Interesul participanţilor pentru conferinţa „Are you ready for GDPR?”, organizată de EMEA Conferences, este o dovadă în plus că există în continuare multe necunoscute şi multe alte întrebări la care companiile caută răspunsuri pentru modul în care noul Regulament General pentru Protecţia Datelor va fi aplicat din 25 mai 2018.

Subiectul „fierbinte” al protecţiei datelor personale a fost explicat, discutat şi „îmblânzit” de experţi europeni şi reprezentanţi ai autorităţilor române în domeniu, prin exemple concrete a modului în care reglementările GDPR se aplică situațiilor specifice.

Luís Neto Galvão, partener în cadrul SRS Advogados, co-autor al cursului de data protection de pe site-ul Consiliului Europei, fost consultant pentru Comisia Europeană şi OECD, a explicat care sunt aspectele obligatorii (conform GDPR) din contractul dintre operatorul de date personale și persoana împuternicită, a disecat „consimţământul” ca temei al prelucrării datelor cu caracter personal şi a discutat cu participanţii despre impactul Regulamentului în activităţile de marketing.

De asemenea, fostul consultant pentru Comisia Europeană a discutat şi despre aplicarea GDPR în serviciile de cloud computing şi despre transferul internaţional de date.

DE REŢINUT: Activităţile de Marketing şi Publicitate se bazează în general pe consimţământul persoanei vizate manifestat în mod specific, pentru fiecare acţiune în parte. În plus, GDPR vine cu o serie de obligaţii mai stricte pentru operatorul de date atunci când îşi bazează prelucrarea datelor pe consimţământul persoanei vizate.

GDPR introduce un volum semnificativ de informaţii care trebuie prezentate indivizilor de către operatorii de date personale înainte de a le fi luat consimţământul pentru  prelucrarea datelor lor, precum: tipul de date prelucrate, scopul prelucrării, temeiul prelucrării, perioada de stocare sau criteriile de determinare a acestei perioade, etc.

Bart van Buitenen, Data Protection Officer (certificat 27K ISO) și trainer GDPR pentru Data Protection Institute din Belgia, a explicat care este rolul unui responsabil cu protecția datelor (DPO) şi când este obligată o companie să aibă o asemenea funcţie specială şi când este oportun să efectueze o evaluare a impactului asupra protecției datelor (DPIA).

DE REŢINUT: Printre sarcinile unui DPO se regăsesc documentarea, consultarea şi auditarea tuturor activităţilor legate de prelucrarea datelor personale. Responsabilul cu protecţia datelor se asigură că acest lucru este respectat în orice activitate a companiei, realizează documentaţia necesară şi procedurile de protecţie a datelor şi coordonează comunicarea cu părţile interesate şi implicate în procesul asigurării protecţiei datelor.

Bart van Buitenen a precizat că responsabilul pentru protecţia datelor are rol de consultant şi este răspunzător pentru o neglijenţă care ar putea genera o breşă de securitate în aceeaşi măsură ca şi alte persoane cu acelaşi rol.

Bart van Buitenen a precizat că răspunderea pentru prelucrarea datelor personale rămâne operatorului de date personale, chiar şi atunci când există un responsabil pentru protecţia datelor. Atunci când responsabilul pentru protecţia datelor are rol de consultant extern acesta este răspunzător pentru neglijenţă în aceeaşi măsură în care orice consultant este răspunzător pentru consultanţa pe care o dă.

De partea cealaltă, reprezentanţii autorităţilor române (ANSPDCP şi CERT-RO) au discutat despre noile drepturi prevăzute în Regulament şi despre modul în care ar trebui să coopereze departamentele dintr-o companie pentru a proteja informaţiile şi pentru a răspunde eficient în cazul unei breşe de securitate.

Simona Șandru, şef Birou Plângeri Autoritatea Naţională de Supraveghere a Prelucrării
Datelor cu Caracter Personal, autoare a lucrării „Protecția datelor personale și viața privată”, a explicat publicului prezent ce presupune dreptul de a fi uitat şi ce presupune dreptul la portabilitatea datelor (dreptul persoanei vizate de cere ca datele sale să fie transferate direct către un alt operator).

DE REŢINUT: Stocarea nu înseamnă arhivare, iar drepul de a fi uitat presupune ştergerea informaţiilor personale din baza de date şi din back-up-uri, dacă nu intervin situaţii speciale.

Echipa CERT-RO, formată din Cătălin Pătrașcu, şef Serviciu Securitatea Informației și Monitorizare, şi consilierul Cristian Driga (foto), a explicat ce înseamnă „data breach”, cum ar trebui să fie tratată o „scurgere de date” şi care sunt măsurile pe care trebuie să le întreprindă o companie în cazul unei breșe de securitate.

DE REŢINUT: Awareness, educaţie şi informare permanentă. Campaniile pentru conştientizarea pericolelor care pot afecta siguranţa datelor şi pregătirea permanentă a angajaţilor cu ultimele informaţii din domeniu fac parte din îndeplinirea normelor GDPR din perspectiva securităţii cibernetice.

În plus, un LINK către SANS Institute, cu măsurile care pot preveni pierderile de date.

Mai multe detalii despre evenimentele EMEA Conferences găsiţi pe www.emeaconferences.com.

Evenimente Știri Resurse ANSPDCP awareness Bart van Buitenen bresa de securitate CERT-RO Cristian Driga cyber security Cătălin Pătrașcu data breach Data Protection Data Protection Officer date personale DPO EMEA Conferences front GDPR Luis Neto Galvao marketing privacy protectia datelor Regulament General pentru Protecţia Datelor sarcini DPO Simona Șandru