1. Ce noută i aduce GDPR i care esteț ș
impactul acestuia asupra companiilor din
România?
Câteva responsabilită i i obliga ii pentruț ș ț
firme
9 mai 2017, Webcast Oracle Bogdan Manolea
2. GDPR
GDPR – General Data Protection Regulation – Regulamentul
general privind protec ia datelor – Regulamentul UE 2016/679ț
Directă aplicare în legisla ia internă (va înlocui legeaț
677/2001)
Domeniul larg de aplicare – orice persoană (fizică sau juridică)
care prelucrează date cu caracter personal
Sanc iuni impresionanteț
Până la 10 milioane euro sau 2% din cifra de afaceri
Până la 20 milioane euro sau 4% din cifra de afaceri
3. Domeniu de aplicare
date cu caracter personal - orice informa ii privind oț
persoană fizică identificată sau identificabilă („persoana
vizată”); o persoană fizică identificabilă este o persoană
care poate fi identificată, direct sau indirect, în special prin
referire la un element de identificare, cum ar fi un nume,
un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente
specifice, proprii identită ii sale fizice, fiziologice, genetice,ț
psihice, economice, culturale sau sociale
4. Noută i pentru Româniaț
Fără notificare/înregistrare
Principiul “one stop shop”
Responsabilitate i conformare (ș compliance)
Data protection by design and by default (începând cu
momentul conceperii i în mod implicit)ș
Notificarea pentru încălcarea securită iiț
Responsabilul pentru protec ia datelorț
Evaluarea de impact asupra protec iei datelor personaleț
Coduri de conduită i certificareș
5. GDPR - Notificarea
Notificarea privind încălcarea securită ii datelor personaleț
În cazul în care are loc o încălcare a securită ii datelor cuț
caracter personal, operatorul notifică acest lucru (...), fără
întârzieri nejustificate i, dacă este posibil,ș în termen de cel
mult 72 de ore de la data la care a luat cuno tin ă deș ț
aceasta (…)
„încălcarea securită ii datelor cu caracter personal”ț
înseamnă o încălcare a securită ii care duce, în modț
accidental sau ilegal, la distrugerea, pierderea, modificarea,
sau divulgarea (...), sau la accesul neautorizat la acestea;
6. GDPR – Notificarea (2)
Notificarea privind încălcarea securită ii datelorț
personale:
Către Autoritate (ANSPDCP)
Sau către persoanele vizate, daca “este
susceptibilă să genereze un risc ridicat pentru
drepturile i libertă ile persoanelor fizice”ș ț
Excep ie: criptarea (sau alte măsuri tehnice similare)ț
sau riscul ridicat nu mai este susceptibil să se
materializeze;
7. GDPR - securitate
Securitatea prelucrării (art 32)
(1) Având în vedere stadiul actual al dezvoltării, costurile
implementării i natura,ș domeniul de aplicare, contextul iș
scopurile prelucrării, precum iș riscul cu diferite grade de
probabilitate i gravitate pentru drepturile i libertă ileș ș ț
persoanelor fizice, operatorul i persoana împuternicită deș
acesta implementează măsuri tehnice i organizatoriceș
adecvate în vederea asigurării unui nivel de securitate
corespunzător acestui risc, incluzând printre altele, după caz:
8. GDPR - securitate
Deci poate include (art 32)
(a) pseudonimizarea iș criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confiden ialitatea, integritatea,ț
disponibilitatea i rezisten a (ș ț resilience) continue ale sistemelor iș
serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter
personal i accesul la acestea în timp util în cazul în care are loc unș
incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea i aprecierea periodiceș
ale eficacită ii măsurilor tehnice i organizatorice pentru aț ș
garanta securitatea prelucrării.
9. GDPR – securitate (2)
Aderarea la un cod de conduită aprobat (Art
40), sau la un mecanism de certificare aprobat
(Art 42) poate fi utilizată ca element prin care
să se demonstreze îndeplinirea cerin elor deț
securitate
