Codul de conduită pentru instituții financiare aprobat de autoritatea de supraveghere italiană

Noutati Internationale

Vizualizari: 894

Facebooktwittergoogle_plusredditpinterestlinkedinmail

La 12 septembrie 2019, Autoritatea de supraveghere italiană a aprobat un cod de conduită pentru agențiile de credit pentru consumatori („Codul”), în conformitate cu art. 40 GDPR (vezi aici textul codului de conduită, în limba italiană).

Codul exista deja înainte de GDPR, dar trebuia modificat pentru a răspunde cerințelor GDPR și a fi aprobat de către autoritate în conformitate cu procedurile GDPR. Codul a fost înaintat spre aprobare de către asociațiile italiene AISREC, CTC și ASSILEA pe 19 martie 2019, după o consultare cu reprezentanții persoanelor vizate și a sectorului relevant.

Codul reglementează prelucrarea datelor cu caracter personal ale persoanelor fizice situate în Italia. Acesta se adresează entităților situate în Italia care gestionează în mod profesional sistemele de informații despre credite (de exemplu, bănci, intermediari financiari și alte entități care oferă servicii de credit).

Structura Codului respectă cerințele art. 40 (2) din GDPR. Codul instalează un organism de monitorizare, compus din trei membri: un reprezentant al Consiliului Național al Consumatorilor și Utilizatorilor din Italia, o persoană desemnată în unanimitate de către entitățile aderente Codului și o persoană desemnată de cei doi membri numiți, care trebuie să fie o persoană cu experiență recunoscută în protecția datelor cu caracter personal și care va ocupa funcția de președinte.

Codul prevede că baza legală pentru prelucrarea datelor cu caracter personal conținute în sistemele de informații despre credit în scopuri de evaluare a creditului este interesul legitim al agențiilor de credit, deci nu este necesară obținerea consimțământului. Cu toate acestea, persoanele vizate trebuie să primească un aviz de informare complet și clar - anexa 3 a codului conține un aviz de model. Codul în sine nu servește ca bază legală pentru transferurile internaționale.

Aprobarea Codului este condiționată de acreditarea de către autoritatea de supraveghere a organismului de monitorizare care, potrivit autorității, nu este încă posibil din cauza lipsei unor criterii uniforme de acreditare la nivelul UE. În așteptarea acreditării, membrii Codului „efectuează operațiunile de prelucrare a datelor cu caracter personal în conformitate cu normele și principiile reglementate de acesta, precum și cu orice altă legislație aplicabilă”.

Sursa: insideprivacy.com

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Noutati Internationale

Vizualizari: 5938

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale a Profesioniștilor în Confidențialitate (IAPP), a oferit un interviu exclusiv pentru DpoNET - Data Protection Officers Network. Prin intermediul răspunsurilor oferite, avem ocazia să înțelegem mai bine viziunea sa despre evoluția protecției datelor în ultimii 20 de ani și despre cum arată viitorul, având în vedere utilizarea tot intensă a tehnologiei bazate pe Inteligența Artificială, ajungând la concluzia că DPO-ul este o nouă profesie hibridizată care presupune înțelegerea tehnologiei, a modului în care este utilizata tehnologia in afaceri și cu siguranță, cunoasterea legii.

În lumina aniversării a 20 de ani de la înființarea IAPP, vreau să vă lansez prima întrebare și să discutăm despre cum au evoluat domeniul protecției vieții private, în ultimii 20 de ani.

IAPP sărbătorește într-adevăr 20 de ani în acest an. Suntem foarte mândri, mai ales când realizăm ce incredibili au fost ultimii 20 de ani. Am crescut de la zero, de la o organizație foarte mică, la o organizație cu 52000 de membri din 120 de țări din întreaga lume. Creșterea organizației IAPP este o dovadă a creșterii complexității probemelor care fac din ce în ce mai dificilă protejarea vieții private. Aceaste provocări s-au intensificat din mai multe motive diferite și, cu siguranță tehnologia este pe primul loc. Noile tehnologii creează noi așteptări, noi provocări, în privința protecției vieții private. Avem nevoie de profesioniști care să ne ajute în fața acestor noi provocări. Așadar, cred că ceea ce vedem astăzi este o creștere continuă a provocărilor tehnologice asupra domeniului protecției vieții private și observăm nevoia tot mai mare de profesioniști care au abilități pentru a răspunde cu succes acestor noi provocări, reducând riscurile și identificând soluții mai bune pentru cetățeni, pentru consumatori, crescând totodată gradul de încredere în economia digitală.

Ce părere aveți despre viitorul domeniului Inteligenței Artificiale. La ce ar trebui să ne așteptăm? În ce direcție se îndreaptă acest domeniu în următorii ani?

