Când trebuie instituțiile europene să realizeze o evaluare a impactului (DPIA)?

Administratie Publica

Vizualizari: 2102

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Europeană pentru Protecția Datelor (EDPS) a adoptat și a publicat astăzi, 17/07/2019, listele cu privire la tipurile de operațiuni de prelucrare care necesită o evaluare a impactului privind protecția datelor (DPIA) în temeiul articolului 39 din Regulamentul UE 2018/1725* privind protecția datelor pentru instituțiile UE, precum și cele care, la prima vedere, nu impun o DPIA.

 

Cine este EDPS?

Autoritatea Europeană pentru Protecția Datelor (EDPS) este autoritatea independentă pentru protecția datelor a Uniunii Europene (UE)

Ce reprezintă Regulamentul UE 1725/2018

*REGULAMENTUL (UE) 2018/1725 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE

 

EDPS a adoptat aceste liste după consultarea Comitetului european pentru protecția datelor (EDPB) pe listele de proiecte. Aceste liste oferă îndrumări suplimentare operatorilor din cadrul instituțiilor UE și completează responsabilitatea cu privire la documentarea operațiunilor de prelucrare pentru instituțiile, organele și agențiile UE. În conformitate cu orientările Grupului de lucru pentru articolul 29 privind DPIA, aprobate de EDPB, aceste liste oferă criterii pentru operatori pentru evaluarea necesității unei DPIA, sub rezerva faptului că aceste liste nu sunt exhaustive.

Ce este DPIA?

Asemeni GDPR-ului, Regulamentul 1725/2018 prevede faptul că instituțiile europene trebuie să realizeze o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal, înainte de a începe o prelucrare a datelor, atunci când un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este de natură să ducă la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice. [vezi Articolul 39 (1)]

Evaluare a impactului operațiunilor de prelucrare, cunoscută ca DPIA sau PIA, reprezintă un nou concept în regulamentul privind protecția datelor pentru instituțiile UE, preluând în oglindă dispoziții echivalente din GDPR. Procesul DPIA urmărește să ofere asigurări că operatorii abordează în mod adecvat riscurile de confidențialitate și protecția datelor legate de operațiunile de procesare "riscante". Prin furnizarea unui mod structurat de gândire a riscurilor pentru persoanele vizate și a modului de diminuare a acestora, DPIA ajută organizațiile să respecte cerințele de protecție a datelor încă din momentul proiectării (privacy by design), acolo unde este necesar cel mai mult, adică pentru operațiunile de prelucrare "riscante".

Care sunt elementele cheie pe care le lămurește acest ghid?

 

  • Lista criteriilor privind necesitatea DPIA (Anexa 1 a Ghidului)

EDPS a construit o listă de criterii (Anexa 1 a Ghidului), 9 la număr, care va oferi operatorilor o ușoară evaluare (da sau nu) a gradului de risc al operațiunilor de prelucrare. Fiecare punct al listei conține exemple elocvente de acționare sau nu a respectivului criteriu.

Conform ghidului, în general, operatorul ar trebui să efectueze DPIA dacă se aplică două sau mai multe criterii. Cu toate acestea, în cazul în care operatorul consideră că, într-un cazul specific, că riscurile nu sunt "ridicate" chiar dacă există mai mult de un criteriu care se aplică, operatorul va trebui să explice și să justifice motivul pentru care consideră că prelucrarea nu este de fapt "risc ridicat".

 

  • Lista unor operațiuni comune de procesare și indicarea la prima vedere a riscurilor acestora (Anexa 2 a Ghidului)

Lista pozitivă a operațiunilor de prelucrare care, la prima vedere, necesită o DPIA (numerele din paranteze se referă la criteriile din evaluarea a riscului din anexa 1, astfel de operațiuni de prelucrare vor declanșa cel mai probabil):

  • Baze de date de excludere (2, 4, 9);
  • Prelucrarea pe scară largă a categoriilor speciale de date cu caracter personal (cum ar fi supravegherea bolilor, farmacovigilența, bazele de date centrale pentru cooperarea în domeniul aplicării legii) (1, 4, 5, 8);
  • Analiza traficului pe internet, spargerea criptării (instrumente de prevenire a pierderilor de date) (1, 3, 8);
  • Instrumentele de recrutare electronică pre-selectarea / excluderea în mod automat a candidaților fără intervenție umană (1, 2, 8).

