Arhive GDPR - Battlegroup

Etichetă: GDPR

Actiuni de control la nivel european pentru desemnarea si rolul Responsabilului Cu Protectia Datelor (DPO)

De curând, a fost lansată de către Autoritatea Europeană pentru Protecția Datelor (European Data Protection Board – EDPB) o acțiune coordonata de control, la nivel european, pentru analiza modului de respectare a prevederilor GDPR cu privire la desemnarea și rolul Responsabililor Cu Protecția Datelor (DPO). Această inițiativă își propune să asigure conformitatea cu prevederile Regulamentului General privind Protecția Datelor (GDPR) și să promoveze practici eficiente de protecție a datelor în Uniunea Europeană (UE). Nerespectarea acestor dispoziții poate duce la consecințe grave pentru operatorii de date personale, inclusiv sancțiuni financiare semnificative și daune aduse reputației și imaginii acestora. 

EDPB, prin anunțul său recent disponibil online la adresa https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en, subliniază importanța respectării obligațiilor legate de desemnarea și rolul DPO. În conformitate cu GDPR, majoritatea organizațiilor trebuie să numească un DPO pentru a-și supraveghea activitățile de protecție a datelor. Aceste organizații includ autorități publice, entități private implicate în prelucrarea pe scară largă a datelor cu caracter personal sau cele care prelucrează date personale sensibile sau date legate de condamnări penale si infracțiuni. DPO acționează ca un consilier cheie în chestiunile legate de protecția datelor și se asigură că organizația își îndeplinește obligațiile conform GDPR.

În plus, ca parte a cadrului coordonat de punere în aplicare anunțat de Autoritatea Europeană pentru Protecția Datelor (EDPB), toate cele 26 de autorități de supraveghere din toate statele membre ale UE vor utiliza diferite metode pentru a verifica respectarea dispozițiilor art. 37-39 GDPR privind desemnarea și rolul DPO. Aceste mecanisme de control pot include, dar nu se limitează la:

– Audituri privind protecția datelor: autoritățile de supraveghere pot efectua audituri cuprinzătoare pentru a evalua conformitatea unei organizații cu obligațiile de protecție a datelor, inclusiv desemnarea și rolul corect al DPO. Aceste audituri pot implica revizuirea documentației, desfășurarea de interviuri și verificarea măsurilor tehnice și organizatorice în vigoare.

– Soluționarea sesizărilor: plângerile formulate de persoane sau organizații cu privire la potențiala nerespectare a dispozițiilor referitoare la DPO vor fi investigate. Aceste plângeri pot declanșa anchete din partea autorităților de supraveghere, care pot solicita informații relevante, pot examina procesele și pot evalua eficacitatea implicării și autorității DPO în cadrul organizației.

– Investigații oficiale: autoritățile de supraveghere pot efectua investigații ale organizațiilor, la fața locului sau online, pentru a evalua conformitatea cu cerințele de protecție a datelor. În timpul acestor inspecții, se va evalua caracterul adecvat al rolului și responsabilităților DPO, asigurându-se că aceștia sunt împuterniciți în mod adecvat și independenți în luarea deciziilor.

– Obligații de raportare: organizațiilor li se poate solicita să furnizeze rapoarte și actualizări regulate autorităților de supraveghere cu privire la desemnarea unui DPO, la rolul și acțiunile întreprinse pentru asigurarea conformității. Aceste rapoarte pot include detalii despre activitățile DPO, resursele alocate acestora de către operatori și orice provocări cu care se confruntă în îndeplinirea eficientă a rolului lor.

– Cooperarea între autoritățile de supraveghere: cadrul coordonat de aplicare promovează colaborarea și schimbul de informații între autoritățile de supraveghere din UE. Acest lucru facilitează schimbul de bune practici, permite evaluări transfrontaliere ale conformității și consolidează efortul colectiv de aplicare.

 

 

Nerespectarea dispozitiilor legale referitoare la DPO poate avea urmatoarele consecinte:

Consecințe juridice:

– Amenzi și sancțiuni: Nerespectarea poate duce la amenzi administrative substanțiale, care se pot ridica la un procent din cifra de afaceri globală anuală sau o sumă fixă, în funcție de gravitatea încălcării.

