Când vor apărea certificările GDPR în România ?

ANSPDCP

Vizualizari: 3314

Facebooktwittergoogle_plusredditpinterestlinkedinmail

ANSPDCP a publicat proiectul privind Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 care este supus dezbaterii publice, fiind accesibil aici. Propunerile, sugestiile și opiniile persoanelor interesate pot fi transmise pe adresa de e-mail anspdcp@dataprotection.ro, până pe 20.09.2020.

Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 au fost elaborate cu consultarea Asociației de Acreditare din România - Renar și se transmit pentru aviz Comitetului European pentru Protecția Datelor, în concordanță cu art. 64 din Regulamentul (UE) 2016/679.

Ce este această certificare?

Certificarea GDPR va fi un proces similar obținerii certificărilor ISO, astfel ca pentru a dobândi această certificare, operatorii interesați vor trece printr-un proces care va urmări planificarea, controlul, evaluarea și corectarea proceselor organizației, astfel încât acestea să corespunda normelor standardului în materie de protecție a datelor.

Articolele 42 și 43 din Regulament prevăd obiectivele, garanțiile și rolurile actorilor, împreună cu principiile generale pentru procesele de certificare și acreditare.

Etapele procesului de certificare sunt determinate în GDPR și pot fi completate de etapele identificate în standardul ISO / IEC 17065. Cu toate acestea, dincolo de prevederile generice, ar trebui să examinate certificările existente pentru a identifica cele mai bune practici. Aspecte precum gestionarea soluționării litigiilor, tehnicile de monitorizare a certificărilor acordate și politicile de sancționare sunt esențiale pentru dezvoltarea unor mecanisme de certificare a protecției datelor de încredere.

De ce ar fi utilă o asemenea certificare?

Pe scurt, certificarea GDPR ar trebui să însemne confirmarea respectării de către o organizație (certificată) a cerințelor unui standard în materie de protecția datelor sau, în urma unui proces de evaluare periodică a bunelor practici GDPR din organizație, proces realizat de către un auditor extern, independent (organism de certificare).

Companiile vor putea apela în mod voluntar la certificarea produselor, serviciilor sau proceselor pentru a demonstra că acestea au fost inspectate, încercate și aprobate de un organism de certificare. Scopul final al certificării este creșterea încrederii printre consumatori, parteneri și alți factori interesați, ceea ce poate deveni un avantaj concurențial major.

Ce avantaje poate aduce certificarea GDPR?

Pentru operatori sau împuterniciți, certificarea GDPR reprezinta o forma prin care organizația poate confirma bunele practici implementate în ceea ce privește protecția datelor, un plus de valoare care poate sa-i asigure dezvoltarea portofoliului de clienți.

Certificarea GDPR va reprezenta asumarea responsabilității asupra prelucrărilor de date, oferind un sentiment de siguranță clienților, partenerilor sau angajaților proprii, fapt ce va cimenta relația cu aceștia.

Această certificare va fi voluntară, ceea ce înseamană că pe o piață puternic concurențială, aceasta poate reprezenta o forma de departajare față de competitori. Spre exemplu, un operator care dorește să externalizeze a anumită activitate ce include prelucrarea de date personale, va înclina spre contractarea unui împuternicit care deține o certificare GDPR, aceasta reprezentând o garanție suplimentară a responsabilității împuternicitului în ceea ce privește protecția datelor personale.

Nu în ultimul rând, certificarea GDPR va demonstra existența unor garanții adecvate oferite de operatorii sau de persoanele împuternicite de operatori, care nu fac obiectul Regulamentului GDPR, în cadrul transferurilor de date cu caracter personal către țări terțe sau organizații internaționale.

De ce nu există, la nivel național, operatori certificați GDPR?

După cum spuneam mai sus, cerificarea GDPR se poare realiza doar de organisme de certificare acreditate. Condițiile în care organisme de certificare pot fi acreditate sunt prevăzute în Articolul 43 (1) din GDPR:

“43 (1) [...] organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entități: a) autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56; b) organismul național de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (1 ) în conformitate cu standardul EN-ISO/IEC 17065/2012 și cu cerințele suplimentare stabilite de autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56”.

Solicitând un punct de vedere al Autorității pe acest subiect, aceasta ne-a comunicat următoarele: “[...] la nivel național, potrivit Regulamentului (CE) nr. 765/2008, RENAR este entitatea care va acredita organismele de certificare, în temeiul articolului 43 din Regulament”.