 

  • Lista neexhaustivă a unor operațiuni comune de procesare care nu necesită o DPIA (Anexa 3 a Ghidului)

Această lista orientativă cuprinde operațiunile de prelucrare care, la prima vedere, nu necesită o DPIA atunci când sunt efectuate de instituții, organisme, birouri și agenții ale Uniunii Europene care acționează ca operatori unici sau în comun:

  • Gestionarea dosarelor personale în conformitate cu articolul 26 din Statutul funcționarilor
  • Proceduri standard de evaluare a personalului în conformitate cu Statutul funcționarilor (evaluare anuală);
  • Evaluări standard 360 ° pentru a ajuta membrii personalului să elaboreze planuri de formare;
  • Proceduri standard de selecție a personalului;
  • Stabilirea drepturilor la intrarea în serviciu;
  • Gestionarea concediilor, a flexibilității și a muncii la distanță;
  • Sisteme standard de control al accesului (non-biometrice)
  • CCTV standard la o scară limitată (fără recunoaștere facială, acoperire limitată la punctele de intrare / ieșire, numai în incintă, nu în spațiul public).

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ANSPDCP a publicat Raportul activității sale în decursul anului 2018

Administratie Publica

Vizualizari: 676

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a publicat pe site-ul său un Raport al activității sale în decursul anului 2018.

Conform Raportului, în anul 2018, acțiunile Autorității au urmărit în mod special:
  • finalizarea adoptării cadrului normativ național în concordanță cu noile reglementări ale Uniunii Europene, prin implicare alături de instituțiile responsabile;
  • consolidarea capacității administrative interne prin luarea măsurilor necesare destinate aplicării noilor acte normative europene și naționale;
  • monitorizarea aplicării Regulamentului General privind Protecția Datelor și a celorlalte reglementări aplicabile în domeniu;
  • asigurarea conștientizării publice cu privire la noile reguli de prelucrare a datelor personale

Raportul de activitate pe anul 2018 al Autorității naționale de supraveghere, întins pe nu mai puțin de 116 pagini, a fost structurat în șapte capitole, după cum urmează:

  • Capitolul I asigură o prezentare sintetică a raportului pe principalele aspecte.
  • Capitolului al II-lea prezintă principalele aspecte reglementate prin acte normative adoptate la nivel european
  • Capitolul al III-lea cuprinde informații relevante referitoare la activitatea de avizare a proiectelor de acte normative şi la aceea de consultare referitoare la aplicarea regulilor de protecţie a datelor personale, inclusiv de clarificare a unor chestiuni semnalate de diverşi operatori.
  • Capitolul al IV-lea constă într-o prezentare a principalelor aspecte din activitatea de control, în privinţa investigaţiilor din oficiu şi a celor efectuate pe baza plângerilor ori sesizărilor primite.
  • Capitolul al V-lea prezintă activitatea de relaţii externe a Autorităţii naţionale de supraveghere.
  • Capitolul al VI-lea prezintă activitatea de supraveghere a prelucrărilor de date cu caracter personal cuprinde principalele concluziile rezultate din analizarea formularelor transmise de operatorii de date, persoane fizice şi juridice, care au avut obligaţia depunerii acestora.
  • Capitolul al VII-lea  conţine informaţii privind creditele bugetare puse la dispoziţia Autorităţii naţionale de supraveghere şi cheltuielile aferente.

Cele mei interesante cifre prezentate în Raport:

  • în anul 2018, au fost emise 778 de puncte de vedere, ca urmare a solicitărilor primite de la persoane fizice, persoane juridice de drept privat și de drept public, referitoare la aplicarea dispozițiilor reglementărilor naționale incidente, aproape dublu față de anul 2017
  • autoritatea a soluționat 7.114 solicitări din partea operatorilor de date cu caracter personal, reprezentate de notificări şi cereri prin care se solicita punctul de vedere sau clarificarea unor aspecte privind
    prelucrările de date cu caracter personal efectuate
  • cele mai multe solicitări au vizat prelucrarea datelor privind starea de sănătate, monitorizarea angajaților la locul de muncă, calitatea de operator, împuternicit sau operatori asociați, transferul datelor cu caracter personal într-un stat terț, prelucrarea datelor cu caracter personal de către asociațiile de proprietari în scopul supravegherii video
  • în urma investigațiilor efectuate au fost aplicate sancțiuni contravenționale constând în 56 amenzi și 124 avertismente. De asemenea, au fost aplicate o serie de măsuri corective
  • cuantumul total al amenzilor aplicate în 2018 a fost de 631.500 lei.
  • ulterior intrării în vigoare a Regulamentului au fost efectuate 64 de investigații din oficiu, ca urmare a notificării incidentelor de securitate, respectiv ca urmare a primirii de sesizări
  • după 25 mai 2018, au fost demarate 336 de investigații din oficiu, în aplicarea Regulamentului, 64 dintre acestea fiind finalizate prin transmiterea de recomandări operatorilor
  • autoritatea a primit un număr total de 312 notificări de încălcare a securității datelor cu caracter personal
  • media lunară (mai-decembrie) a notificărilor de încălcare a securității a fost de 42
  • 168 de notificări a încălcărilor de securitate au vizat sectorul public și 144 sectorul privat. Totodată, 286 de notificări reprezinta incidente de securitate la nivel național
  • numărul petițiilor soluționate: 4822 plângeri (față de 3543 în 2017), 176 sesizări, 33 de solicitări informații și 80 de alte petiții
  • după data de 25 mai 2018 au fost înregistrate 2922 de plângeri și 120 de sesizări.
  • pentru soluționarea plângerilor și sesizărilor primite, în anul 2018 au fost efectuate 625 de investigații, din care 604 de investigații în scris
  • în 82 cazuri investigațiile au fost finalizate prin încheierea unor procese verbale de constatare/sancționare la sediul instituției
  • au fost efectuate investigații pentru soluționarea unui număr de peste 1800 de plângeri considerate admisibile
  • în cursul anului 2018 au fost aplicate în total 120 de avertismente, dintre care un avertisment a fost stabilit după aplicarea Regulamentului
  • 7225 de operatori au comunicat Autorității responsabilii cu protecția datelor desemnați

