prezentare introductiva gdpr
TRANSCRIPT
Ce noută i aduce GDPR i care este ț șimpactul acestuia asupra companiilor din
România?
Câteva responsabilită i i obliga ii pentru ț ș țfirme
9 mai 2017, Webcast Oracle Bogdan Manolea
GDPR
GDPR – General Data Protection Regulation – Regulamentul general privind protec ia datelor – Regulamentul UE 2016/679 ț
Directă aplicare în legisla ia internă (va înlocui legea ț677/2001)
Domeniul larg de aplicare – orice persoană (fizică sau juridică) care prelucrează date cu caracter personal
Sanc iuni impresionanteț Până la 10 milioane euro sau 2% din cifra de afaceri Până la 20 milioane euro sau 4% din cifra de afaceri
Domeniu de aplicare
date cu caracter personal - orice informa ii privind o țpersoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identită ii sale fizice, fiziologice, genetice, țpsihice, economice, culturale sau sociale
Noută i pentru Româniaț
Fără notificare/înregistrare Principiul “one stop shop” Responsabilitate i conformare (ș compliance)
Data protection by design and by default (începând cu momentul conceperii i în mod implicit)ș
Notificarea pentru încălcarea securită iiț Responsabilul pentru protec ia datelorț Evaluarea de impact asupra protec iei datelor personaleț Coduri de conduită i certificareș
GDPR - Notificarea
Notificarea privind încălcarea securită ii datelor personaleț În cazul în care are loc o încălcare a securită ii datelor cu ț
caracter personal, operatorul notifică acest lucru (...), fără întârzieri nejustificate i, dacă este posibil, ș în termen de cel mult 72 de ore de la data la care a luat cuno tin ă de ș țaceasta (…)
„încălcarea securită ii datelor cu caracter personal” țînseamnă o încălcare a securită ii care duce, în mod țaccidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea (...), sau la accesul neautorizat la acestea;
GDPR – Notificarea (2)
Notificarea privind încălcarea securită ii datelor țpersonale:
Către Autoritate (ANSPDCP) Sau către persoanele vizate, daca “este
susceptibilă să genereze un risc ridicat pentru drepturile i libertă ile persoanelor fizice”ș ț Excep ie: criptarea (sau alte măsuri tehnice similare) ț
sau riscul ridicat nu mai este susceptibil să se materializeze;
GDPR - securitate
Securitatea prelucrării (art 32)
(1) Având în vedere stadiul actual al dezvoltării, costurile implementării i natura, ș domeniul de aplicare, contextul i șscopurile prelucrării, precum i ș riscul cu diferite grade de probabilitate i gravitate pentru drepturile i libertă ile ș ș țpersoanelor fizice, operatorul i persoana împuternicită de șacesta implementează măsuri tehnice i organizatorice șadecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
GDPR - securitate
Deci poate include (art 32)
(a) pseudonimizarea i ș criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confiden ialitatea, integritatea, țdisponibilitatea i rezisten a (ș ț resilience) continue ale sistemelor i șserviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal i accesul la acestea în timp util în cazul în care are loc un șincident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea i aprecierea periodice șale eficacită ii măsurilor tehnice i organizatorice pentru a ț șgaranta securitatea prelucrării.
GDPR – securitate (2)
Aderarea la un cod de conduită aprobat (Art 40), sau la un mecanism de certificare aprobat (Art 42) poate fi utilizată ca element prin care să se demonstreze îndeplinirea cerin elor de țsecuritate
Mul umescț
9 mai 2017 Bogdan Manolea