Blog - Pagina 3 din 4 - Battlegroup

Blog

Infrac?iuni în sfera GDPR

Legisla?ia existent? în domeniul protec?iei datelor cu caracter personal, respectiv Regulamentul (UE) 2016/679 (GDPR), ?i Legea nr. 190/2018 privind m?suri de punere în aplicare a Regulamentului (UE) 2016/679, stabile?te sanc?iuni drastice ?i larg mediatizate, de pana la 20 milioane euro sau 4% din cifra globala anuala de afaceri a entit??ii care nu a ac?ionat conform prevederilor celor doua acte normative.

Scopul final al GDPR, preluat ?i de legea roman? 190/2018, este acela de a proteja viata privata a persoanelor fizice prin gestiunea eficienta ?i judicioasa a datelor cu caracter personal apar?inând acestor persoane fizice. In acest sens, sunt arhi-cunoscute deja principiile de baza ale confiden?ialit??ii, securit??ii ?i legitimit??ii prelucr?rilor de date cu caracter personal.

R?spunderea operatorilor de date personale

GDPR reglementeaz? în mare parte r?spunderea civil? ?i contraven?ional? a operatorilor de date personale care nu se conformeaz? principiilor ?i temeiurilor juridice de prelucrare a datelor. Cu toate acestea, în majoritatea cazurilor, faptele ce pot fi catalogate atât ca incidente de securitate conform GDPR sau legisla?iei securit??ii informatice reprezint? ?i infrac?iuni prevazute ?i sanc?ionate de Codul Penal roman în vigoare, pedepsele principale putând ajunge, în func?ie de gravitatea faptei, de pan? la 7 ani închisoare. Mai trebuie precizat ?i faptul c?, în cazul concursului de infrac?iuni, pedeapsa rezultant? poate dep??i cu mult pedeapsa maxim? aplicat? pentru cea mai grav? infrac?iune s?vâr?it?, aplicându-se un spor de o treime din pedeapsa cea mai grea.

Codul Penal

In Capitolul VI Cod Penal sunt prevazute urm?toarele infrac?iuni contra siguran?ei ?i integrit??ii sistemelor ?i datelor informatice:

Art. 360 – Accesul ilegal la un sistem informatic

(1) Accesul, f?r? drept, la un sistem informatic se pedepse?te cu închisoare de la 3 luni la 3 ani sau cu amend?.

(2) Fapta prev?zut? în alin. (1), s?vâr?it? în scopul ob?inerii de date informatice, se pedepse?te cu închisoarea de la 6 luni la 5 ani.

(3) Dac? fapta prev?zut? în alin. (1) a fost s?vâr?it? cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restric?ionat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.

Art. 361 – Interceptarea ilegal? a unei transmisii de date informatice

(1) Interceptarea, f?r? drept, a unei transmisii de date informatice care nu este public? ?i care este destinat? unui sistem informatic, provine dintr-un asemenea sistem sau se efectueaz? în cadrul unui sistem informatic se pedepse?te cu închisoarea de la unu la 5 ani.

(2) Cu aceea?i pedeaps? se sanc?ioneaz? ?i interceptarea, f?r? drept, a unei emisii electromagnetice provenite dintr-un sistem informatic, ce con?ine date informatice care nu sunt publice.

Art. 362 – Alterarea integrit??ii datelor informatice

Fapta de a modifica, ?terge sau deteriora date informatice ori de a restric?iona accesul la aceste date, f?r? drept, se pedepse?te cu închisoarea de la unu la 5 ani.

Art. 363 – Perturbarea func?ion?rii sistemelor informatice

Fapta de a perturba grav, f?r? drept, func?ionarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ?tergerea sau deteriorarea datelor informatice sau prin restric?ionarea accesului la date informatice, se pedepse?te cu închisoarea de la 2 la 7 ani.

Art. 364 – Transferul neautorizat de date informatice

Transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare a datelor informatice se pedepse?te cu închisoarea de la unu la 5 ani.

