Provocările GDPR în sectorul public

Administratie Publica

Vizualizari: 3504

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autor: Alina Crăciun, Coordonator Editorial Wolters Kluwer Romania

Autoritățile publice au drepturi și obligații specifice în domeniul GDPR, uneori diferite de cele pe care le au entitățile private. În administrația publică responsabilitatea este mai mare și datele cu caracter personal nu sunt doar stocate dar sunt, de cele mai multe ori și transferate. În plus există și legislația specifică care trebuie integrată cu principiile GDPR.

Prof. univ. dr. Daniel-Mihail ȘANDRU analizează în revista Pandectele Române nr. 2/2019, editată de Wolters Kluwer România, principalele probleme cu care se confruntă sectorul public în domeniul GDPR: colectarea și transferul datelor, drepturile persoanelor vizate, desemnarea responsabilului cu protecția datelor (DPO), proceduri specifice autorităților și organismelor publice, regimul sancționator.

Operatorii de date personale din sectorul public

Potrivit autorului: „pentru operatorii definiți prin legislație națională ca fiind autoritate sau organism public se aplică unele reguli specifice, reguli care au în vedere poziția entităților publice.”

Potrivit Legii nr. 190/2018 prin autorități și organisme publice se înțelege:

– Camera Deputaților și Senatul
– Administrația Prezidențială
– Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale
– autoritățile și instituțiile publice autonome
– autoritățile administrației publice locale și deja la nivel județean
– alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora.
– unitățile de cult și asociațiile și fundațiile de utilitate publică (asimilate autorităților/organismelor publice în sensul legii).

Pentru domeniul penal, se aplică o lege specială și anume Legea nr. 363 din 28 decembrie 2018privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date.

Principalele probleme din sectorul public în domeniul GDPR

Daniel Mihai Șandru precizează care sunt, în prezent, principalele probleme în sectorul public:

– Colectarea de date și transferul de date, întrucât încă există dispoziții legale care obligă aceste entități să colecteze și să transfere date.

 Demonstrarea consimțământului persoanelor vizate: „Chiar dacă cele mai multe date sunt prelucrate în temeiul legii și eventual al contractului, rămân situații în care entitățile publice trebuie să demonstreze consimțământul persoanelor vizate. Este necesar consimțământul și nu este suficientă informarea pentru site (cookies, chestionare și alte sondaje, dacă nu sunt anonime, software, apps, transferul datelor în afara scopului pentru care au fost stocate/ colectate).”

– Verificarea surselor fizice pe care sunt stocate datele: „Entitățile publice trebuie să verifice, precum orice operator, într-o măsură rezonabilă, sursele fizice pe care sunt stocate datele, mai ales mediile informatice utilizate. Verificarea este, desigur, intelectuală, la nivelul clauzelor contractuale pentru a se asigura că încălcarea securității datelor este limitată la maxim.

 Problema licitațiilor: „Pentru a obține un preț scăzut la licitație sau pentru a stoca gratuit date personale uneori se apelează la cloud, pentru care, dacă nu este încheiat un contract riscurile rămân la entitățile publice. Licitațiile reprezintă o problemă când sunt achiziționate produse ieftine, care nu au implementat GDPR (sub forma impactului asupra vieții private pentru produs) și care pot conduce la incidente și încălcări de securitate a datelor.”

 Minimizarea prelucrării datelor: „Entitățile publice trebuie să justifice de ce prelucrează anumite date și să ia măsurile tehnice și organizatorice pentru eliminarea riscurilor.”

 Transparența prelucrării datelor: «este esențială pentru conformarea cu GDPR, având în vedere că potrivit Orientărilor GL29, „transparența este o obligație atotcuprinzătoare potrivit GDPR și se aplică în trei domenii de bază: (1) norma juridică prin care se stabilește informarea persoanelor vizate cu privire la prelucrarea echitabilă; (2) cum anume operatorii de date comunică cu persoanele vizate în ceea ce privește drepturile lor potrivit GDPR; (3) cum anume operatorii de date facilitează exercitarea drepturilor persoanelor vizate.” »

Drepturile persoanelor vizate – GDPR sector public

În articolul publicat în Pandectele Române nr. 2/2019 se precizează că în sectorul public există două riscuri, care cu greu se regăsesc în cel privat:

1. multitudinea de situații în care sunt prelucrate date ale unor persoane vizate vulnerabile

2. imposibilitatea utilizării temeiului prevăzut de art. 6 lit. f), interesul legitim (nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor).