Plecând de la răspunsul autorității, am solicitat un punct de vedere și celor de la RENAR, pentru a afla cat mai avem de așteptat pana la apariția standardului pentru certificarea GDPR. Aceștia ne-au comunicat că, până la data respectivă (20.05.2019), “Autoritatea Națională de Supraveghere a Prelucrării Datelor nu a prezentat cerințele suplimentare stabilite de autoritatea de supraveghere menționate la pct. Art. 43 (1) b) din Regulamentul (UE) 2016/679, cerințe care sunt necesare pentru dezvoltarea schemei de acreditare pentru domeniul menționat la art. 43”. Aceștia au mai adăugat că “Activitățile de acreditare a organismelor de certificare se vor putea desfășura numai după finalizarea schemei de acreditare și publicarea mapei de documente informative”.

Comisia Europeană a publicat un studiu efectuat în februarie 2019 cu privire la “Mecanisme de certificare a protecției datelor”, o analiză în peste peste 250 de pagini referitoare la cerificarea GDPR, căreia i se adaugă nu mai puțin de 196 de pagini de anexe.

Potrivit acestui studiului, “Conceptul de cerințe suplimentare în art. 43 (1) (b) GDPR” se referă la:

  1. Cerințe legate de organismul de certificare și expertiza auditorilor săi în domeniul protecției datelor;
  2. Cerințe legate de organismul de certificare și competența auditorilor săi în efectuarea auditului; și
  3. Cerințe legate de integritatea auditorilor și a organismului de certificare”.

Prin urmare, în lipsa cerințelor suplimentare stabilite de autoritatea națională de supraveghere, RENAR-ul nu va putea elabora schema de acreditare, organismele de certificare nu vor putea fi acreditate, făcând astfel imposibilă certificarea organizațiilor interesate.

Făcând o paranteză, că tot veni vorba de RENAR, acesta a identificat standardul SR EN ISO/CEI 17065:2013 ca fiind cel la care face referire Regulamentul. Acesta poate fi achiziționat de pe site-ul Asociației de Acreditare din România - ASRO, accesând următorul link.

Să aruncăm un ochi și în curtea vecinilor

La acest moment, la nivelul UE nu știm să existe un mecanism funcțional de certificare în domeniul protecției datelor, dar știm că primii pași în acea direcție au fost deja făcuți.

Comisia Națională pentru Protecția Datelor din Luxemburg (Commission Nationale pour la Protection des DonnéesCNPD) a fost cea mai harnică autoritate națională din UE în această privință. Declarându-se convinsa de “valoarea pe care o poate oferi certificarea”, CNPD a adoptat o abordare deosebit de proactivă dezvoltând, împreună cu profesioniștii din domeniu, o schemă de certificare. Astfel, schema numită "GDPR-CARPA" a fost prezentată spre consultare publică încă din iunie 2018.

CNPD și-a concentrat activitatea pe două direcții:

  1. Criteriile de certificare, pentru Manageri de Proces/Subcontractați, care trebuie îndeplinite de o organizație care dorește să fie certificate anumite procesări de date. Organizațiile interesate să fie certificate sunt încurajate să ia în considerare criteriile prevăzute proiectul ghidului de certificare pentru a-și evalua gradul de conformitate și pentru a adopta o atitudine proactivă de a se pregăti pentru procesul de certificare.
  2. Criteriile de acreditare, pentru organismele de certificare, care trebuie îndeplinite de o organizație care dorește să acționeze în calitate de organism de certificare.

Într-un final, pentru a răspunde întrebării din titlul acestui articol, în umbra celor de mai sus, vă mărturisim că nu ne așteptăm ca în viitorul apropiat să avem plăcuta surpriză de a avea posibilitatea să obținem certificarea GDPR. Cu toate acestea, considerăm că obținerea unei certificări GDPR va fi de mare interes atât pentru operatori cât și pentru împuterniciții, ceea ce se va traduce într-o mai mare grija în ceea ce privește protecția datelor, fapt ce nu poate decât să fie benefic pentru toată lumea.

Nu știm cu exactitate când vor începe aceste certificări în România, având totodată încredere ca autoritatea națională a început deja discuțiile cu factorii interesați pentru a debloca demersurile în vederea dezvoltării schemei de acreditare.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Cum arată emailul de 1000 de euro? O noua amendă GDPR în România.

ANSPDCP

Vizualizari: 15551

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a demarat o investigație în urma primirii unor plângeri prin care s-a reclamat faptul că operatorul Qualitance QBS SA a transmis prin e-mail o informare către 295 de persoane, dezvăluind astfel adresele de e-mail ale celorlalți destinatari și a  constat că operatorul nu a implementat suficiente măsuri de securitate pentru a asigura confidențialitatea datelor personale ale persoanelor vizate, fapt ce a condus la dezvăluirea adreselor de e-mail, contrar obligațiilor prevăzute de art. 32 din RGPD. Destinatarii emailului erau candidați care și-au furnizat datele personale în vederea recrutării pe site-ul operatorului sau prin aplicații on-line.

