Post on 28-Jan-2020
transcript
GDPR în acțiune
Claritate și consistență în protecția datelor personale
Drepturi de intimitate îmbunătățite
Îndatoriri crescute pentru protecția datelor
Obligativitatea raportării fiecărui data breach
Amenzi uriașe pentru non-compliance
General Data Protection Regulation (GDPR) impune noi reguli
asupra organizațiilor din UE și celor care oferă bunuri și servicii persoanelor aflate pe teritoriul UE sau care colectează și analizează date legate de acestea, indiferent de localizarea lor geografică.
Care sunt schimbările majore aduse de GDPR?
Intimitate
personală
Control și
notificări
Politici
transparente
Training
Organizațiile vor trebui să:
• Educe oameni care să se ocupe de privacy și să educe angajații
• Auditeze și să updatezepoliticile de date
• Angajeze un Data Protection Officer (dacă este necesar)
• Creeze și gestioneze
contracte cu vendorii
aliniate la GDPR
Organizațiile vor trebui să:
• Protejeze datele personale
folosind securitatea necesară
• Notifice autoritățile la orice
compromitere a datelor
personale
• Obțină consimțământul de
procesare a datelor
• Țină detaliile oricărei procesări
de date personale
Indivizii au dreptul să:
• Își acceseze datele
personale
• Corecteze erorile în
datele personale
• Șteargă datele personale
• Se împotrivească
procesării de date
personale
• Exporte datele personale
Organizațiilor li se cere să:
• Ofere detalii relevante pentru colectarea de date
• Detalieze necesitățile de procesare
• Definească politici de reținere a datelor și de ștergere a lor
Principii – datele personale vor fi
1 Procesate legal, corect, într-un mod transparent
2 Colectate pentru scopuri specifice, explicite și legitime
3 Adecvate, relevante și limitate la strictul necesar
4 Corecte, și unde este nevoie, reîmprospătate
5 Reținute doar atât cât este nevoie
6 Procesate într-un mod în care securitatea să fie menținută
• Procesarea este legală dacă UNA din condițiile următoare este îndeplinită:• persoana vizată şi-a dat consimţământul
• prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte;
• prelucrarea este necesară în vederea îndeplinirii unei obligații legale;
• prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate;
• prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public;
• prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Articolul 6
De unde încep?
Identifică ce date personale ai și unde stauDescoperă1
Cum se folosesc datele personale și cum sunt
accesateGestionează2
Identificarea riscurilor în activitățile de
prelucrare a datelor și înlăturarea/ scăderea
acestora
Protejează3
Ține documentația, gestionează cererile de date și
notificările de atacRaportează4
DA• Luați prelucrarea datelor cu caracter personal
în serios
• Pregătiți-vă angajații
• Identificați și analizați toate prelucrările de date cu caracter personal din organizație
• Mai ales cele care NU PAR a fi prelucrări de date cu caracter personal
• Discutați cu toți furnizorii și partenerii; conformitatea cu GDPR este un joc de echipă
• Revizuiți trimestrial practicile/ problemele/ detaliile/ noile prelucrări
• Respectați codurile de conduită
• Respectați politicile de securitate ale organizației
• Ridicați orice suspiciune legată de prelucrarea datelor cu caracter personal
NU• Nu presupuneți
• Nu cereți împuterniciților să facă prelucrări de date cu caracter personal fără a avea completată anexa
• Nu trimiteți date cu caracter personal pe medii nesigure
• Nu pierdeți din vedere posibilitatea „accidentelor” – trimiteri de emailuri către persoane greșite, laptop-uri deblocate, pierderi de memory stick-uri
• Nu acționați fără o analiză detaliată (mai ales la cererile de ștergere de date)
• Nu vă luați după ce fac „CEILALȚI”
Mulțumesc!