Art. 365 – Opera?iuni ilegale cu dispozitive sau programe informatice

(1) Fapta persoanei care, f?r? drept, produce, import?, distribuie sau pune la dispozi?ie sub orice form?:

a) dispozitive sau programe informatice concepute sau adaptate în scopul comiterii uneia dintre infrac?iunile prev?zute în art. 360-364;

b) parole, coduri de acces sau alte asemenea date informatice care permit accesul total sau par?ial la un sistem informatic, în scopul s?vâr?irii uneia dintre infrac?iunile prev?zute în art. 360-364,

se pedepse?te cu închisoare de la 6 luni la 3 ani sau cu amend?.

(2) De?inerea, f?r? drept, a unui dispozitiv, a unui program informatic, a unei parole, a unui cod de acces sau a altor date informatice dintre cele prev?zute în alin. (1), în scopul s?vâr?irii uneia dintre infrac?iunile prev?zute în art. 360-364, se pedepse?te cu închisoare de la 3 luni la 2 ani sau cu amend?.

Art. 366 – Sanc?ionarea tentativei

Tentativa la infrac?iunile prev?zute în prezentul capitol se pedepse?te.

In final, în leg?tur? cu infrac?iunile de mai sus, mai trebuie amintit ?i faptul c? pentru acestea sunt incidente ?i dispozi?iile art. 267 Cod Penal, conform c?ruia reprezint? infrac?iunea de omisiune a sesiz?rii organelor de cercetare penal? fapta func?ionarului public care, luând cuno?tin?? de s?vâr?irea unei fapte prev?zute de legea penal? în leg?tur? cu serviciul în cadrul c?ruia î?i îndepline?te sarcinile, omite sesizarea de îndat? a organelor de urm?rire penal?, pedepsit? cu închisoare de la 3 luni la 3 ani sau cu amend? penal?.

 

 

 

Google prime?te cea mai mare amend? pentru înc?lcarea GDPR

O amend?-record de 50 milioane euro a fost aplicat? ast?zi, 21 ianuarie 2019, gigantului Google de c?tre autoritatea francez? de supraveghere a datelor personale, CNIL (Commission nationale de l’informatique et des libertés).

f89m3o5st0eh4v2j

Este prima amend? aplicat? companiei Google conform prevederilor GDPR ?i, totodat?, amenda cu cea mai mare valoare aplicat? în Uniunea Europeana de la momentul începerii aplic?rii Regulamentului UE 2016/679 – 25 mai 2018.

Controlul demarat de autorit??ile din Fran?a a avut la baz? doua plângeri colective formulate de asocia?ia „None of Your Business” („NOYB”) ?i asocia?ia „La Quadrature du Net” („LQDN”) la data de 25 ?i respectiv 28 mai 2018, în numele a peste 10.000 de persoane fizice. În aceste dou? plângeri, asocia?iile au criticat compania Google c? nu are un temei legal valabil pentru a prelucra datele personale ale utilizatorilor serviciilor sale, în special în scopul personaliz?rii publicit??ii.

Sanc?iunea de 50 de milioane de euro aplicata ast?zi companiei Google LLC în temeiul prevederilor GDPR prive?te înc?lcarea regulilor de transparen??, a inform?rii insuficiente a peroanelor vizate ?i, nu în ultimul rând, a lipsei unui consim??mânt valabil exprimat de c?tre persoanele vizate pentru personalizarea publicit??ii livrate prin intermediul telefoanelor mobile cu sistem de operare Android.

Conform comunicatului de pres? emis de CNIL, investiga?ia a început prin stabilirea competen?ei de efectuare a verific?rilor de c?tre autorit??ile franceze, ?tiut fiind ca Google opereaz? pe teritoriul Uniunii Europene printr-o companie cu sediul în Irlanda. In urma schimbului de informa?ii cu celelalte autorit??i de supraveghere din statele membre, în special cu autoritatea irlandeza de protec?ie a datelor, s-a convenit c? Google nu avea un sediu principal în Uniunea European?. În special, la data la care CNIL a început procedura, s-a re?inut ca subsidiara irlandez? a Google nu a avut o putere decizional? asupra func?iilor sistemului de operare Android ?i a serviciilor oferite de Google LLC în leg?tur? cu crearea unui cont de utilizator Google la momentul configur?rii de c?tre utilizatorul final a unui cont Google pe un telefon mobil Android.