– Proceduri legale: organizația poate face obiectul unor acțiuni legale, investigații și reclamații din partea persoanelor ale căror drepturi au fost încălcate din cauza măsurilor inadecvate de protecție a datelor.

Daune reputaționale:

– Pierderea încrederii: Nerespectarea poate eroda încrederea clienților, colaboratorilor și partenerilor, ceea ce duce la un impact negativ asupra reputației organizației și la pierderea potențială a oportunităților de afaceri.

– Expunere in mass-media: expunerea publică a neconformității poate atrage o atenție semnificativă a mass-media, rezultând o publicitate negativă care poate fi dificil de contracarat.

Perturbare operațională:

– Controlul autorităților: Nerespectarea poate declanșa investigații și audituri de către autoritățile de protecție a datelor, provocând posibil întreruperi în operațiunile obișnuite de afaceri.

– Acțiuni de remediere: organizației i se poate cere să implementeze măsuri suplimentare sau să investească resurse materiale si umane pentru a remedia neconformitatea, alocând timp și efort prețios de la activitățile de bază ale afacerii.

Pentru a evita aceste rezultate negative, încurajăm cu tărie să evaluați obligațiile organizației în temeiul GDPR și să realizați următoarele acțiuni:

– Desemnarea unui DPO: dacă organizația dvs. se încadrează în criteriile subliniate de GDPR, asigurați-vă că ați desemnat un responsabil cu protecția datelor calificat și independent. DPO ar trebui să aibă experiență în legislația și practicile privind protecția datelor și să își poată îndeplini sarcinile fără existența unui conflicte de interese.

– Rolul DPO: Oferiți DPO resursele, autoritatea și independența necesare pentru a-și îndeplini responsabilitățile în mod eficient. Asigurați-vă că are acces direct la conducerea superioară a organizației și este implicat în toate problemele legate de prelucrarea datelor cu caracter personal.

– Cadrul de conformitate: Dezvoltați și implementați politici, proceduri și controale solide de protecție a datelor care se aliniază cu cerințele GDPR. Examinați și actualizați în mod regulat aceste măsuri pentru a aborda riscurile emergente și schimbările în activitățile de prelucrare a datelor.

– Instruire și conștientizare: Concepeți programe de formare cuprinzătoare pentru angajați, subliniind importanța protecției datelor și rolul acestora în protejarea datelor cu caracter personal. Promovați o cultură a confidențialității și a conștientizării protecției datelor în întreaga organizație.

– Documentare și înregistrări: mențineți înregistrări detaliate ale activităților de prelucrare a datelor ale organizației dvs., inclusiv evaluările impactului privind protecția datelor și orice decizii relevante luate. Aceste înregistrări ar trebui să demonstreze eforturile de conformare și să fie ușor disponibile in cazul unui control al autorității de supraveghere.

– Monitorizați și revizuiți: evaluați în mod continuu practicile de protecție a datelor ale organizației dvs. pentru a identifica și a remedia cu promptitudine orice lacune de conformitate. Examinați-vă în mod regulat politicile, procedurile și măsurile tehnice pentru a vă asigura că rămân actualizate și eficiente.

Dacă aveți nevoie de mai multe informații sau îndrumări, vă rugăm să nu ezitați să contactați echipa noastră de protecție a datelor prin e-mail sau telefon folosind datele din pagina Contact.

Brexit : GDPR se va aplica in Marea Britanie pâna la 1 iulie 2021

Începând de la 1 ianuarie 2021, Regatul Unit a părăsit definitiv Uniunea Europeana, prin finalizarea perioadei de tranzitie post-Brexit. Separarea Marii Britanii de blocul comunitar aduce numeroase schimbari si din prisma legislatiei din domeniul protectiei datelor personale.