Potrivit autorului: „Exercitarea drepturilor persoanelor vizate prin solicitări va crește.” În acest context există următoarele probleme:

– managementul informației și verificarea identității solicitantului

– solicitările abuzive: „Trebuie verificate toate modalitățile legale prin care să fie descurajate solicitările abuzive cu mențiunea că operatorul, inclusiv autoritate sau organism public, este cel care trebuie să demonstreze caracterul abuziv. Cereri repetitive, solicitări anonime, solicitări ale datelor pe care persoana vizată le cunoaște deja sunt modalități de hărțuire a entităților publice, dar pe care acestea trebuie să le demonstreze”.  Excepțiile, prevăzute în art. 12 GDPR, nu trebuie să încalce dreptul la informare și dreptul la exprimare, precizează autorul, întrucât dreptul la protecția datelor nu este un drept absolut: „În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate, fie să refuze să dea curs cererii. În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.”

– dreptul la ștergere: „atât de cunoscut și de (a)clamat aproape că nu se aplică în sectorul public, având în vedere excepțiile prevăzute de regulament, și anume nu poate fi exercitat cu privire la aplicarea dreptului la liberă exprimare și la informare, pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul, din motive de interes public în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanță [art. 17 alin. (3)]. Desigur, acest drept s-ar putea exercita în situația în care datele sunt prelucrate de autoritatea sau organismul public în scopuri de marketing, când persoana vizată și-a dat consimțământul pentru prelucrare. Entitățile publice trebuie să pună în practică dreptul la ștergere fără solicitarea persoanelor vizate în situația în care aplică alte reglementări, cum ar cele referitoare la liberul acces la informațiile de interes public sau din Legea nr. 109/2007 privind reutilizarea informațiilor din instituțiile publice.

 răspunsul la cereri: „Operatorul trebuie să răspundă într-o lună de la formularea cererii, însă trebuie observat cu atenție temeiul cererii. Dacă solicitantul formulează cererea în temeiul unei alte legi, de exemplu, a Legii nr. 544/2001 privind liberul acces la informațiile de interes public dar solicitarea se referă la exercitarea drepturilor asupra datelor cu caracter personal ale persoanei vizate, atunci cererea va fi corect încadrată și se va răspunde potrivit legislației proprii.

Exercitarea anumitor drepturi, nu pun doar probleme de calificare din punctul de vedere al termenelor dar și din punctul de vedere al exercitării drepturilor. Aceasta are influență și asupra activității responsabilului cu protecția datelor care nu trebuie să avizeze toate contractele doar pentru că, evident, conțin date cu caracter personal. Dreptul la rectificare are conotații specifice pentru că poate infera cu reglementări speciale care privesc drepturi civile.”

Desemnarea responsabilului cu protecția datelor (DPO) – GDPR sector public

Referitor la desemnarea DPO în cadrul autorităților publice, Daniel Mihai Șandru precizează care sunt elementele specifice: «Pentru toate entitățile publice, fără excepție, desemnarea unui responsabil cu protecția datelor (DPO) este obligatorie, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale.

Anumite dispoziții din Regulament facilitează desemnarea responsabilului însă mai rămân elemente necunoscute la nivelul legislației naționale dar și probleme de ordin practic privind desemnarea unui DPO pentru mai multe autorități și organisme publice, în conformitate cu art. 37 alin. (3) din GDPR: „În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecția datelor unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare structura organizatorică și dimensiunea acestora.”