Pentru a investiga plângerile care i-au fost adresate, CNIL a efectuat un control on-line în septembrie 2018. Obiectivul a fost de a verifica respectarea legisla?iei privind comunica?iile electronice ?i a GDPR raportat la prelucr?rile datelor personale efectuate de Google, prin analizarea pa?ilor efectua?i de un utilizator ?i a documentelor la care acesta are acces atunci când î?i creaz? un cont Google în vederea configur?rii unui telefon mobil cu SO Android.

In urma controlului, autoritatea francez? a concluzionat c? arhitectura general? a informa?iilor alese de Google pentru efectuarea inform?rii peroanelor vizate nu duce la respectarea obliga?iilor din Regulament. Informa?iile esen?iale, cum ar fi scopurile pentru care sunt prelucrate datele, perioada de timp în care sunt stocate datele sau categoriile de date personale utilizate pentru a personaliza publicitatea, sunt excesiv împr??tiate în mai multe documente, butoane ?i linkuri care necesit? s? fie activate pentru a citi informa?ii suplimentare. Informa?iile relevante sunt accesibile numai dup? mai mul?i pa?i, uneori implicând pân? la cinci sau ?ase ac?iuni. Acesta este cazul, de exemplu, în situa?ia în care un utilizator dore?te s? aib? informa?ii complete cu privire la colectarea informa?iilor sale pentru personalizarea anun?urilor sau pentru geo-localizarea sa. Astfel, utilizatorii nu sunt în m?sur? s? în?eleag? deplin amploarea prelucr?rilor de date personale efectuate de Google. Reiese faptul ca activit??ile de prelucrare sunt masive ?i intruzive, datorit? num?rului mare de servicii oferite (aproximativ dou?zeci), cantit??ii ?i naturii datelor prelucrate ?i combinate. În special, autoritatea arat? c? perioada de p?strare a unor date nu este indicat?, scopurile prelucr?rii sunt descrise prea generic ?i vag, la fel ?i faptul ca datele prelucrate pentru aceste scopuri sunt diferite. În mod similar, informa?iile furnizate nu sunt suficient de clare pentru ca utilizatorul s? în?eleag? c? temeiul legal al prelucr?rii datelor pentru personalizarea reclamelor este consim??mântul, ?i nu interesul legitim al companiei Google.

Pentru lipsa consim??mântului valabil exprimat, CNIL a re?inut doua înc?lc?ri ale prevederilor GDPR.

În primul rând, consim??mântul utilizatorului nu este suficient de explicit. Informa?iile despre modul în care sunt prelucrate datele personale sunt împ?r?ite în mai multe documente ?i astfel nu permit utilizatorului s? devin? con?tient de amploarea acestor prelucr?ri. De exemplu, în sec?iunea pentru „Personalizarea anun?urilor”, nu este posibil? con?tientizarea pluralit??ii de servicii, site-uri ?i aplica?ii implicate în aceste activit??i de prelucrare (Google Search, Youtube, Google Home, Google Maps, Playstore, Google Photos) ?i, prin urmare, a volumului de date personale prelucrate ?i combinate.

În al doilea rând, CNIL constat? c? Google nu a ob?inut un consim??mânt „specific” ?i „neechivoc„. Desigur, atunci când creeaz? un cont, utilizatorul are op?iunea de a modifica câ?iva dintre parametrii asocia?i contului f?când clic pe butonul „mai multe op?iuni„, prezent înaintea butonului „Crea?i un cont„. În special, este posibil s? fie setate modurile de afi?are pentru anun?urile personalizate. Astfel se ajunge la înc?lcarea GDPR. Într-adev?r, nu numai ca utilizatorul trebuie s? acceseze butonul „mai multe op?iuni” pentru a accesa setarea, dar în plus, afi?area anun?urilor personalizate este activata în prealabil. Fata de toate acestea, consim??mântul este „univoc„, conform cerin?elor GDPR, numai dac? utilizatorul efectueaz? un act pozitiv (bifa?i, de exemplu, o caset? necontrolat?). În cele din urm?, înainte de a crea contul, utilizatorul este rugat s? bifeze casetele „Accept termenii de utilizare a Google” ?i „Accept c? informa?iile mele sunt utilizate a?a cum este descris mai sus ?i detaliat în politica de confiden?ialitate” pentru a crea un cont. O astfel de metod? duce utilizatorul la exprimarea unui consim??mânt în bloc, pentru toate scopurile urm?rite de Google pe baza acestui acord (personalizarea publicit??ii, recunoa?terea vocal?, localizare, etc.). Dar consim??mântul este „specific”, conform cerin?elor GDPR, numai dac? este dat separat pentru fiecare scop.