Prin încheierea acordului comercial si de cooperare din 24 decembrie 2020 între Regatul Unit si Uniunea Europeana, a fost reglementata situatia fluxurilor de date catre Regatul Unit, care a devenit, prin urmare, o tara terta fata de Spatiul Economic European. Acest acord prevede, printre altele, ca Regatul Unit va continua sa aplice Regulamentul european privind protectia datelor (GDPR) pentru o perioada suplimentara de maxim 6 luni (deci cel mult pâna la 1 iulie 2021). În consecinta, în aceasta perioada, orice comunicare de date cu caracter personal din UE/SEE catre Regatul Unit poate avea loc în conformitate cu aceleasi reguli valabile pâna la 31 decembrie 2020 si nu va fi considerata un transfer de date catre o tara terta.

Suplimentar, Comisia Europeana si guvernul Regatului Unit s-au angajat, din nou în temeiul acordului comercial, sa încerce adoptarea de decizii de adecvare reciproce, care sa permita continuarea fluxurilor de date fără întrerupere, chiar si dupa perioada de tranzitie mentionata mai sus. În caz contrar, se vor aplica toate prevederile capitolului V din GDPR, care presupun existenta unor garantii adecvate de securitate (clauze contractuale standard, reguli corporative obligatorii, acorduri administrative, certificari, coduri de conduita) pentru a transfera date din UE si/sau din SEE catre o tara terta inadecvata sau permite unele exceptii în absenta garantiilor adecvate (consimtamântul explicit al persoanei vizate, interesul public al unui stat membru al SEE etc.).

În ceea ce priveste orice litigii sau reclamatii transfrontaliere în domeniul protectiei datelor cu operatorii de date sau procesatori stabiliti în Regatul Unit, de la 1 ianuarie 2021, Regatul Unit nu va mai aplica mecanismul „ghiseu unic” (one stop shop) care guverneaza aceste dispute între tarile SEE. În esenta, persoanele fizice sau juridice din Regatul Unit nu vor mai putea beneficia de posibilitatea de a avea de-a face cu o singura autoritate „principala” (adica, autoritatea competenta pentru sediul principal sau unic din SEE) pentru diferitele obligatii prevazute de Regulamentul european.

Cel mai important, de la 1 ianuarie 2021, operatorii si procesatorii cu sediul în Regatul Unit care fac obiectul aplicarii GDPR în conformitate cu articolul 3 alineatul (2) trebuie sa desemneze un „reprezentant” în UE în conformitate cu prevederile articolului 27 din GDPR. Acest reprezentant poate fi contactat de catre autoritatiile de supraveghere si de catre persoanele vizate pentru orice probleme legate de activitatile de prelucrare a datelor; de asemenea, reprezentantul va avea si rolul de a asigura respectarea GDPR de catre operatorul de date personale din Marea Britanie.

De ce trebuie ?terse datele personale

Autoritatea danez? pentru protec?ia datelor Datatilsynet a aplicat recent prima sa amend? pentru înc?lcarea GDPR de c?tre compania de taxi Taxa 4 × 35 (Taxa), pentru p?strarea anumitor date ale clien?ilor pentru mai mult timp decât era necesar.

Înc?lcarea principiului minimiz?rii datelor personale

Autoritatea daneza a constatat c? societatea Taxa nu a respectat principiul minimiz?rii datelor GDPR prin re?inerea datelor cu caracter personal mult timp dup? limita de re?inere preconizat? pentru astfel de categorii de date. Taxa a eliminat numele ?i adresele clien?ilor dup? doi ani de re?inere, dar au p?strat numerele de telefon ale clien?ilor pentru înc? trei ani. Taxa a sus?inut c? numerele de telefon au reprezentat o parte esen?ial? a bazei sale de date IT ?i, prin urmare, nu au putut fi ?terse în acela?i timp.

Autoritatea de protec?ie a datelor nu a fost de acord cu justificarea c? o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de înc?lcare grav? a confiden?ialit??ii datelor. În plus, încerc?rile de anonimizare ale datelor de?inute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societ??ile s? fac? imposibil? conectarea anumitor informa?ii astfel încât sa nu poat? fi identificata o persoan? fizica. În ciuda ?tergerii numelor clien?ilor de la Taxa, informa?iile ce au r?mas în sistemul s?u informatic pot totu?i sa identifice persoanele vizate prin numerele de telefon.

Care este relevan?a sanc?iunii?