Proceduri specifice autorităților și organismelor publice în domeniul GDPR

În ceea ce privește procedurile specifice autorităților publice în domiul GDPR, Daniel Mihai Șandru expune câteva recomandări, necesare în contextul actual al reglementărilor naționale:

– Coduri de conduită: „Din punctul de vedere al procedurilor, este necesar să se discute prin organizațiile reprezentate, în special asociații, elaborarea de coduri de conduită pentru anumite tipuri de entități din administrația publică, de exemplu, pentru primării. Dacă entitatea are pagini pe rețele sociale, va trebui să informeze în mod corespunzător persoanele avizate despre aceasta pe pagina web proprie dar și pe rețelele sociale.”

– Actualizarea constantă a informațiilor importante: „Chiar dacă a trecut un an de la punerea în aplicare, toate entitățile trebuie să evalueze constant datele, să actualizeze registrul activităților (art. 30), impactul asupra vieții private (art. 35) și să depună un efort suficient de coerent pentru conștientizarea întregului personal în privința aplicării regulamentului, dar și a sancțiunilor sau daunelor pe care persoanele vizate le pot solicita.”

– Tratarea posibilelor încălcări de securitate a datelor: acestea „trebuie să se facă în condițiile legii, prin solicitarea ajutorului instituțiilor abilitate sau cu competențe. Angajații trebuie instruiți în direcția informării imediate a responsabilului cu protecția datelor a oricărui incident de securitate și asupra faptului că aceștia nu trebuie să acționeze individual pentru a înlătura posibilele consecințe. Trebuie documentate toate monitorizările pe scară largă pe care unele dintre entități sau împuterniciți se realizează pentru acestea.”

Regimul sancționator în domeniul GDPR – sector public

Regimul sancționator în domeniul GDPR este, potrivit autorului Daniel Mihail Șandru unul derogator, principalele elemente fiind expuse mai jos:

„Într-unul din puținele comunicate ale autorității române de supravegherea datelor cu caracter personal, din cele 15 exemple, niciunul nu se referă la o entitate publică. Cu toate acestea, după intrarea în vigoare a GDPR, una dintre sancțiunile cunoscute, este un avertisment pentru Primăria Cluj-Napoca (din păcate decizia nu este disponibilă, până în prezent pe site-ul autorității) pentru utilizarea e-mailului personal al funcționarului în comunicările oficiale cu petenții.

Regimul sancționator derogator pentru autorități și organisme publice pare discriminatoriu. În afara sancțiunilor aplicate de autoritatea de supraveghere trebuie luată în considerare posibilitatea persoanelor vizate de a introduce acțiune în instanță pentru daune morale.

Aplicarea sancțiunilor are două etape, reglementate distinct de Legea nr. 190/2018:

I. Aplicarea măsurilor corective autorităților și organismelor publice (art. 13)

1. În cazul constatării încălcării prevederilor Regulamentului general privind protecția datelor și ale Legii nr. 190/2018 de către autoritățile/organismele publice, Autoritatea națională de supraveghere încheie un proces-verbal de constatare și sancționare a contravenției prin care se aplică sancțiunea avertismentului și la care anexează un plan de remediere. Situația Primăriei Cluj-Napoca este unul dintre primele exemple, menționate în mediul jurnalistic, în care unul din funcționari a răspuns petentului de pe e-mailul personal. Decizia sau măsurile autorității nu sunt disponibile public. În Norvegia, unde se aplică GDPR în temeiul apartenenței la Spațiul Economic European, o amendă a vizat Primăria Bergan pentru că nu a luat măsuri tehnice și organizatorice referitoare la datele a aproximativ 35000 de peroane, respectiv elevii si profesorii școlilor.

2. Termenul de remediere se stabilește în funcție de riscurile asociate prelucrării, precum și demersurile necesar a fi îndeplinite pentru asigurarea conformității prelucrării.

3. În termen de 10 zile de la data expirării termenului de remediere, Autoritatea națională de supraveghere poate să reia controlul.

4. Responsabilitatea îndeplinirii măsurilor de remediere revine autorității/organismului public care, potrivit legii, poartă răspunderea contravențională pentru faptele constatate.

5. Modelul planului de remediere care se anexează la procesul-verbal de constatare și sancționare a contravenției este prevăzut în anexa Plan de remediere, care face parte integrantă din prezenta lege.