Viitorul Inteligenței Artificiale, ca și domeniul confidențialității și protecției datelor, este foarte complicat și cred că este plin de riscuri pentru organizații. Știm că Inteligența Artificială folosește cantități masive de date și astfel pot exista probleme legate de protecția acestor date. Trebuie să ne asigurăm că procesarea algoritmică este transparentă și știm de ce Inteligeța Artificială ia anumite decizii. Trebuie să ne asigurăm că rezultatele proceselor decizionale automate nu sunt discriminatorii. Cred că putem învața multe din lecțiile pe care ni le-a oferit domeniul confidențialității și protecției datelor și va trebui să implementăm măsuri astfel încât lansarea acestor noi tehnologii să fie confortabile și acceptate de toată lumea.

Care sunt poveștile din acest domeniu care nu primesc suficientă atenție, există ceva la care jurnaliștii nu s-au gândit?

Este o întrebare grozavă. Există întradevăr povești care nu primesc suficientă atenție. Când mă gândesc la protecția datelor, realizez că în tot acest timp ne-am concentrat cel mai mult pe încălcările de securitate a vieții private și provocările pentru domeniul protecției datelor introduse de noile tehnologii.

Dar ce văd în fiecare zi este în primul rând volumul mare de munca, văd foarte multe organizații care investesc în oameni, în tehnologii și procese, în managementul riscurilor, pentru a ajuta la îmbunătățirea protecției datelor și a vieții private. Așadar, unul dintre lucrurile pe care cred că trebuie să le promovăm mai mult este existența celor 52000 de membri IAPP din întreaga lume care lucrează în fiecare zi pentru a crește nivelul de protecție a vieții private. Există tehnologii și instrumente pe care companiile le utilizează deja în acest scop și suntem foarte departe fața de cum am fost acum 20 de ani în ceea ce privește protecțiea vieții private în cadrul organizațiilor. Responsabilul cu protecția datelor este o profesie a viitorului și cred că ar trebui să promovăm mai mult aceste povești.

Aveți câteva sfaturi personale pentru profesioniștii în domeniul confidențialității datelor și implicit pentru cei care sunt DPO?

Da. Sfaturile pe care le dau oricărui tânăr care se gândește la o carieră în acest domeniu și oricărui profesionist care se gândește la o specializare în aceste domeniu este că nu este suficient să fii avocat, nu este suficient să fii manager, nu este suficient să fii un informatician. Cu siguranță, puteți obține o diplomă într-unul din aceste domenii, dar trebuie să fiți un profesionist hibrid. Dacă ești avocat, trebuie să înțelegi managementul afacerii, să te specializezi în managementul riscului și să obții cât mai mult cunoștințe în informatica pentru a avea succes și a fi eficient. Ceea ce vedem astăzi este o nouă profesie hibrid. Sfatul meu este fiecare profesionist trebuie să înțelegă tehnologia și modul în care este utilizata in afaceri, să cunoască legea și astfel va avea o carieră lungă de succes.

Mulțumesc foarte mult.

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Noutati Internationale

Vizualizari: 4259

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru filiala sa din Germania.

Aceasta nu este prima amenda din Europa de acest tip, având în vedere că la 12 august 2019, Autoritatea de Supraveghere austriacă a aplicat o amendă administrativă de 55000 de euro unui operator care activează în sectorul medical. 

Dacă considerăm că această amendă de 51.000 de euro pare minusculă pentru proprietarul rețelei de socializare trebuie să știm că ea vizează doar filiala din Germană și nu întreaga companie, conform declarațiilor Autorității de protecție a datelor din Hamburg, Germania.

„Această amendă ar trebui să fie un avertisment clar pentru toate celelalte companii: numirea unui responsabil cu protecția datelor și comunicarea lui catre Autoritatea de supraveghere sunt obligațiile operatorului”, pe care autoritatea de protecție a datelor le ia în serios. 

Sancțiunea a fost percepută în conformitate cu noile reglementari ale Uniunii Europene, care au intrat în vigoare în mai 2018. Regulamentul general privind protecția datelor, sau GDPR, acordă Autorităților UE pentru protecția datelor puterea de a aplica amenzi de până 4% din cifra de afaceri globală pentru cele mai grave încălcări de securitate.

Nu este prima dată când gigantul social media a fost amendat, cea mai mare sancțiune primită a fost aplicată de Comisia Federală pentru Comerț din SUA în valoare de 5 miliarde de dolari (4,49 miliarde de euro).

Cine este obligat să își desemneze un Responsabil cu Protecția Datelor (DPO) ?

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune de informare, de consiliere și de control în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:

  • este o autoritate publică sau un organism public, cu excepţia instanţelorîn exercitarea funcţiei lor jurisdicţionale;
  • desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
  • desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.

Conform ghidului ANSPDCP privind desemnarea unui responsabil cu protecția datelor, spitalul este dat exemplu ca operator care are această obligație având în vedere preclurarea pe scară largă a datelor privind starea de sănătate și un cabinet medical individual nu are această obligație datorită cantității limitate de date privind starea de sănătate.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor (de exemplu un cabinet medical individual), ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.

Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii și respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor:

  • să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter
    personal;
  • să monitorizeze respectarea GDPR și a legislaţiei naţionale în domeniul protecţiei datelor;
    să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor și să verifice efectuarea acestora;
  • să coopereze cu autoritatea pentru protecţia datelor și să reprezinte punctul de contact în relaţia cu aceasta.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Facebook forțat să amâne lansarea noului serviciu de dating în Europa

Cu numai 36 de ore înainte de Ziua Îndrăgostiților, Facebook a fost forțat să amâne lansarea in Europa a noului său serviciu, Facebook Dating, în urma intervenției Autoritatii […]

7 documente adoptate de EDPB în ultima sesiune plenară (inclusiv ghid monitorizare)

Sesiunile plenare ale Comitetul european pentru protecția datelor (cunoscut sub acronimul EDPB) sunt poate cele mai așteptate evenimente, pe plan european, în ceea ce privește protecția datelor, în […]

Accesul mass-mediei la informația de interes public ce conține date cu caracter personal

Asociației privind Protecția Vieții Private din Republica Moldova anunță organizarea unei Mese rotunde privind prezentarea proiectului de lege în vedere consolidării accesului mass-mediei la informația de interes public […]

Putem utiliza datele personale preluate din surse publice în interes comercial?

O speță postată ieri pe unul din grupurile de pe Facebook dedicate protecției datelor ne-a atras atenția, nu datorită complexității ci a diversității răspunsurilor.  Proprietarul unui site dorea […]

Primele clauze contractuale standard între operatori și împuterniciți [eng]

La sfârșitul anului trecut am scris despre „Primul model de acord între operatori asociați”, publicat de Comisia pentru protecția datelor și libertatea informațiilor din landul Baden-Wuerttemberg (Germania).  Vă […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Ghidul privind proporționalitatea, publicat de EDPS

Autoritatea Europeană pentru Protecția Datelor (EDPS)  a publicat în data de 19 decembrie GHIDUL privind evaluarea proporționalității. Conform EDPS , acest ghid oferă factorilor de decizie instrumente practice […]

Model de acord între operatori asociați publicat de autoritatea germană [eng]

Odată ajunși la concluzia că independența nu poate fi atributul care să califice o relație dintre doi operatori de date, deși multe companii bazându-se pe un evident dezechilibru […]

EDPB a realizat cea mai mare arhivă digitală dedicată specialiștilor în PDP

Deși a trecut abia un an și jumătate de la intrarea în vigoare a Regulamentului (UE) 2016/679, mulți dintre cei implicați implicați în procesul de aliniere la acest […]

EDPB a publicat documentele adoptate în ultima sesiune plenară

În zilele de 2 și 3 decembrie, autoritățile de supraveghere din SEE și Autoritatea Europeană pentru Protecția Datelor (EDPS), reunite în Comitetul European pentru Protecția Datelor (EDPB), s-au […]

CJUE a răspuns întrebărilor Tribunalul București privind monitorizarea video

România contribuie cu un nou caz la jurisprudență a CJUE în materie de protecția datelor, de acestă dată fiind o speță ce are ca subiect monitorizarea video. În […]

Bulgaria prima țară care a ratificat Convenția 108+, în timp ce România..

Înainte de a afla care este prima țară care a ratificat Convenția 108+, mai întâi să ne amintim de importanța precursoarei sale, Convenția 108 Convenția pentru protecția persoanelor […]

Facebook amendată pentru că își înșeală clienții. Serviciile sale nu sunt gratuite!

Oficiul Concurenţei din Ungaria (GVH) a amendat vineri reţeaua de socializare Facebook cu 1,2 miliarde de forinţi (3,6 milioane de euro). Este cea mai mare amendă impusă vreodată […]

Un funcționar public condamnat la 6 luni cu suspendare pentru încalcarea GDPR

Conform unui comunicat transmis de Autoritata de Supraveghere din Marea Britanie (ICO),  un fost angajat în cadrul Departamentului de asistență și servicii sociale din Dorset a fost urmărit […]

EDPB a lansat ghidul Data Protection by Design and by Default

Comitetul European pentru Protecția Datelor (EDPB) a lansat astăzi, în consultare publică, un nou ghid extrem de interesant: Orientări 4/2019 privind articolul 25 Protecţia datelor începând cu momentul […]

Utilizarea tehnologiei de recunoaștere facială în școli este ilegală!

În timp ce Autoritatea franceză pentru protecția datelor (CNIL) a declarat ilegală recunoașterea facială în școli, autoritatea din România (ANSPDCP) declara că nu intră în sarcinile ei să […]

WebSummit 2019 – radiografia primei zile

Astazi a inceput Web Summit, o conferință despre tehnologie, organizată anual la Lisabona, considerată cel mai mare eveniment tehnologic din lume. Conferinta se desfasoara cu „casa inchisa”, organizatorii […]