Autoritatea din Danemarca a aplicat o amend? de 1,2 milioane de coroane, adic? aproximativ 160,754 EUR. Aceasta reprezint? aproximativ 2,8% din cifra de afaceri anual? a companiei, ceea ce demonstreaz?, în esen??, disponibilitatea autorit??ilor de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amend? în Danemarca nu ar fi dep??it 25.000 de coroane (aproximativ 3.350 de euro). Aceast? amenda consistenta este legata de cantitatea mare de date despre clien?i de care compania nu a mai avut nevoie, ci a p?strat-o prea mult timp – ?i anume numere de telefon personale conectate la nou? milioane de c?l?torii de taxi. Decizia autorit??ii stabile?te, de asemenea, ?i un precedent, in sensul c? limit?rile organiza?ionale ale procedurilor ?i aplica?iilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-p?stra datele cu caracter personal. Companiile care se confrunt? cu astfel de limit?ri sunt nevoite s? exploreze alte solu?ii pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon ?i a informa?iilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sanc?iunea autorit??ii daneze este prima impus? în aceasta ?ar? pentru nerespectarea cerin?elor GDPR, dup? cum tot prima a fost ?i amenda din Polonia pentru înc?lcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de c?tre o companie a inform?rii persoanelor vizate cu privire la modul în care prelucreaz? datele lor personale, sau amenda-record aplicata în Fran?a gigantului Google, despre care am scris pe larg anterior.

Este evident c? aceast? list? de „prime sanc?iuni” este într-o continua cre?tere, în condi?iile în care autorit??ile de reglementare din UE vor folosi, f?r? îndoial?, practica recent? ca element definitoriu pentru viitoarele controale ?i sanc?iuni. Operatorii de date personale sunt nevoi?i astfel s? ?in? seama de sanc?iunile aplicate în întreaga UE pentru a aprecia consecin?ele înc?lc?rii GDPR ?i a începe s? adopte m?suri tehnice ?i organizatorice de protec?ie a datelor personale.

De ce chiar avem nevoie de GDPR: bazele publice de date

Existen?a companiilor care extrag informa?ii din bazele de date publice ?i ulterior le vând sau revând, într-o form? sau alta, publicului larg, nu reprezint? nicio noutate. Activitatea acestor companii se desf??oar? în cea mai mare parte în mediul online, prin intermediul diferitelor site-uri ?i portale, nefiind afectate (pân? acum) de legisla?ia european? privind protec?ia datelor personale.

Probabil c? v-a?i confruntat de numeroase ori cu diverse solicit?ri cu caracter comercial, provenite de la persoane ce justific? de?inerea datelor dumneavoastr? cu caracter personal ca fiind preluate din baze de date publice. Sau poate a?i fost pu?i în situa?ia de a cump?ra chiar de la aceste societ??i p?r?i din aceste baze de date, pentru diverse activit??i de marketing. Crede?i c? doar pentru faptul ca ele provin din registre publice, avem voie sa le folosim asa cum vrem? Think again.

Ce s-a întâmplat?

In 26 martie 2019, Autoritatea de supraveghere a prelucr?rii datelor personale din Polonia (UODO) a amendat o companie poloneza cu suma de 200.000 euro pentru înc?lcarea obliga?iei de informare a persoanelor fizice vizate. Compania în cauza prelucra datele a peste 6 milioane de persoane, date colectate în majoritate din Registrul Electronic Central al Activit??ilor Economice din Polonia, echivalentul Registrului Comer?ului din Romania. Prin decizia de sanc?ionare, s-a re?inut în esen?? faptul ca, de?i acele informa?ii proveneau din surse publice, compania amendata le folosea pentru activit??i comerciale, fapt ce genereaz? obliga?iile prevazute de GDPR în sarcina operatorului de date personale.