II. Constatarea contravențiilor și aplicarea de sancțiuni autorităților și organismelor publice (art. 14)

1. Dacă în urma controlului se constată faptul că autoritățile/organismele publice nu au adus la îndeplinire în totalitate măsurile prevăzute în planul de remediere, Autoritatea națională de supraveghere, în funcție de circumstanțele fiecărui caz în parte, poate aplica sancțiunea contravențională a amenzii, cu luarea în considerare a criteriilor prevăzute la art. 83 alin. (2) din Regulamentul general privind protecția datelor.

2. Constituie contravenție care se sancționează cu amendă de la 10.000 lei până la 100.000 lei:

2.1. încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la:

a) obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu prevederile art. 8, art. 11, art. 25-39, art. 42 și art. 43;

b) obligațiile organismului de certificare în conformitate cu art. 42 și art. 43;

c) obligațiile organismului de monitorizare în conformitate cu art. 41 alin. (4).

2.2. Constituie contravenție încălcarea de către autoritățile/organismele publice a dispozițiilor art. 3-9 din Legea nr. 190/2018, și anume prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea (art. 3), prelucrarea unui număr de identificare național (art. 4), prelucrarea datelor cu caracter personal în contextul relațiilor de muncă (art. 5), prelucrarea datelor cu caracter personal și de categorii speciale de date cu caracter personal, în contextul îndeplinirii unei sarcini care servește unui interes public (art. 6), prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare (art. 7), prelucrarea datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public (art. 8) și prelucrarea datelor de către partide politice și organizații neguvernamentale (art. 9).

3. Constituie contravenție, care se sancționează cu amendă de la 10.000 lei până la 200.000 lei, încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la:

a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu art. 5-7 și art. 9;
Prima amendă a autorității belgiene de protecția datelor se referă la o primărie care nu a respectat principiile privind scopul prelucrării datelor personale. EDPB, First Belgian GDPR fine, disponibil la adresa EDPB Europa 

b) drepturile persoanelor vizate în conformitate cu art. 12-22;

c) transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu art. 44-49;

d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;

e) nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării sau a suspendării fluxurilor de date, emisă de către Autoritatea națională de supraveghere în temeiul art. 58 alin. (2), sau neacordarea accesului, prin încălcarea dispozițiilor art. 58 alin. (1).

f) încălcarea de către autoritățile/organismele publice a unei decizii emise de Autoritatea națională de supraveghere în conformitate cu art. 58 alin. (2) coroborat cu art. 83 alin. (2) din Regulamentul general privind protecția datelor.”

Concluziile autorului

La un an de la punerea în aplicare a acestui Regulament general privind protecția datelor, în România, autoritățile și organismele publice au început și unele au și realizat conformarea cu noua legislație. Nu sunt disponibile statistici oficiale și nici măsuri sau concluzii ale autorității naționale de supraveghere a prelucrării datelor personale. Sunt încă probleme în ceea ce privește temeiurile prelucrării, în special atunci când acesta este legea, întrucât este posibil să interfereze cu unele principii, în special acela al minimizării datelor.

Adaptare după articolul Protecția datelor în cadrul autorităților și organismelor publice în România, autor Prof. univ. dr. Daniel Mihai ȘANDRU, publicat în revista Pandectele Române nr. 2/2019.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Cum păstrăm evidența activităților de prelucrare? Bonus: FORMULAR GRATUIT

Administratie Publica

Vizualizari: 1925

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Evidența activităților de prelucrare este pilonul central al proiectului implementării GDPR.

Atunci când pornim pe lungul traseu al conformității GDPR important este primul pas pe care îl facem. Inventarierea și analiza activităților de prelucrare sunt elementele cheie ale unei implementări reale și corecte a cerințelor Regulamentului General de Protecție a Datelor. O analiză obiectivă a fluxurilor de date vă va ajuta să aveți o imagine de ansamblu asupra modului în care utilizați datele personale. 

