GDPR la un an și jumătate

Prezentarea pe tema: "GDPR la un an și jumătate"— Transcriere de prezentare:

1 GDPR la un an și jumătate
Tudor Galos Senior Consultant

2 Privacy Compliance GDPR Audit Privacy Consulting
Data Inventory Management Privacy Impact Assessment Data Protection Policies Risk Management Data Breach Management Access Request Management Privacy Trainings Privacy Notifications Compliance Reports

3 Problema 1: Informare versus consimțământ
Condiții pentru informarea persoanelor vizate: trebuie să fie concisă, transparentă, inteligibilă și ușor accesibilă; trebuie să fie utilizat un limbaj clar și simplu; cerința privind un limbaj clar și simplu este deosebit de importantă atunci când se furnizează informații pentru copii; aceasta trebuie să fie asigurată în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic; în cazul în care este solicitată de către persoana vizată, aceasta poate fi furnizată oral; trebuie asigurată, în general, cu titlu gratuit. Consimțământ Definiția din art 4: orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate; Relația angajator – angajat nu permite „voința liberă”.

4 Problema 2: Imagini CCTV Poze și filmări
Cele mai multe plângeri depuse au fost datorită CCTV. Risc ridicat de violare a intimității angajaților (art 8 CEDO) dar și a altor drepturi: art 9 CEDO – dreptul la conștiință și religie, art 10 CEDO – libertatea de expresie, art 11 CEDO – dreptul la asociere. Se recomandă crearea unui DPIA. Poze și filmări Nu orice om arată bine în fotografii. Scenarii posibile: Poza pe badge – în temeiul interesului legitim se poate pune poza pe badge (reducerea riscurilor de acces neautorizat în firmă). Poza la evenimente – se poate utiliza temeiul interesului legitim însă trebuie să se permită participanților să refuze să fie în aceste poze. Obligatoriu se vor alege doar cadre în care oamenii arată bine. Poze pentru campanii „employer branding” – se recomandă utilizarea interesului legitim al organizației de a se promova prin intermediul angajaților săi.

5 Problema 3: Exercitarea drepturilor
Incidență mare de cerere de ștergere și acces. Trebuie GĂSITE toate datele cu caracter personal (inclusiv documente, e- mail-uri, notificări etc). Trebuie ELIMINATE alte date cu caracter personal sau date confidențiale din răspunsul dat persoanei vizate! Trebuie DOCUMENTATĂ cererea și tratarea cererii. Fără o arhivă digitală șansa de a răspunde corect în 30 de zile la o solicitare este infimă. !!!ATENȚIE – clienții nesatisfăcuți depun cele mai multe solicitări!!!

6 Problema 4: Furnizori Furnizori standard: PSI/SSM, HR ext, agenția de recrutare, REVISAL, salarizare, medicina muncii, agenția de marketing etc. Ce este fiecare? Operator asociat. Operator independent. Persoană împuternicită. Atenție la Cloud Computing Vendorul de cloud de cele mai multe ori este operator asociat. Trebuie semnată o anexă de prelucrare a datelor operator – operator asociat în care trebuie detaliate prelucrările și responsabilitățile fiecărui operator, modul de exercitare a drepturilor persoanelor vizate etc. Trebuie redactată și o versiune „consumer ready” a anexei care să expună principalele aspecte

7 Problema 5: Numere de identificare națională
Legea 190/2018, art 4 (2)Prelucrarea unui număr de identificare național în scopul realizării intereselor legitime urmărite de operator sau de o parte terță, se efectuează cu instituirea de către operator a următoarelor garanții: a)punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal. b)numirea unui responsabil pentru protecția datelor c)stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii; d)instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

8 Problema 6: Responsabilizarea angajaților
Responsabilizare legală: APD.CIM, Politica internă de prelucrare a datelor (addendum la ROI). Politica de securitate IT, politica de acces la date, politica de arhivare etc. Training-uri in-person. Training-uri online. Testări periodice. Newsletter intern.

9 DO’s DONT’s Luați prelucrarea datelor cu caracter personal în serios.
Identificați și analizați toate prelucrările de date cu caracter personal din organizație. Mai ales cele care NU PAR a fi prelucrări de date cu caracter personal. Discutați cu toți furnizorii, distribuitorii, partenerii; conformitatea cu GDPR este un joc de echipă. Revizuiți trimestrial practicile/ problemele/ detaliile/ noile prelucrări. Respectați politicile de securitate ale organizației. Ridicați orice suspiciune legată de prelucrarea datelor cu caracter personal. Înainte de o campanie agreați cu agenția delimitările operatorului vs împuternicit și completați anexa de prelucrare a datelor cu caracter personal. DONT’s Nu presupuneți. When you assume you make an ass of you and me. Nu cereți împuterniciților să facă prelucrări de date cu caracter personal fără a avea completată anexa. Nu trimiteți date cu caracter personal pe medii nesigure. Nu ignorați procedurile de securitate ale organizației. Nu așteptați după HQ să primiți ghiduri și prezentări despre GDPR. Act now! Nu acționați fără o analiză detaliată (mai ales la cererile de ștergere de date). Nu vă luați după ce fac „CEILALȚI”.

10 Contactați-ne contact@tudorgalos.ro 0740.104.779 www.tudorgalos.ro
LinkedIn: tudorgalos ( Facebook: tudorgalos ( Facebook: tudorgconsulting (

11 Mulțumesc!