Follow-up: GDPR provoacă efervescenţă în companii

Publicat de

Interesul participanţilor pentru conferinţa „Are you ready for GDPR?”, organizată de EMEA Conferences, este o dovadă în plus că există în continuare multe necunoscute şi multe alte întrebări la care companiile caută răspunsuri pentru modul în care noul Regulament General pentru Protecţia Datelor va fi aplicat din 25 mai 2018.

Subiectul „fierbinte” al protecţiei datelor personale a fost explicat, discutat şi „îmblânzit” de experţi europeni şi reprezentanţi ai autorităţilor române în domeniu, prin exemple concrete a modului în care reglementările GDPR se aplică situațiilor specifice.

Luis Neto GalvaoLuís Neto Galvão, partener în cadrul SRS Advogados, co-autor al cursului de data protection de pe site-ul Consiliului Europei, fost consultant pentru Comisia Europeană şi OECD, a explicat care sunt aspectele obligatorii (conform GDPR) din contractul dintre operatorul de date personale și persoana împuternicită, a disecat „consimţământul” ca temei al prelucrării datelor cu caracter personal şi a discutat cu participanţii despre impactul Regulamentului în activităţile de marketing.

De asemenea, fostul consultant pentru Comisia Europeană a discutat şi despre aplicarea GDPR în serviciile de cloud computing şi despre transferul internaţional de date.

DE REŢINUT: Activităţile de Marketing şi Publicitate se bazează în general pe consimţământul persoanei vizate manifestat în mod specific, pentru fiecare acţiune în parte. În plus, GDPR vine cu o serie de obligaţii mai stricte pentru operatorul de date atunci când îşi bazează prelucrarea datelor pe consimţământul persoanei vizate.

GDPR introduce un volum semnificativ de informaţii care trebuie prezentate indivizilor de către operatorii de date personale înainte de a le fi luat consimţământul pentru  prelucrarea datelor lor, precum: tipul de date prelucrate, scopul prelucrării, temeiul prelucrării, perioada de stocare sau criteriile de determinare a acestei perioade, etc.

Bart van BuitenenBart van Buitenen, Data Protection Officer (certificat 27K ISO) și trainer GDPR pentru Data Protection Institute din Belgia, a explicat care este rolul unui responsabil cu protecția datelor (DPO) şi când este obligată o companie să aibă o asemenea funcţie specială şi când este oportun să efectueze o evaluare a impactului asupra protecției datelor (DPIA).

DE REŢINUT: Printre sarcinile unui DPO se regăsesc documentarea, consultarea şi auditarea tuturor activităţilor legate de prelucrarea datelor personale. Responsabilul cu protecţia datelor se asigură că acest lucru este respectat în orice activitate a companiei, realizează documentaţia necesară şi procedurile de protecţie a datelor şi coordonează comunicarea cu părţile interesate şi implicate în procesul asigurării protecţiei datelor.

Bart van Buitenen a precizat că responsabilul pentru protecţia datelor are rol de consultant şi este răspunzător pentru o neglijenţă care ar putea genera o breşă de securitate în aceeaşi măsură ca şi alte persoane cu acelaşi rol.

Bart van Buitenen a precizat că răspunderea pentru prelucrarea datelor personale rămâne operatorului de date personale, chiar şi atunci când există un responsabil pentru protecţia datelor. Atunci când responsabilul pentru protecţia datelor are rol de consultant extern acesta este răspunzător pentru neglijenţă în aceeaşi măsură în care orice consultant este răspunzător pentru consultanţa pe care o dă.

De partea cealaltă, reprezentanţii autorităţilor române (ANSPDCP şi CERT-RO) au discutat despre noile drepturi prevăzute în Regulament şi despre modul în care ar trebui să coopereze departamentele dintr-o companie pentru a proteja informaţiile şi pentru a răspunde eficient în cazul unei breşe de securitate.

21586788_804725419707857_911882489989787124_o

Simona Șandru, şef Birou Plângeri Autoritatea Naţională de Supraveghere a Prelucrării
Datelor cu Caracter Personal, autoare a lucrării „Protecția datelor personale și viața privată”, a explicat publicului prezent ce presupune dreptul de a fi uitat şi ce presupune dreptul la portabilitatea datelor (dreptul persoanei vizate de cere ca datele sale să fie transferate direct către un alt operator).

DE REŢINUT: Stocarea nu înseamnă arhivare, iar drepul de a fi uitat presupune ştergerea informaţiilor personale din baza de date şi din back-up-uri, dacă nu intervin situaţii speciale.

Cristian DrigaEchipa CERT-RO, formată din Cătălin Pătrașcu, şef Serviciu Securitatea Informației și Monitorizare, şi consilierul Cristian Driga (foto), a explicat ce înseamnă „data breach”, cum ar trebui să fie tratată o „scurgere de date” şi care sunt măsurile pe care trebuie să le întreprindă o companie în cazul unei breșe de securitate.

DE REŢINUT: Awareness, educaţie şi informare permanentă. Campaniile pentru conştientizarea pericolelor care pot afecta siguranţa datelor şi pregătirea permanentă a angajaţilor cu ultimele informaţii din domeniu fac parte din îndeplinirea normelor GDPR din perspectiva securităţii cibernetice.

În plus, un LINK către SANS Institute, cu măsurile care pot preveni pierderile de date.

Mai multe detalii despre evenimentele EMEA Conferences găsiţi pe www.emeaconferences.com.

Un comentariu

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

w

Conectare la %s