Autoritatea a verificat nerespectarea obliga?iei de informare cu privire la persoanele fizice care desf??oar? activit??i economice. Aceste persoane sunt atât antreprenorii care desf??oar? în prezent o astfel de activitate, sau au suspendat-o, precum ?i antreprenorii care au desf??urat o astfel de activitate în trecut. Operatorul de date personale ?i-a îndeplinit obliga?ia de informare furnizând informa?iile cerute de art. 14 alin. (1) – (3) din GDPR numai în privin?a persoanelor ale c?ror adrese de e-mail le-a avut la dispozi?ie. În cazul celorlalte persoane, operatorul nu a respectat obliga?ia de informare – a?a cum s-a explicat în cursul investiga?iei – din cauza costurilor opera?ionale ridicate. Prin urmare, s-a rezumat la a prezenta o clauz? de informare numai pe site-ul s?u web.

Ce a generat amenda?

În cazul de fa??, compania a prelucrat, printre alte tipuri de date, ?i adresele po?tale ?i numerele de telefon ale persoanelor vizate. Prin urmare, compania ar fi putut respecta obliga?ia de a furniza informa?ii persoanelor ale c?ror date sunt prelucrate prin folosirea oric?rei modalit??i de contact. Compania ?i-a justificat nerespectarea obliga?iei de informare prin costurile dispropor?ionate generate de transmiterea prin post? a unei inform?ri scrise c?tre toate persoanele vizate, îns? Autoritatea nu a luat în seam? aceste afirma?ii, motivând c? existau ?i alte modalit??i de aducere la îndeplinire a obliga?iei (n.r. prin telefon).

Importan?a acestei decizii de sanc?ionare este subliniat? ?i de modul în care s-a f?cut comunicarea public? a acesteia. Comitetul European pentru Protec?ia Datelor (EDPB) a publicat în mod direct comunicatul de pres? aferent, l?sând s? se întrevad? aplicabilitatea la nivelul întregii Uniuni Europene a concluziilor autorit??ii poloneze.

Ce trebuie s? re?inem?

  • Indiferent de sursa datelor personale, folosirea lor în scopuri comerciale f?r? respectarea cerin?elor GDPR va duce la sanc?iuni din partea autorit??ilor competente;
  • Obliga?ia de informare prevazut? de articolul 14 GDPR, cunoscut? în practica drept informarea din sursa indirect?, trebuie îndeplinit? indiferent de costurile pe care aceasta le-ar putea genera;
  • Nu este suficient? o informare efectuat? exclusiv prin afi?area pe site-ul propriu, aceasta fiind practic doar o completare a inform?rii adresate individual fiec?rei persoane fizice vizate.

 

Textul complet al comunicatului de pres? (în limba englez?): https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en

Datele personale ?i marketingul intre companii

Se aplic? GDPR în cazul activit??ilor de marketing între companii?

Da. GDPR se aplic? ori de câte ori prelucra?i date cu caracter personal. Aceasta înseamn? c?, dac? pute?i identifica o persoan? fizica fie direct, fie indirect, GDPR se va aplica – de?i ac?iona?i în calitate profesional?. De exemplu, dac? ave?i numele ?i num?rul unui contact de afaceri sau o adresa de e-mail de tipul nume.prenume@companie.com, se va aplica GDPR în privin?a acestor date personale. In schimb, GDPR se aplic? pentru c?r?ile de vizita care circula libere numai în m?sura în care inten?iona?i s? arhiva?i informa?iile con?inute sau s? introduce?i acele date într-un sistem informatic.

GDPR ne oblig? s? lu?m consim??mânt pentru marketing?

Nu întotdeauna. Consim??mântul este unul dintre temeiurile legale pentru prelucrarea datelor personale, dar exist? alternative. În special, poate fi folosit cu succes temeiul legal al interesului legitim al operatorului de date personale pentru a justifica o parte din marketingul de afaceri. Cu toate acestea, uneori ve?i avea nevoie de consim??mântul persoanei fizice vizate pentru a v? asigura c? respecta?i legisla?ia privind protec?ia vie?ii private în sectorul comunica?iilor electronice (Legea 506/2004).

Când ne putem baza pe interesul legitim pentru marketing?

V? pute?i baza pe interesul legitim al activit??ilor de marketing în m?sura în care pute?i sa face?i dovada faptului c? modul în care folosi?i datele persoanelor fizice vizate este propor?ional cu scopul urm?rit, ca are un impact minim asupra vie?ii private a persoanelor fizice, iar destinatarii comunic?rilor în scop de marketing vor putea întotdeauna s? se opun? la aceste prelucr?ri de date în scopuri de marketing.