Cuantumul amenzii aplicate ast?zi a fost calculat prin aplicarea procentului din cifra de afaceri globala anuala a grupului Alphabet din care face parte si compania Google. Atât amenda aplicata, cât ?i publicitatea ei, sunt în primul rând justificate de gravitatea înc?lc?rilor principiilor esen?iale ale GDPR: transparen??, informare ?i consim??mânt. În ciuda m?surilor puse în aplicare de Google (documenta?ie ?i instrumente de configurare), deficien?ele identificate priveaz? utilizatorii de garan?iile fundamentale cu privire la prelucr?rile de date care ar putea dezv?lui p?r?i largi ale vie?ii private, fiind bazate pe un volum considerabil de date, o varietate servicii ?i posibilit??i pentru combinarea aproape nelimitat? a datelor. Autoritatea francez? reaminte?te c? natura ?i obiectul prelucr?rilor de date în cauz?, la scar? larg?, impune ca utilizatorii s? men?in? controlul asupra datelor lor ?i, prin urmare, s? fie suficient de informa?i ?i pu?i în pozi?ia de a consim?i în mod valabil.

Citi?i aici întreaga decizie de sanc?ionare a Google

Sursa informa?iilor: www.cnil.fr

Uber prime?te înc? o amend? pentru datele personale

Autoritatea olandez? pentru protec?ia datelor a dispus în data de 6 noiembrie 2018 o amend? de 600.000 EUR pentru Uber B.V. ?i Uber Technologies, Inc. (UTI) pentru înc?lcarea legisla?iei olandeze privind obliga?ia de notificare a incidentelor de securitate a datelor personale. Cele dou? societ??i sunt obligate la plata în solidar a amenzii, în termen de ?ase s?pt?mâni de la data deciziei autorit??ii, putând de asemenea s? conteste în instan?? sanc?iunea în acest termen.

580

Amenda autorit??ii olandeze se adaug? la amenda aplicat? deja anterior de autoritatea de supraveghere din Marea Britanie cu privire la acela?i incident, în cuantum de 385.000 lire sterline. În total, amenzile aplicate Uber în Uniunea European? pentru aceast? înc?lcare au ajuns la valoarea de 1,17 milioane de dolari.

În anul 2016 a avut loc o înc?lcare a securit??ii datelor personale (data breach) la nivelul concernului Uber, sub forma accesului neautorizat la datele personale ale clien?ilor ?i conduc?torilor auto. Uber este amendat? astfel pentru c? nu a raportat înc?lcarea securit??ii datelor c?tre autoritatea de supraveghere a prelucr?rii datelor personale din Olanda ?i c?tre persoanele vizate, în termen de 72 de ore de la descoperirea incidentului de securitate.

De?i aceast? amend? este stabilit? pentru înc?lcarea legii olandeze a prelucr?rilor de date personale, în vigoare în anul 2016, obliga?ia de notificare a autorit??ii de supraveghere apar?ine tuturor operatorilor de date personale conform articolului 33 GDPR. Textul Regulamentului 679/2016 arat? urm?toarele: În cazul în care are loc o înc?lcare a securit??ii datelor cu caracter personal, operatorul notific? acest lucru autorit??ii de supraveghere competente în temeiul articolului 55, f?r? întârzieri nejustificate ?i, dac? este posibil, în termen de cel mult 72 de ore de la data la care a luat cuno?tin?? de aceasta, cu excep?ia cazului în care este pu?in probabil s? genereze un risc pentru drepturile ?i libert??ile persoanelor fizice. În cazul în care notificarea c?tre autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta este înso?it? de o explica?ie motivat? pentru întârziere.