Păstrarea evidenței activităților de prelucrare este obligatorie pentru marea majoritate a organizațiilor. Identificarea și ierarhizarea riscurilor asociate prelucrărilor din perspectiva protecției datelor constituie pilonul central în jurul căruia se construiește planul de acțiune al implementării prevederilor GDPR.

Un alt aspect care trebuie avut în vedere este faptul că această evidență se va dovedi importantă în cazul unei investigații a autorității de supraveghere, acesta fiind de regulă primul punct din lista de informații pe care autoritate le solicită pentru atunci când există suspiciunea unei încălcări a dispozițiilor GDPR. Existența acestei evidențe este o dovada a faptului că v-ați asumat responsabilitatea implementării măsurilor de protecție a datelor, lucru pe care autoritatea îl va lua în calcul la stabilirea eventualelor măsuri corective sau sancțiuni.

Cui i se aplică obligativitatea realizării evidenței activităților de prelucrare?

Articolul 30 din GDPR prevede necesitatea păstrării unei evidențe a tuturor categoriilor de activități de prelucrare, printre acestea numărându-se și cele realizate de către împuterniciți.

Practic toate entitățile, atât private cât și publice, care prelucrează date personale, au obligația de a realiza și de a păstra această evidență. 

Deși articolul Articolul 30 (5) din GDPR precizează că obligația păstrării evidenței prelucrărilor o au organizațiile cu peste 250 de angajați, același articol prevede o serie de alte criterii care fac ca această obligație să li se aplice aproape tuturor operatorilor de date personale.

Prin urmare, dacă organizația dumneavoastră are sub 250 de angajați dar prelucrările de date date îndeplinesc cel puțin una dintre următoarele condiții, atunci realizarea evidenței activităților de prelucrare este OBLIGATORIE:

  • nu este ocazională (gestionarea salariaților, a clienților etc.);
  • implică riscuri pentru drepturile și libertățile persoanelor vizate (teoretic unde exista prelucrări de date persoane există și riscuri);
  • privesc categoriile speciale de date prevăzute la art 9 (sănătate, biometrice, religioase etc.);
  • date referitoare la condamnări, conf. art 10 din GDPR.

Ce trebuie să cuprindă evidența activităților de prelucrare

Articolul 30 din GDPR prevede cerințe distincte pentru prelucrările realizate în calitate de operator dar și pentru cele realizate în numele altor operatori de date. Prin urmare, dacă prelucrați date în calitate de operator dar și în calitate de împuterniciți al altor operatori, trebuie sa țineți câte o evidență pentru fiecare dintre aceste calități.

Dacă organismul dvs. acționează atât ca operator, cât și ca împuternicit, evidența prelucrărilor trebuie să distingă clar cele două categorii de activități.

 

OPERATORI

Evidența prelucrărilor operatorilor va cuprinde un inventar al tuturor prelucrărilor:

  • numele şi datele de contact ale: 
    1. operatorului
    2. operatorului asociat
    3. reprezentantului operatorului (dacă acesta nu se află în UE)
    4. responsabilului cu protecția datelor
  • scopurile prelucrării
  • tipurile de date prelucrate (identitate, financiare, localizare etc.)
  • care sunt persoanele vizate 
  • cu cine împărtășiți datele, inclusiv destinatarii din ţări terțe sau organizații internaționale; 
  • transferuri de date într-o altă țară sau către o organizație internațională și, în unele cazuri specifice, garanția prevăzută pentru aceste transferuri;
  • termenele limită pentru păstrarea diferitelor categorii de date; 
  • descrierea măsurilor tehnice și organizatorice de securitate implementate

ÎMPUTERNICIȚI

Evidența prelucrărilor realizate de împuterniciți în numele unui operator va cuprinde un inventar al tuturor prelucrărilor:

  • numele şi datele de contact ale:
    1. persoanei sau persoanelor împuternicite de operator 
    2. fiecărui operator în numele căruia acționează
    3. reprezentantului operatorului (dacă acesta nu se află în UE)i sau ale reprezentantului persoanei împuternicite de operator
    4. responsabilului cu protecția datelor;
  • categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
  • transferuri de date într-o altă țară sau către o organizație internațională și, în unele cazuri specifice, garanția prevăzută pentru aceste transferuri;
  • descrierea măsurilor tehnice și organizatorice de securitate implementate

 

 

Exista un model standard al evidenței activităților de prelucrare?