Care sunt regulile pentru email-uri sau SMS-uri de marketing?

Persoanele fizice având calitatea de comercian?ii (PFA, II ?i IF), precum ?i anumite asocieri f?r? personalitate juridic?, sunt tratate de GDPR ca persoane fizice, astfel încât pute?i sa le trimite?i mesaje SMS sau e-mail fie dac? au consim?it în mod expres, fie dac? au cump?rat un produs similar în trecut ?i nu s-au opus la mesajele de marketing la acel moment. Trebuie s? include?i în corpul mesajului posibilitatea de oprire sau dezabonare.

Pute?i în schimb sa trimite?i comunic?ri de marketing prin e-mail sau SMS c?tre orice persoan? juridic? (societ??i, ONG-uri, etc), cu p?strarea dreptului acesteia de a v? solicita încetarea acestor transmisiuni.

Care sunt regulile privind apelurile telefonice de marketing?

Pute?i apela orice persoana fizica sau juridica care fi v-a furnizat direct datele de contact în acest scop sau a consim?it în mod special la apelurile dvs. – de exemplu, bifând o c?su?? de înscriere. De asemenea, pute?i efectua apeluri telefonice c?tre orice num?r f?cut public, dar numai dac? acesta nu s-a opus apelurilor dvs. în trecut.

Normele privind apelurile telefonice automate sunt mai stricte. Nu trebuie s? efectua?i un apel de marketing automatizat – adic? un apel efectuat de un sistem de apelare automat? care red? un mesaj înregistrat – cu excep?ia cazului în care compania a consim?it în mod expres s? primeasc? acest tip de apel de la dvs. Consim??mântul general pentru marketing sau chiar consim??mântul pentru apelurile obi?nuite nu este suficient – trebuie s? acopere în mod specific apelurile automate.

Cum lu?m un consim??mânt?

Consim??mântul trebuie acordat în mod liber; acest lucru înseamn? a oferi persoanelor vizate o alegere real? în permanen?? ?i un control asupra modului în care le utiliza?i datele. Consim??mântul trebuie s? fie explicit ?i necesit? o ac?iune pozitiv? din partea persoanei vizate. Solicit?rile de aprobare trebuie s? fie clare, prezentate separat de alte informa?ii (de exemplu, nu în cadrul unor termeni ?i condi?ii), concise ?i u?or de în?eles ?i u?or de utilizat. Consim??mântul trebuie s? indice în mod specific numele operatorului, datele de contact ale DPO-ului, scopul prelucr?rii ?i tipurile de activit??i de prelucrare.

Cel mai important, trebuie s? v? asigura?i c? persoanele vizate pot s?-?i retrag? consim??mântul oricând aleg s? fac? acest lucru.

Ce altceva ar trebui s? mai lu?m în considerare?

Trebuie s? comunica?i persoanelor vizate detalii despre ce anume face?i cu informa?iile pe care le de?ine?i. Acestea includ scopurile dvs. pentru prelucrarea datelor personale, temeiul legal de prelucrare, cât timp dori?i s? p?stra?i datele ?i cui or fi transmise datele personale. Obliga?ia operatorului de informare a persoanelor vizate se transpune într-un drept sine qua non al acestora din urm?, fiind expres reglementat? de articolul 13 GDPR ?i sanc?ionat? pentru neîndeplinire cu amenda maxim? prevazut? la articolul 83 alin. 5 GDPR.

Dac? v? baza?i pe interesul legitim pentru marketingul direct, dreptul persoanei de a se opune este absolut ?i trebuie s? opri?i prelucrarea atunci când cineva formuleaz? o opozi?ie.

Dac? v? baza?i pe consim??mânt, nu exist? posibilitatea persoanei de a se opune ca atare, îns? aceasta are dreptul s?-?i retrag? consim??mântul în orice moment. Trebuie s? opri?i prelucrarea datelor atunci când cineva î?i retrage consim??mântul.