Descărcă Raportul Autorității accesând butonul de mai jos:

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Poliția Română interzice utilizarea Whatsapp în interes de serviciu

Administratie Publica

Vizualizari: 4659

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Una rece, alta caldă

După ce am criticat modul în care Inspectoratul General al Poliției Române (IGPR) a întocmit caietul de sarcini al achiziției controversatului sistem de recunoaștere facială, a cărei legalitate este pusă la îndoială de membri societății civile, a venit momentul să trecem de cealaltă parte a baricadei și să salutăm o decizie corectă și foarte importantă, în opinia noastră.

            V-ar mai putea interesa și:

             Românii vor fi monitorizați de un sistem de recunoașterea facială

            ☑  Societatea civilă contestă legalitatea implementării tehnologiei de recunoaștere facială

            ☑  Noi amenzi GDPR: două instituții financiare din România sancționate

Fără Whatsapp, Messenger Facebook sau altele asemenea în interes de serviciu

Deși aveam dubii asupra faptului că IGPR este conștientă de existența unei legislații în materie de protecție a datelor, printr-o decizie făcută publică de Sindicatul Poliţiştilor Europeni Europol, şefii Poliţiei Române interzic transmiterea sarcinilor de serviciu prin intermediul aplicațiilor de tip Whatsapp, Messenger Facebook, Telegram etc.

Conform IGPR, utilizarea acestor aplicații în interes de serviciu reprezintă o încălcare a standardelor naționale de protecție a informațiilor clasificate dar și a Regulamentul general pentru protecția datelor cu caracter personal, având în vedere că multe dintre datele care erau transmise prin intermediul acestor aplicații erau date cu caracter personal.

Mai mult, încălcarea standardelor naționale de protecție a informațiilor clasificate poate conduce la măsura retragerii autorizației de informații clasificate a polițiștilor și implicit la încetarea raporturilor de serviciu, adică la concedierea acestora.

În realitate vorbim despre o nevoie de comunicare operativă, pe care polițiștii au suplinit-o prin diverse aplicații, tocmai pentru incapacitatea instituției de a oferi mijloace flexibile și eficiente de schimb a informațiilor și a datelor operative cu care lucrăm.” se arată în comunicat. 

Vezi aici decizia Poliței Române 

Am devenit dependenți de WhatsApp?

Este evidentă dependența tot mai accentuată de tehnologie. Orice aplicație care ne permite să economisim timp și energie este imediat adoptată fără a ne gândi la eventualele consecințe.

Cel mai bun exemplu pentru riscurile asociate utilizării unor astfel de aplicații a venit tot astăzi, când două instituții financiare din România au fost amendate pentru ca au transferat date ale clienților prin intermediul WhatsApp, valoarea cumulata a sancțiunilor fiind de 170.000 de euro

Încălcarea securității a constat în faptul că doi angajați ai Raiffeisen Bank S.A., utilizând datele din documentele de identitate ale unor persoane fizice, transmise de către angajați ai societății Vreau Credit S.R.L. prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring.

Tu sau angajații tăi folosiți WhatsApp sau altele asemenea pentru a trimite date personale?

Dacă 2 angajați ai Raiffeisen au reușit să atragă o amendă de 150.000 euro și dacă Poliția Română a interzis utilizarea acestora în interes de serviciu, atunci credem că semnalul este evident. 

Ne bucurăm de acces gratuit la diferite facilități însă iată că aceste mici amănunte, care ni se par banale, pot să ne coste extrem de scump. 