Aceast? înc?lcare a securit??ii datelor perosnale a afectat 57 de milioane de utilizatori ai aplica?iei Uber din întreaga lume, dintre care 174.000 de cet??eni olandezi, 2,7 millioane de clien?i cet??eni britanici ?i aproximativ 82.000 de ?oferi cet??eni britanici. De asemenea, 600.000 de ?oferi din Statele Unite ale Americii au fost afecta?i de divulgarea neautorizat? de date personale. În luna septembrie, Uber a fost obligat? s? pl?teasc? desp?gubiri de 148 millioane de dolari ?i s?-?i securizeze mai bine datele personale, în urma unui acord încheiat cu toate cele 50 de state americane ?i Districtul Columbia.

Printre datele personale afectate de acest incident s-au num?rat nume, adrese de e-mail ?i numere de telefon ale clien?ilor ?i ?oferilor Uber.

Este cea mai mare amend? aplicat? dup? intrarea în vigoare a Regulamentului UE 679/2016 (GDPR), dep??ind amenda de 500.000 lire sterline aplicat? în luna octombrie 2018 de autoritatea de supraveghere din Marea Britanie gigantului Facebook, pentru scandalul Cambridge Analytica.

Pân? la acest moment, nota de plat? total? a incidentului Uber din 2016 a ajuns la aproape 150 de milioane de dolari.

Primele amenzi pentru prelucrare ilegal? de date personale

Primele efecte tangibile ale noii legisla?ii europene în domeniul prelucr?rii datelor personale devin vizibile. Ast?zi, Autoritatea de supraveghere a prelucr?rilor de date personale din Marea Britanie (ICO) a amendat Facebook pentru c? nu a protejat datele personale ale utilizatorilor s?i ?i pentru c? le-a divulgat pentru motive politice.

fb gdpr

Sanc?iunea de ast?zi vine dup? ce, s?pt?mâna trecut?, autoritatea austriac? pentru protec?ia datelor a emis o amend? pentru înc?lcarea GDPR.

Autoritatea austriac? pentru protec?ia datelor (DSB) a emis prima amend? pentru nerespectarea GDPR. Este surprinz?tor pentru mul?i c? prin aceast? amend? nu a fost sanc?ionat? o companie important?, ci un mic antreprenor. Înc?lcarea? Compania în cauz? a instalat o camer? de supraveghere video (CCTV) în fa?a sediului s?u, îns? camera înregistra ?i o bun? parte din trotuar. Acest lucru a fost considerat de c?tre DSB ca o monitorizare pe scar? larg? a spa?iilor publice, ceea ce nu este permis în conformitate cu GDPR. În plus, camera nu era semnalizat? corespunz?tor, ceea ce înseamn? c? obliga?ia de transparen?? nu a fost îndeplinit?.

Amenda aplicat? a fost totu?i mic?, de numai 4.800 de euro. Motivul? DSB vizeaz? o anumit? propor?ionalitate, astfel încât o societate cu cifr? de afaceri de doar aproximativ 40.000 de euro pe an probabil nu va primi o amend? de 20 de milioane de euro.

Ast?zi, totu?i, amenda este emis? de ICO celei mai cunoscute companii, Facebook, ?i cuantumul ei dep??e?te cu mult pe cel al autorit??ii din Austria.

Faptul c? Facebook nu exceleaz? la capitolul de asigurare a securit??ii datelor personale ale utilizatorilor s?i este un fapt cunoscut, mai ales dup? scandalul Cambridge Analytica de anul acesta. Dup? deliber?ri îndelungate, ICO a emis o amend? pentru Facebook pentru divulgarea datelor personale ale utilizatorilor s?i din motive politice. Suma – 500.000 £ – este maximul care poate fi aplicat în acest caz conform legii na?ionale britanice.