Operatorul Qualitance QBS SA a fost sancționat contravențional cu amendă în cuantum de 4.867,50 lei (echivalentul a 1.000 EURO). De asemenea, societății Qualitance QBS SA i s-a aplicat și măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu Regulamentul General privind Protecția Datelor, prin implementarea unor măsuri tehnice și organizatorice adecvate în cazul transmiterii la distanță a datelor personale, inclusiv sub aspectul instruirii regulate a persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori).

Cum s-ar fi putut evita această amendă de 1000 Euro?

Simplu, prin trainingul personalului privind utilizarea funcțiilor "TO"(Către), "CC"(Copie de informare) și "BCC" (Copie de informare confidențială).

  • “CC:” este precurtarea de la "Carbon Copy" (copie de informare). Orice persoană listată în câmpul CC: al unui mesaj primeşte o copie a mesajului, la expedierea acestuia. Toţi ceilalţi destinatari ai mesajului pot vedea că persoana specificată ca destinatar în “CC:” a primit o copie a mesajului.
  • “BCC:" este prescurtarea de la "Blind Carbon Copy" (copie de informare confidenţială). Este similar cu funcţionalitatea “CC:”, cu excepţia că destinatarii din Bcc: sunt invizibili pentru ceilalţi destinatari ai mesajului, inclusiv pentru restul destinatarilor din “Bcc:”.

Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc gradul de protecție al vieții private, dar trebuie să conștientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizații este chiar resursa umană. Este nevoie să asigurăm educația personalului înainte de a investi în soluții tehnice de securitate.

Această amendă este un semnal de alarmă și ar trebui să ne pună pe gânduri, să analizăm dacă și noi am făcut în trecut această eroare, și, cel mai important, ce putem face în perioada următoare să diminuăm semnificativ riscul de a repeta această greșeală.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

O treime din amenzile GDPR din Europa, pentru colaborarea insuficientă cu Autoritatea, au fost aplicate în România

ANSPDCP

Vizualizari: 15727

Facebooktwittergoogle_plusredditpinterestlinkedinmail

O nouă amendă pentru colaborarea insuficientă cu Autoritatea de Supraveghere  tocmai a fost aplicată în România.  Operatorul C&V Water Control S.A. a primit o amendă în cuantum de 9746 lei, echivalentul sumei de 2000 EURO pentru că nu a furnizat informațiile solicitate, încălcând astfel prevederile art. 83 alin. (5) lit. e) corelate cu dispozițiile art. 58 alin. (1) lit. (a) și (e) și art. 58 alin. (2) lit. i) din Regulamentul General privind Protecția Datelor, primind totodată și măsura corectivă de a transmite toate informațiile solicitate prin adresele anterioare.

Nu este o premieră în România aplicarea de amenzi în baza Art. 58 GDPR care prevede obligația operatorului de a furniza orice informații pe care Autoritatea de Supraveghere le solicită în vederea îndeplinirii sarcinilor sale.

În trecut, în România au mai fost aplicate 7 astfel de amenzi, din totalul de 21 aplicate la nivel european, unor operatori de date cu caracter personal care omis să răspundă solicitarilor, încălcând astfel Art.58.

Data Numele operatorului Cuantumul amenzii (euro) Art. GDPR
20.10.2020 Globus Score SRL 2.000 euro Art. 58 GDPR
01.10.2020 Megareduceri TV S.R.L. 3.000 euro Art. 31 GDPR, Art. 58 GDPR
01.10.2020 Asociația de proprietari Militari R. 2.000 euro Art. 31 GDPR, Art. 58 GDPR
25.03.2020 SOS Infertility Association 2.000 euro Art. 58 GDPR
16.12.2019 Globus Score SRL 2.000 euro Art. 58 GDPR
02.12.2019  Nicola Medical Team 17 SRL 2.000 euro Art. 58 GDPR
26.11.2019 Modern Barber 3.000 euro Art. 58 GDPR

Cel mai îngrijorător lucru este faptul că aceste amenzi nu sunt disuasive și nu au condus la modificări fundamentale în practicile și procedurile operatorilor români, o parte din companiile anchetate preferând să își asume riscuri în privința încălcării art. 58 GDPR. Rămâne de văzut care este limita acestor operatori în privința absorbției amenzilor și dacă sunt afectați în vreun fel de riscul reputațional, în contextul în care nivelul de conștientizare a importanței datelor cu caracter personal în România este în creștere.