Instruirea angajaților este o etapă esențială a procesului de aliniere la GDPR. Dacă un singur angajat,  sau doi în cazul Raiffeisen Bank, se abat de la procedurile interne, angajatorul va fi cel care va plăti pentru greșelile angajaților săi.

Colții GDPR-ului încep să crească, ghearele să se ascultă, așa că ar trebui să ne facem curaj și să acordăm mai multă atenție protecției datelor personale înainte să fie prea târziu. 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Societatea civila contestă legalitatea implementării tehnologiei de recunoaștere facială

Mai multe organizații nonguvernamentale au transmis autorităților o SCRISOARE DESCHISĂ prin care îți exprimă îngrijorarea cu privire la respectarea principiilor fundamentale ce țin de respectarea vieții private, prin punerea în […]

Guvernul dorește îngreunarea accesului la informații publice

APADOR-CH (Asociaţia pentru Apărarea Drepturilor Omului în România, Comitetul Helsinki) atrage atenția print-o postare pe site-ul său asupra faptului că „Secretariatul General al Guvernului vrea ca cetățenii care […]

Soluții pentru managementul și securitatea dispozitivelor mobile

Telefoanele mobile și tabletele nu mai sunt doar simple gadget-uri pe care le folosim ocazional ci au devenit extensii ale noastre, fără de care nu mai putem lipsi. […]

Cum păstrăm evidența activităților de prelucrare? Bonus: FORMULAR GRATUIT

Evidența activităților de prelucrare este pilonul central al proiectului implementării GDPR. Atunci când pornim pe lungul traseu al conformității GDPR important este primul pas pe care îl facem. […]

Avocatul Poporului atacă OUG privind vânzarea cartelelor prepay doar cu buletinul

În urma petiției depuse de Asociația pentru Tehnologie și Internet (ApTI), Asociația pentru Apărarea Drepturilor Omului – Comitetul Helsinki (APADOR – CH) și Centrul pentru Inovare Publică despre […]

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Românii vor fi monitorizați de un sistem de recunoașterea facială

Camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare, camere ATM din România vor fi monitorizate de un sistem de recunoaștere facială. Controversele din jurul acestei tehnologii […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Provocările GDPR în sectorul public

Autor: Alina Crăciun, Coordonator Editorial Wolters Kluwer Romania Autoritățile publice au drepturi și obligații specifice în domeniul GDPR, uneori diferite de cele pe care le au entitățile private. În […]

Petiție împotriva obligativității înregistrarii utilizatorilor de cartele pre-pay

În data de 8 August 2019, pe site-ul Ministerului Comunicațiilor și Societății Informaționale (MCSI) a apărut proiectul de “Ordonanţă de urgenţă pentru modificarea şi completarea Ordonanţei de urgenţă […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

Ești DPO ? S-a lansat un MANUAL pentru tine!

Autoritatea de supraveghere italiană (Il Garante per la protezione dei dati personali) a publicat un manual în limba engleză menit să sprijine responsabilii cu protecția datelor (DPO) ai […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

Înscrie-te acum la GDPR Summer Challenge!

Acceptă GDPRovocarea acestui sfârșit de vară! 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019. Nu este doar un concurs, […]

CERT-RO recrutează pasionați de cybersecurity, pentru 12 luni de voluntariat

CENTRUL NAȚIONAL DE RĂSPUNS LA INCIDENTE DE SECURITATE CIBERNETICĂ CERT-RO caută pasionați de cybersecurity, pentru 12 luni de stagiu de voluntariat. De ce să fii voluntar CERT-RO? Pentru […]

Ne lasă GDPR-ul să facem poze la evenimente școlare ?

Fotografierea la școală – În cazul în care bunul simț intră în joc Introducerea Regulamentului general privind protecția datelor (GDPR) a determinat o schimbare semnificativă a percepției populației […]

Ce facem după atacutile cibernetice asupra spitalelor românești? Nimic?

Spitalele sunt o țintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale în ultimii ani și […]

Strategia 5G pentru România a fost aprobată în ședință de guvern

La propunerea Ministerului Comunicațiilor și Societății Informaționale (MCSI), Guvernul României a adoptat joi, 20 iunie 2019, Strategia 5G pentru România, prin hotărâre de guvern. ”Guvernul își propune un […]

Proiectul de lege privind facturarea electronică în domeniul achizițiilor publice, adoptat de Guvern

Guvernul României a adoptat în ședința de joi, 20 iunie 2019, proiectul de Lege privind facturarea electronică în domeniul achizițiilor publice. Actul normativ inițiat de Ministerul Comunicațiilor și […]