Investiga?ia ICO, a constatat c?, între anii 2007 ?i 2014, Facebook a procesat datele personale ale utilizatorilor s?i într-o manier? inechitabil?, f?r? un consim??mânt valabil sau prin utilizarea unor practici netransparente. De exemplu, a permis ter?ilor accesul la datele persoanelor care nu au desc?rcat ?i folosit aplica?ia Facebook pentru mobil, pur ?i simplu pentru motivul c? ace?tia erau prieteni cu persoane care au instalat aplica?ia pentru mobil. De asemenea, s-a re?inut ?i faptul c? Facebook nu a reu?it s? p?streze datele personale securizate întrucât nu a verificat corespunz?tor ?i regulat aplica?ia sau platforma online în general. Toate acestea au fost urmate de celebrul scandal Cambridge Analytica, unde se estimeaz? c? pân? la un milion de utilizatori din Marea Britanie au datele lor personale divulgate ?i utilizate f?r? drept.

Cu toate acestea, amenda nu a fost stabilit? conform prevederilor GDPR, deoarece cele mai multe înc?lc?ri au avut loc înainte de punerea sa în aplicare, sanc?iunea fiind întemeiat? pe dispozi?iile vechii legi britanice privind protec?ia datelor.

Referitor la sanc?iunea aplicat? Facebook, pre?edintele ICO (UK Information Commissioner), Elizabeth Denham a spus:

Am considerat c? aceste contraven?ii sunt atât de serioase încât am impus pedeapsa maxim? conform legisla?iei anterioare. În mod inevitabil, amenda ar fi fost semnificativ mai mare sub GDPR. Una dintre principalele noastre motiva?ii pentru a lua m?suri de sanc?ionare este de a aduce schimb?ri semnificative în modul în care organiza?iile manipuleaz? datele personale ale oamenilor. „
„Munca noastr? continu?. Mai sunt înc? întreb?ri mai mari de pus ?i dezbateri mai ample de ?inut despre modul în care interac?ioneaz? tehnologia ?i democra?ia, ?i despre cum sistemul juridic, etic ?i de reglementare în vigoare este adecvat pentru a proteja principiile pe care se bazeaz? societatea noastr? „.

 

GDPR: 10 lucruri pe care ar trebui s? le face?i

Au trecut peste 100 de zile de la intrarea în vigoare a GDPR. Ne-am gândit s? v? prezent?m zece ac?iuni-cheie pe care firma dvs. ar trebui s? le întreprind? pentru a demonstra în mod activ conformitatea cu GDPR.

maxresdefault

1. Testa?i-v? planul de r?spuns la bre?ele de securitate a datelor

Pân? acum, ar trebui s? ave?i un plan de r?spuns la înc?lc?rile de securitate a datelor. Urm?torul lucru cheie trebuie f?cut: testa?i planul ?i asigura?i-v? c? func?ioneaz?. Dac? planul dvs. se baza pe persoane sau roluri specifice, s-ar putea s? descoperi?i c?, în cele câteva luni de la intrarea în vigoare a Regulamentului, oamenii s-au mutat sau rolurile s-au schimbat. Experien?a ne-a ar?tat c? planurile nerevizuite regulat se pot pr?bu?i, ajungând din nou la nivel de schi??, mai ales atunci când toat? lumea încearc? s? evite responsabilitatea pentru datele pierdute. Ve?i ob?ine doar acest lucru prin testarea sistemelor regulat – în mod ideal la cel pu?in fiecare ?ase luni. Un lucru pe care oamenii îl pot trece cu vederea este s? se asigure c? sunt con?tien?i de obliga?ia de notificare a Autorit??ii de supraveghere (ANSPDCP) care trebuie s? fie notificat? în cazul unei înc?lc?ri.