Nici legislația incidentă, nici ghidurile oficiale din domeniului protecției datelor nu ne-au oferit un model standard al „formularului„ de  evidență a activităților de prelucrare, ceea ce a făcut ca toți practicanții din acest domeniu să își creeze modele proprii.

Pentru a facilita păstrarea evidenței, CNIL, a autoritatea de supraveghere din Franța, a publicat pe site-ul său un model de înregistrare, pentru a răspunde celor mai frecvente nevoi în ceea ce privește prelucrarea datelor, în special pentru organizațiile nu foarte mari, care nu implică fluxuri de date de o complexitate deosebită.

Acest template general poate fi adaptat în funcție de necesitățile companie, pentru a răspunde specificului activității organizației astfel încât să fie respectate cerințele articolului 30 din GDPR.

Am tradus modelul CNIL al evidenței prelucrărilor pentru a fi accesibil tuturor operatorilor români.

Puteți descărca gratuit modelul acestui registru (format .xlsx) accesând pagina „Resurse Utile”, secțiunea Modele Formulare de pe site-ul nostru, sau accesând următorul buton de descărcare. 

Recomandări privind completarea registrului

  • Inventarierea prelucrărilor se păstrează în format format scris. Aceasta poate fi realizată pe format letric (tipărit/ pe hârtie) sau format digital (word, excel, aplicații dedicate).
  • Identificați fluxurile de date discutând cu managerii de procese (contabilitate, HR, vânzări, marketing etc.)
  • Analizați site-ul web și identificați datele colectate în formulare online (contact, chestionar, crearea contului), utilizarea cookie-urilor etc.
  • Evidența trebuie să fie păstrată atât de operatori cât și de împuterniciți pentru a avea o imagine de ansamblu asupra tuturor activităților de prelucrare a datelor cu caracter personal pe care le operează.
  • Sarcina păstrării evidenței poate fi delegată DPO-ului intern sau extern (dacă există) sau a unui alt angajat din cadrul organizației dumneavoastră.
  • În mod regulat (la intervale de 6-12 luni) și ori de câte ori apar modificări la nivelul fluxurilor de date este necesar să actualizați această evidență

CNIL ne spune cum ne va ajuta păstrarea acestei evidențe

  1. Acest instrument este un mijloc de verificare a conformității GDPR atât pentru operator cât și pentru autoritatea de supraveghere. O imagine clară asupra prelucrărilor vă va permite să identificați cu ușurință riscurile și să identifica acțiunile pe care trebuie să le întreprindeți pentru a asigura protecția datelor personale pe care le utilizați;
  2. Evidența prelucrărilor va ajuta responsabilul cu protecția datelor să își îndeplinească misiunile;
  3. Urmărind datele înscrise în aceasta evidenta vă va fi mult mai ușor să redactați notele de informare sau politicile organizației;
  4. Puteți include în evidența dvs. o arhivă a încălcărilor de date și să faceți un inventar al tuturor documentelor legate de transferul în afara Uniunii Europene (clauze contractuale etc.), al operatorilor asociați cu care colaborați (contracte de prelucrare) sau al împuterniciților pe care vă bazați (contractele cu aceștia).

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Avocatul Poporului atacă OUG privind vânzarea cartelelor prepay doar cu buletinul

Administratie Publica

Vizualizari: 1977

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În urma petiției depuse de Asociația pentru Tehnologie și Internet (ApTI), Asociația pentru Apărarea Drepturilor Omului - Comitetul Helsinki (APADOR - CH) și Centrul pentru Inovare Publică despre care am scris în luna august, Avocatul Poporului a sesizat Curtea Constituțională a României cu excepția de neconstituționalitate a Ordonanţei de urgenţă a Guvernului nr. 62/2019 pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 34/2008 privind organizarea şi funcţionarea Sistemului naţional unic pentru apeluri de urgenţă şi pentru completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice.