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ANSPDCP a sancționat contravențional Direcția Generală de Poliție Locală Sector 4 București

Autoritatea Națională de Supraveghere a finalizat în data de 11.12.2020 o investigație la UAT Sector 4 Municipiul București, reprezentata prin Primar, pentru Direcția Generală de Poliție Locală Sector 4  și a […]

Moș Crăciun a adus Băncii Transilvania o amendă GDPR de 100,000 Euro.

După Raiffeisen Bank SA (amendă 150,000 euro) și Unicredit Bank SA (amendă 130,000 euro) a venit și rândul Băncii Transilvania SA să primească o amendă GDPR din partea […]

CJUE confirmă poziția ANSPDCP în litigiul cu ORANGE România privind ilegalitatea stocării actelor de identitate

În litigiul aflat pe rolul instanțelor românești, având ca părți Orange România SA și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), Curtea de Justiție […]

Radiografia amenzilor ANSPDCP aplicate în Octombrie 2020

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat pe tot parcursul lunii octombrie 2020 aplicarea a patru amenzi, totalizând 10,000 euro. Ce mi-a […]

Pentru o asociație de proprietari, ignorarea măsurilor corective a atras amenda GDPR de 2000 EUR

Autoritatea Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație la Asociația de proprietari Militari R, comuna Chiajna, județul Ilfov, în cadrul căreia a constatat […]

ANSPDCP a publicat Raportul de activitate aferent anului 2019

Raportul de activitate al ANSPDCP aferent anului 2019 a fost postat in data de 28 Septembrie 2020 pe site-ul instituției și conține o prezentare sintetică a activităților Autorității, […]

ASCPD a transmis 20 de propuneri către ANSPDCP privind acreditarea organismelor de certificare GDPR în România

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) România, în urma unei consultări cu toți membrii, a transmis către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter […]

EDPB formează grupuri de lucru Schrems II și adoptă ghiduri cu privire la operatori și imputerniciți și la targetarea utilizatorilor de social media

Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii […]

Două avertismente și o amendă GDPR pentru o Asociație de Proprietari

Autoritatea Națională de Supraveghere a finalizat o investigație la Asociația de proprietari Bl. FC 5, orașul Năvodari, județul Constanța, în cadrul căreia a constatat încălcarea anumitor dispoziții din […]

Recomandările ANSPDCP privind prelucrarea datelor în campania electorală

În contextul alegerilor pentru autoritățile administrației publice locale din luna septembrie 2020, Autoritatea Națională de Supraveghere recomandă tuturor entităților implicate în acest proces să acorde o atenție sporită […]

Viva Credit IFN S.A a primit o amendă GDPR de 2000 euro

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția […]

Compania Națională Poșta Română a fost amendată cu 2000 euro

În data de 15.07.2020 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Compania Națională Poșta Română și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind […]

TAROM SA a fost amendată cu 5.000 Euro pentru divulgare neautorizată a datelor personale

Autoritatea Națională de Supraveghere a finalizat în data de 06.07.2020 o investigație la operatorul  SC CNTAR TAROM SA, ca urmare a transmiterii de către operator a unei notificări privind […]

Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

„Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

Comisia Europeană: „După doi ani de aplicare, GDPR și-a îndeplinit majoritatea obiectivelor”

În data de 24 iunie 2020 Comisia Europeană a publicat Comunicarea privind protecția datelor ca pilon al abilitării cetățenilor și abordarea UE în tranziția digitală – doi ani de […]

Proleasing Motors SRL a fost sancționat contravențional cu amendă GDPR în cuantum de 15.000 EURO

Conform unui anunț postat pe website, Autoritatea Națională de Supraveghere a finalizat în data de 23.06.2020 o investigație la operatorul Proleasing Motors SRL și a constatat încălcarea dispozițiilor […]

ASCPD solicită Ministerului Educației eliminarea consimțământului ca temei legal de prelucrare

Conform unui comunicat de presă, Asociația Specialiștilor în Confidențialitatea și Protecția Datelor (ASCPD) a sesizat Ministerul Educației și Cercetării privind articolul 5, alin. 2 din Procedura privind modul de […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Spania: GLOVO a fost amendat cu 25.000 euro pentru că nu a desemnat un DPO

O amendă de 25.000 de euro a fost aplicată de Autoritatea de Supraveghere din Spania (AEPD) către compania Glovo pe motiv că nu a fost numit Responsabil cu […]

Telekom primește o nouă amendă pentru măsuri tehnice și organizatorice insuficiente

În ultimii doi ani, Autoritățile de Supraveghere din România și Slovacia au aplicat operatorului Telekom un avertisment și 3 amenzi, totalizând 45,000 Euro, pentru faptul că nu au […]