De asemenea, trebuie s? acorda?i prioritate persoanelor fizice ale c?ror date au fost afectate de bre?a de securitate. Nu fi?i tenta?i s? v? concentra?i atât de mult asupra propriei dvs. conformit??i interne ?i asupra posibilelor sanc?iuni ale autorit??ilor, cu riscul de a ignora persoanele care au fost efectiv afectate. ANSPDCP va dori s? aud? c? face?i tot ce pute?i pentru a ajuta persoanele vizate de date afectate. ?ine?i cont de faptul c? am putea vorbi despre angaja?i, clien?i sau parteneri de afaceri – oricine ar fi persoanele afectate, trebuie s? v? asigura?i c?:

  • acestea beneficiaz? de suportul dumnevoastr?;
  • simt c? nu a?i profitat de ei sau de datele lor personale;
  • furniza?i suficiente informa?ii pe baza c?rora persoanele vizate pot ac?iona ulterior, în cazul în care acestea vor dori acest lucru.

Trebuie s? ave?i grij? de persoanele afectate în modul în care a?i avea grij? de un client dezam?git. O ridicare colectiv? din umeri nu va ar?ta bine atunci când ANSPDCP v? va întreba ce a?i f?cut pentru a remedierea situa?iei persoanelor vizate afectate.

2. Examina?i comunic?rile interne ?i externe

Folosi?i cele mai sigure platforme? Ave?i metodele corecte de securitate în func?iune? Orice sistem care este fie nesecurizat, fie bazat în afara UE ar trebui s? fi fost actualizat pân? acum. Dac? utiliza?i aplica?ii precum Gmail sau Dropbox, disponibile în mod gratuit, v? recomand?m s? lua?i m?suri alternative.

De asemenea, ar fi trebuit s? opri?i pân? acum utilizarea de sisteme de comunica?ii cum ar fi WhatsApp sau Telegram pentru transmiterea datelor personale.

Asigura?i-v? c? a?i implementat m?suri care s? demonstreze conformitatea dvs. cu Regulamentul în fa?a autorit??ilor, dac? totu?i se întâmpl? un incident de securitate.

3. Reanaliza?i obliga?ia de desemnare a unui ofi?er de protec?ie a datelor (DPO)

S-ar putea s? fi decis anterior c? nu ave?i nevoie de un DPO, dar aceasta este o decizie pe care organiza?ia dumneavoastr? ar trebui s? o revad? în mod regulat. Noi recomand?m câte o reanalizare a situa?iei la un interval de aproximativ ?ase luni.

Vor trebui verificate:

  • circumstan?ele actuale ale firmei dvs.
  • prevderile legale actuale
  • planul de dezvoltare a afacerii
  • tipurile de activit??i pe care le desf??ura?i
  • sensibilitatea ?i volumul datelor personale pe care le manipula?i

Dac? observa?i modific?ri ale elementelor de mai sus, atunci un DPO ar trebui s? fie de ajutor. Dac? ave?i deja un DPO existent, acesta ar trebui s? se concentreze pe în?elegerea rolul s?u ?i pe eficientizarea activit??ii în companie. De asemenea, nu trebuie s? uita?i despre notificarea ANSPDCP-ului cu privire la desemnarea DPO-ului.

4. Efectua?i evalu?ri frecvente ale impactului asupra vie?ii private

Întreprinderile ar trebui s? realizeze un astfel de audit pentru orice nou proiect major care implic? prelucrarea de date cu caracter personal. De exemplu, vom avea nevoie de o astfel de evaluare atunci când:

  • implementa?i noi sisteme IT
  • realiza?i site-uri noi
  • introduce?i sisteme noi de management al datelor
  • schimba?i loca?ia birourilor
  • permite?i personalului s? lucreze de acas? / la distan??

Nu este cazul s? v? sim?i?i descuraja?i gândindu-v? c? o astfel de evaluare va fi costisitoare sau hiper-detaliat?; ea trebuie doar s?:

1. s? identifice riscurile pentru datele personale asociate proiectului

2. s? precizeze ce m?suri ar trebui s? fie luate pentru a reduce aceste riscuri

3. s? detalia?i cum ve?i reduce riscurile

Efectuarea periodic? a unei astfel de evalu?ri va contribui la asigurarea transferului responsabilit??ilor, mai ales în cazul în care personalul implicat poate p?r?si compania.