Avocatul Poporului a constat că O.U.G. nr. 62/2019 afectează drepturi, libertăți și îndatoriri cetățenești, întreaga motivație pe care se bazează opinia Avocatului Poporului se regăsește pe site-ul instituției și poate fi consultata AICI

"Avocatul Poporului apreciază că se impune din partea legiuitorului delegat un spor de rigoare în motivarea urgenței, a dovedirii existenței unei situații extraordinare, cu respectarea principiului proporționalității restrângerii exercițiului drepturilor afectate și a jurisprudenței Curții Constituționale, exigențe pe care actul normativ criticat nu le întrunește. Argumentele utilizate în preambulul actului normativ nu sunt de natură să justifice situația extraordinară și nici urgența unui act normativ care, reglementând obligativitatea colectării datelor cu caracter personal și a stocării pe un termen nedefinit a acestora, limitează drastic exercitarea dreptului la viață intimă, familială și privată. Cât privește argumentul legat de necesitatea stringentă privind localizarea celor care apelează la 112, Avocatul Poporului menționează că aceasta era posibilă și prin reglementarea anterioară. În plus, din examinarea dispozițiilor legale nu rezultă scopul colectării datelor de identificare și nici asigurarea garanțiilor că acestea vor fi folosite exclusiv în scopul declarat în preambul. Finalitatea urmărită de legiutorul delegat, și anume reducerea apelurilor abuzive prin identificarea și sancționarea apelanților abuzivi, prin intermediul colectării datelor de identificare ale utilizatorilor de cartele preplătite, nu constituie o situație extraordinară, nu este de natură a justifica urgența reglementării.

În ceea ce privește completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, justificarea oferită nu conține elementele necesare pentru care situația care nu poate fi amânată ori necesitatea colectării datelor de identificare ale utilizatorilor de cartele preplătite prin ordonanţă de urgenţă, cu atât mai mult cât aceeași reglementare prin lege a fost supusă controlului a priori de constituționalitate, aceleași norme introduse fiind constatate ca neconstituționale. De altfel, urgenţa reglementării nu se justifică nici prin prevederile conţinute, întrucât Ordonanţa de urgenţă a Guvernului nr. 62/2019 nu cuprinde nicio măsură de aplicare imediată de natură să rezolve o situaţie extraordinară. Dimpotrivă, aplicarea efectivă a soluției legislative privind colectarea datelor de identificare ale utilizatorului final al cartelei SIM preplătite se realizează începând cu data de 1 ianuarie 2020.

În context, Avocatul Poporului observă faptul că O.U.G. nr. 62/2019 încalcă art. 115 alin. (6) din Constituţie, prin afectarea dreptului la viață intimă, familială și privată, prevăzut de art. 26 din Legea fundamentală și art. 11 și art. 20 prin raportare la art. 8 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale.

Avocatul Poporului reamintește faptul că, prin Decizia nr. 461/2014 a Curții Constituționale, a fost admisă obiecția de neconstituționalitate a Legii pentru modificarea și completarea Ordonanței de Urgență a Guvernului nr. 111/2011, în ansamblul ei. Comparând textele din actul normativ constatat neconstituțional și cele din art. II al ordonanței de urgență criticate, Avocatul Poporului observă că unele conțin aceleași soluții legale.

În fine, Avocatul Poporului apreciază că actul normativ criticat este în contradicție cu dreptul și jurisprudența europeană în materia comunicațiilor electronice și nu asigură un cadru adecvat și suficient de protecție a datelor cu caracter personal de la dispoziția administratorului SNUAU, conform legislației europene în materie, măsura colectării însăși fiind neadecvată în sensul depășirii scopului propus – acela de sancționare a apelanților abuzivi la Serviciul de urgență." se arată într-un comunicat de presa postat pe site-ul instituției.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Românii vor fi monitorizați de un sistem de recunoașterea facială

Camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare, camere ATM din România vor fi monitorizate de un sistem de recunoaștere facială. Controversele din jurul acestei tehnologii […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Petiție împotriva obligativității înregistrarii utilizatorilor de cartele pre-pay

În data de 8 August 2019, pe site-ul Ministerului Comunicațiilor și Societății Informaționale (MCSI) a apărut proiectul de “Ordonanţă de urgenţă pentru modificarea şi completarea Ordonanţei de urgenţă […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

Ești DPO ? S-a lansat un MANUAL pentru tine!

