DATA PROTECTION OFFICER (DPO) - ibr-rbi.ro · GDPR – General Data Protection Regulation...
Transcript of DATA PROTECTION OFFICER (DPO) - ibr-rbi.ro · GDPR – General Data Protection Regulation...
GDPR – General Data Protection Regulation
DATA PROTECTION OFFICER (DPO)
desemnare
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
București, 17 octombrie 2017
Responsabilul cu protecția datelor - art.37
Desemnare DPO obligatorie
autoritate sau un organism public, cu excepția instanțelor care
acționează în exercițiul funcției lor jurisdicționale
activitățile principale constau în operațiuni de prelucrare care, prin natura,
domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică
și sistematică a persoanelor vizate pe scară largă
activitățile principale constau în prelucrarea pe scară largă a unor
categorii speciale de date sau a unor date cu caracter personal privind
condamnări penale și infracțiuni
operator
persoana împuternicită de către oerator
GDPR – General Data Protection Regulation
Principiul responsabilității - art.5 alin.(2) GDPR
Responsabilul cu protecția datelor - art.37
DPO
“piatra de temelie” în scopul respectării principiului responsabilității
facilitează conformitatea cu GDPR
“Operatorul este responsabil de respectarea
principiilor legate de prelucrarea datelor cu caracter
personal și poate demonstra această respectare
(„responsabilitate”)”
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele
prelucrate în mod legal, echitabil și transparent față de persoana vizată
colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri
adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate
exacte și, în cazul în care este necesar, să fie actualizate
prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare
Responsabilul cu protecția datelor - art.37
principiile legate de prelucrarea datelor cu caracter personal - art.5 GDPR
Datele trebuie să fie
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Responsabilul cu protecția datelor - art.37
să dovedească îndeplinirea acestor măsuri și să verifice eficacitatea acestora
consolidarea rolului operatorului
sporirea responsabilității acestuia
definirea și aplicarea măsurilor adecvate și eficace în vederea garantării respectării
principiilor
DPO
Principiul responsabilității - art.5 alin.(2) GDPR
facilitează conformitatea cu GDPR
intermediar între diferiți actori (Autoritatea Națională de Supraveghere,
persoane vizate, entități din cadrul organizației)
desemnare DPO = standard de bune practici - diligență
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Responsabilul cu protecția datelor - art.37
Activități principale
activități care privesc funcțiile de bază ale operatorului / persoanei
împuternicite
trebuie să presupună prelucrări de date cu caracter personal
privește inclusiv persoana împuternicită de operator
EXPRESII
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Responsabilul cu protecția datelor - art.37
EXPRESII
scară largă considerentul 91
care au drept obiectiv prelucrarea unui volum considerabil de date cu
caracter personal la nivel regional, național sau supranațional, care ar
putea afecta un număr mare de persoane vizate și care sunt
susceptibile de a genera un risc ridicat, de exemplu, din cauza
sensibilității lor, în cazul în care, în conformitate cu nivelul atins al
cunoștințelor tehnologice, se folosește la scară largă o tehnologie
nouă, precum și altor operațiuni de prelucrare care generează un risc
ridicat pentru drepturile și libertățile persoanelor vizate, în special în
cazul în care operațiunile respective limitează capacitatea persoanelor
vizate de a-și exercita drepturile
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Responsabilul cu protecția datelor - art.37
Monitorizare periodică și sistematică
orice formă de supraveghere sau profilare prin intermediul internetului,
inclusiv pentru monitorizare comportamentală în scop de marketing nu se limitează doar la mediul on-line
Considerent 24 ipoteza 2 Pentru a se determina dacă o activitate de prelucrare poate fi
considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se
stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare
ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în
crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la
aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale,
comportamentele și atitudinile acesteia.
EXPRESII
se desfasoara in mod constant sau periodic; este recurenta; se repeta la
intervale fixe de timp
este prearanjata, organizata sau metodica, se desfasoara potrivit unui
sistem si/sau se desfasoara ca parte a unei strategii
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Responsabilul cu protecția datelor - art.37
DPO desemnare
analiză internă
poate fi cerut / impus de Autoritatea Națională de Supreveghere
are natură juridică distinctă
poate fi creat în măsura în care organizația dezvoltă noi funcții
rezultă din statutul acestuia în cadrul organizației, poziție sau funcții
entitatea poate să desemneze o persoană care să gestioneze materia,
fără a fi însă DPO dacă nu îndeplinește condițiile exprese ale GDPR
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Desemnare
Responsabilul cu protecția datelor - art.37
desemnare DPO
un grup de întreprinderi poate numi un responsabil cu protecția datelor
unic, cu condiția ca responsabilul cu protecția datelor să fie ușor accesibil
din fiecare întreprindere
alin.(4) - desemnarea voluntară sau în temeiul dreptului Uniunii sau
dreptului intern (pot să prevadă desemnarea DPO și în alte cazuri
decât cele prevăzute expres de GDPR)
membru al personalului
în baza unui contract de servicii
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Condiții
Responsabilul cu protecția datelor - art.37
desemnare DPO
calități profesionale
cunoștințe de specialitate în dreptul și practicile din domeniul
protecției datelor
capacitatea de a îndeplini sarcinile prevăzute de GDPR
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Responsabilul cu protecția datelor - art.37
DPO
nu este responsabil în caz de neconformitate a prelucrărilor cu GDPR
operatorul sau persoana împuternicită de operator sunt repsonsabili
pentru conformitatea prelucărilor cu GDPR (art.24 alin.1)
trebuie să beneficieze de suficientă autonomie și de resursele necesare
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
obligații pentru operator / împuternicit
Responsabilul cu protecția datelor - art.38
Funcția DPO
să implice DPO în mod corespunzător și în timp util în toate aspectele
legate de protecția datelor cu caracter personal
să sprijine responsabilul cu protecția datelor în îndeplinirea sarcinilor
nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea
sarcinilor
resurse necesare
accesarea datelor cu caracter personal și a operațiunilor de prelucrare
instruire - menținerea cunoștințelor de specialitate
răspunde direct în fața celui mai înalt nivel al conducerii
contact direct cu persoanele vizate
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Responsabilul cu protecția datelor - art.39
DPO – obligații și responsabilități
informarea si
consilierea
monitorizarea respectarii
legislatiei
furnizarea de consiliere
(DPIA)
cooperarea cu Autoritatea
Nationala de Supraveghere
punct de contact pentru ANS
•operatorului
•imputernicitului
•angajatilor
•consultare prealabila
•consultare
București, 17 octombrie 2017
GDPR – General Data Protection Regulation
Intrebări?
Mulțumesc pentru atenție
București, 17 octombrie 2017