5. Aplica?i politici de p?strare ?i prelucrare a datelor

Întreprinderile ar trebui s? revizuiasc? în mod regulat arhivele, bazele de date ?i mesajele de po?t? electronic?. Asigura?i-v? c? datele cu caracter personal nu sunt ?inute mai mult timp decât a?i declarat ini?ial. Exist? motive întemeiate pentru care unele date sunt p?strate pentru perioade prelungite (de exemplu,acte financiar-contabile, state de salarii). Cu toate acestea, în cazul unei înc?lc?ri care implic? prelucr?ri de date cu caracter personal de-a lungul unei perioade de zece ani, dac? politica de p?strare a datelor a firmei afirm? c? aceste date vor fi ?terse dup? ?apte ani, a?i putea fi sanc?ionat de ANSPDCP. Asigura?i-v? c? politica dvs. este corect? ?i aplicat? uniform.

6. Documenta?i-v? riscurile

Asigura?i-v? c? documentele dumneavoastr? interne reflect? toate riscurile asociate cu GDPR ?i protec?ia datelor. Acestea ar trebui s? fie revizuite în mod regulat ?i actualizate ca parte a monitoriz?rii permanente a conformit??ii companiei cu GDPR. Din nou, este recomandat ca ?i aceast? revizuire s? aib? loc la fiecare sase luni, pentru a v? asigura c? respecta?i în continuare legile privind protec?ia datelor ?i lua?i în considerare orice noi orient?ri ale ANSPDCP.

7. Efectua?i teste regulate de penetrare a sistemelor informatice

Ar trebui s? v? asigura?i c? sistemele informatice ale firmei dvs. sunt testate în mod regulat. Testele ar trebui efectuate de un furnizor extern, pentru a evalua pe deplin orice riscuri asociate cu sistemele dumneavoastr? de comunica?ii electronice, inclusiv site – uri web, e-mail, servere, telefoane mobile sau dispozitivele pentru munca la distan??. Dac? apar probleme, ac?iona?i imediat ?i reduce?i la minimum riscurile identificate.

8. Examina?i practicile de lucru la distan??

Asigura?i-v? c? firma dvs. respect? cele mai bune practici în ceea ce prive?te munca de la distan??. De exemplu, personalul ar trebui s? ?tie s? nu foloseasc? Wi-Fi public gratuit, nici s? lucreze în cafenele sau în public transport (atunci când ecranul laptopului sau un fi?ier sensibil poate fi observat de c?tre persoana de lâng?).

9. Instrui?i-v? personalul

Firma dvs. ar trebui s? aib? un program de formare bine pus la punct, care ar trebui s? fie revizuit în mod regulat ?i prezentat tuturor angaja?ilor noi ca parte a instructajului lor ini?ial. În cadrul acestor activit??i aceast? formare, ar trebui s? oferi?i personalului o mul?ime de exemple pentru a le ajuta s? se identifice „ingineriile de social media”, cum ar fi phishing-ul, în cazul în care fraudatorii reprezint? o firm? sau o institu?ie public?. Re?ine?i c? astfel de atacuri nu se mai limiteaz? la e-mailuri, ci pot avea loc ?i prin social media, mesaj text sau alte forme de mass-media. Este notorie în?el?toria prin mesaje false care încearc? s?-i fac? pe oameni s? acceseze un link pentru a asculta aparent un mesagerie vocal?, în timp ce, de fapt, acest lucru ar instala malware sau ar permite accesul la PC sau la dispozitivul mobil.

10. Fi?i la curent cu cele mai recente prevederi legale ?i recomand?ri

În afar? de respectarea constant? a regulilor privind prelucrarea datelor, ar trebui s? ave?i o analiz? periodic? a activit??ii dumneavoastr? pentru a aborda noile probleme de reglementare pentru GDPR. În cadrul acestor analize ar trebui s? monitorizeze, printre altele, ?i actualiz?rile din partea Comitetului european pentru protec?ia datelor sau din partea ANSPDCP. De asemenea, trebuie s? fi?i la curent ?i cu ?tirile în leg?tur? cu GDPR provenite din activit??ile de control ale ANSPDCP.