Autoritatea de supraveghere italiană (Il Garante per la protezione dei dati personali) a publicat un manual în limba engleză menit să sprijine responsabilii cu protecția datelor (DPO) ai […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

Înscrie-te acum la GDPR Summer Challenge!

Acceptă GDPRovocarea acestui sfârșit de vară! 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019. Nu este doar un concurs, […]

Când trebuie instituțiile europene să realizeze o evaluare a impactului (DPIA)?

Autoritatea Europeană pentru Protecția Datelor (EDPS) a adoptat și a publicat astăzi, 17/07/2019, listele cu privire la tipurile de operațiuni de prelucrare care necesită o evaluare a impactului […]

CERT-RO recrutează pasionați de cybersecurity, pentru 12 luni de voluntariat

CENTRUL NAȚIONAL DE RĂSPUNS LA INCIDENTE DE SECURITATE CIBERNETICĂ CERT-RO caută pasionați de cybersecurity, pentru 12 luni de stagiu de voluntariat. De ce să fii voluntar CERT-RO? Pentru […]

Ne lasă GDPR-ul să facem poze la evenimente școlare ?

Fotografierea la școală – În cazul în care bunul simț intră în joc Introducerea Regulamentului general privind protecția datelor (GDPR) a determinat o schimbare semnificativă a percepției populației […]

Ce facem după atacutile cibernetice asupra spitalelor românești? Nimic?

Spitalele sunt o țintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale în ultimii ani și […]

Strategia 5G pentru România a fost aprobată în ședință de guvern

La propunerea Ministerului Comunicațiilor și Societății Informaționale (MCSI), Guvernul României a adoptat joi, 20 iunie 2019, Strategia 5G pentru România, prin hotărâre de guvern. ”Guvernul își propune un […]

Proiectul de lege privind facturarea electronică în domeniul achizițiilor publice, adoptat de Guvern

Guvernul României a adoptat în ședința de joi, 20 iunie 2019, proiectul de Lege privind facturarea electronică în domeniul achizițiilor publice. Actul normativ inițiat de Ministerul Comunicațiilor și […]

Participarea ministrului Comunicațiilor și Societății Informaționale la “CYBER WEEK” Tel Aviv

Alexandru Petrescu, ministrul Comunicațiilor și Societății Informaționale, participă în perioada 24-26 iunie 2019 la cea de-a IX-a ediție a conferinței “CYBER WEEK”, desfășurată la Universitatea Tel Aviv, Israel, […]

Sub Președinția României, Consiliul UE a adoptat Directiva privind datele deschise și reutilizarea datelor din sectorul public

În data de 6 iunie 2019, sub Președinția României, Consiliul TTE (Transporturi, Telecomunicații și Energie) organizat la Luxemburg a adoptat Directiva privind datele deschise și reutilizarea datelor din […]

Reacția rapidă la atacurile cibernetice este vitală pentru limitarea pagubelor și protejarea utilizatorilor

Ministerul Comunicațiilor și Societății Informaționale (MCSI) organizează în perioada 27-31 mai 2019, în parteneriat cu Universitatea Politehnica din București (UPB) și sub auspiciile Președinției României la Consiliul Uniunii […]

Schimb de experiență între România și Republica Moldova în domeniul Protecției Datelor

Confom unui comunicat transmis de ASCPD, în perioada 22-24 mai 2019, în cadrul parteneriatului de colaborare încheiat la 28 ianuarie 2019, cu ocazia Zilei Europene pentru Protecția Datelor, […]

Germania 75 – România 0

Nu, nu este vorba de un meci de baschet și nici măcar nu este vorba despre o competiție, ci despre rezultatele a doua modele diferite de aplicare a […]