Battlegroup are in permanen?? misiunea de a livra clien?ilor serviciile premium pe care le merit?, la cele mai inalte standarde de calitate si de promptitudine. Cu toate acestea, in acelasi timp avem si datoria de a asigura si cele mai inalte standarde de securitate atât pentru noi, cât si pentru cei cu care interac?ion?m zi de zi. Prin urmare, am fost nevoi?i s? ne adapt?m modul de lucru, cel pu?in pentru cele 30 de zile in care ne vom afla sub imperiul st?rii de urgen?? decretate ast?zi.

Ce m?suri am luat?

  • vineri, 13 martie 2020, a fost ultima zi in care ne-am desf?surat activitatea f?r? restric?ii; incepând de astazi, 16 martie, toat? activitatea noastr? se desf?soar? exclusiv remote (la distan??);
  • toate c?l?toriile noastre in scop de afaceri sunt fie amânate, fie deja reprogramate pentru lunile de var?;
  • toate cursurile si evenimentele cu prezen?? fizic?, organizate de noi si partenerii nostri, programate a se desf?sura in lunile martie si aprilie, sunt anulate;
  • intâlnirile cu clientii si partenerii nostri sunt limitate doar la situa?iile de extrem? urgen?? (de exemplu, incidente de securitate sau alte asemenea evenimente de maxim? importan?? ce nu pot fi gestionate de la distan??).

Ce vom face in continuare?

In mod evident, nu vom l?sa nimic s? afecteze activitatea noastr?. Intrucât Battlegroup este o companie ce functioneaz? integral informatizat, vom continua s? oferim aceleasi servicii si in aceleasi conditii ca si pân? acum, concentrându-ne in schimb mai mult asupra gestion?rii rela?iilor contractuale f?r? a fi necesar? prezen?a fizic?. La acest moment, estim?m c? acest scenariu va fi aplicabil cel pu?in pân? la sfârsitul lunii aprilie 2020.

To?i clien?ii nostri beneficiaz? de suport suplimentar in aceast? perioad?, in special cei care sunt nevoi?i s? implementeze, la rândul lor, lucrul la distant?.

Suntem al?turi de to?i clien?ii, partenerii si prietenii nostri in efortul comun de a dep?si cât mai repede aceast? perioad? grea.

Dac? mai era nevoie, v? reamintim c? ne face pl?cere s? v? fim de ajutor, pentru orice situatie.

 

Uniunea Europeana se preg?te?te pentru modificarea GDPR

Comisia Europeana a stabilit, la 19 februarie 2020, prin intermediul Strategiei privind datele ?i Strategiei privind inteligen?a artificial?, liniile directoare ale ac?iunilor legislativului european pentru o transformare digital? fundamental?.

Pre?edinta Comisiei Europene, Ursula von der Leyen, a declarat: „Ast?zi prezent?m tuturor viziunea noastr? ambi?ioas? cu privire la viitorul digital al Europei. Este o viziune care abordeaz? toate aspectele, de la securitatea cibernetic? la infrastructurile critice, de la educa?ie digital? la competen?e, de la democra?ie la mass-media. Îmi doresc ca Europa digital? s? reflecte valorile noastre cele mai de pre?, care ne definesc ca europeni – deschiderea, echitatea, diversitatea, democra?ia ?i încrederea.”

Principalele modific?ri propuse de CE vizeaz? urm?toarele ac?iuni:

  • crearea unui spa?iu european al datelor, o pia?? unic? pentru date, pentru a debloca poten?ialul datelor neutilizate, permi?ând fluxul liber al acestor date în Uniunea European? ?i între diferitele sectoare, în beneficiul întreprinderilor, al cercet?torilor ?i al administra?iilor publice;
  • stabilirea unui cadru normativ adecvat cu privire la guvernan?a datelor, la accesarea ?i reutilizarea acestor date între întreprinderi, în rela?ia întreprinderi–administra?ii centrale ?i între diferitele administra?ii;
  • modificarea Regulamentului UE 679/2016 (GDPR), în special pentru îmbun?t??irea securit??ii datelor digitale ?i facilitarea exercit?rii drepturilor persoanelor fizice vizate;
  • reglementarea transferurilor de date personale intre companii (business-to-business – B2B – data-sharing);
  • reglementarea transferurilor de date publice de la autorit??ile publice c?tre companii private (government-to-business – G2B – data sharing);
  • reglementarea utiliz?rii de date personale transmise de companiile private c?tre autorit??ile publice (business-to-government – B2G – data sharing)
  • Elaborarea unui nou act normativ, pana in anul 2021, pentru reglementarea fluxurilor de date in Uniunea Europeana, cu accent pe utilizarea noilor tehnologii de tipul internet of things (IoT) si inteligenta artificiala (AI) – Data Act 2021.

Click aici pentru textul complet al Strategiei Europene privind datele (versiunea originala in limba engleza)

Toate detaliile privind planul de ac?iune al Uniunii Europene în domeniul datelor sunt disponibile pe website-ul Comisiei Europene:

https://ec.europa.eu/commission/presscorner/detail/ro/ip_20_273

Sursa informa?iilor: Comisia Europeana, www.ec.europa.eu/commission/