Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Protecția datelor personale în cadrul unui ONG

10,010 views

Published on

Concepte cheie din legislația specifică. Principalele obligații referitoare la prelucrarea datelor personale pe baza GDPR din mai 2018. Pașii pentru a ajunge spre respectarea legislației.

Prezentare susținută de Bogdan Manolea - Asociația pentru Tehnologie și Internet (ApTI - www.apti.ro), pe 7 noiembrie 2017, în cadrul Școlii Digitale pentru ONG-uri: ONG Online.

Școala Digitală pentru ONG-uri este un program anual creat de Asociația Techsoup pentru a ajuta angajați și voluntarii organizațiilor neguvernamentale din România și Republica Moldova să beneficieze de training profesionist și la îndemână online în utilizarea tehnologiei sau soluțiilor online disponibile lor. Mai multe pe https://ongonline.techsoup.ro/.

Published in: Law
  • Be the first to comment

Protecția datelor personale în cadrul unui ONG

  1. 1. Protecția datelor personale în cadrul unui ONG Bogdan Manolea https://www.apti.ro Webinar 7 noiembrie 2017 București
  2. 2. Cine suntem și ce facem • Advocacy • Educație • Conștientizare
  3. 3. CUPRINS Date personale & zona ONG • Concepte cheie din legislația specifică datelor cu caracter personal; • Principalele obligații referitoare la prelucrarea datelor personale pe baza GDPR din mai 2018; • Pașii pentru a ajunge spre respectarea legislației - primele 5 întrebări și primul pas.
  4. 4. Ce sunt datele personale Legea 677/2001 Date cu caracter personal orice informații referitoare la o persoana fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;
  5. 5. Care din informațiile de mai jos pot fi considerate date cu caracter personal în mod independent: a. Numărul și seria de buletin b. Adresa de email c. Data nașterii d. Numărul de înmatriculare a unei mașini e. Adresa IP
  6. 6. Datele personale NU sunt doar l CNP-ul l Numărul și Seria Cărții de Identitate l Datele înscrise în Cartea de Identitate
  7. 7. Prelucrarea datelor Cu respectarea principiilor: l Procesate legal și cu bună-credință l Colectate în scop determinat și explicit l Adecvate, pertinente și neexcesive în raport cu scopul l Exacte și actualizate. Șterse când nu mai sunt necesare l Păstrate doar cât sunt necesare scopului
  8. 8. Categorii speciale de date l originea rasială sau etnică l convingerile politice, religioase, filozofice sau de natură similară l apartenența sindicală, l datele cu caracter personal privind starea de sănătate sau viața sexuală l + CNP sau alte date având funcție de identificare de aplicabilitate generală l + Date legate de fapte penale/contravenții/cazier
  9. 9. Pentru categoriile speciale l Prelucrarea este interzisă – de principiu l Excepții (exemple) - Acordul expres al persoanei - Dreptul muncii – dispoziții specifice - Când prelucrarea este efectuată în cadrul activităților sale legitime de către o fundație, asociație (…) cu condiția ca persoana vizată să fie membră sau să întrețină cu aceasta relații care privesc specificul activității organizației
  10. 10. Pentru categoriile speciale l Exceptii (exemple) - Date făcute publice în mod manifest de către persoana vizată - Prelucrarea este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată – doar daca prelucrarea e facuta de un medic - Prelucrarea datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea unui cadru medical l Exceptie: pericol iminent sau consimțământ expres scris
  11. 11. Trebuie să mă intereseze ca organizație protecția datelor? Păstrezi sau procesezi orice informație cu privire la persoane fizice în viață? Da – atunci ești operator de date cu caracter personal Ce informație personală este păstrată? Cum se utilizează informația și pentru ce? Asta rezultă într-o politică a organizației cu privire la modul de procesare a datelor personale Înregistrare la Autoritate (?!)
  12. 12. Dacă colectez date cu caracter personal trebuie întotdeauna să: a. Notific Autoritatea înainte de începerea colectării b. Obțin consimțământul persoanei înainte de începerea colectarii c. Informez persoanele vizate despre scopurile prelucrării
  13. 13. Notificare Autoritate D 200/2015 a) prelucrarea datelor legate de rasă, etnie, sex, convingeri politice, religie, starea de sănătate, apartenența sindicală b) prelucrarea datelor genetice și biometrice c) prelucrarea datelor care permit localizarea geografică (...) e) prelucrarea datelor care duc la monitorizarea comportamentului, competenței profesionale sau personalității sau a creării de profile despre utilizatori (...) l) prelucrarea datelor cu caracter personal prevăzute la lit. a), referitoare la propriii membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei vizate.
  14. 14. GDPR GDPR – General Data Protection Regulation – Regulamentul general privind protecția datelor – Regulamentul UE 2016/679 l Directă aplicare în legislația internă (va înlocui legea 677/2001) din 25 mai 2018 l Domeniul larg de aplicare – orice persoană (fizică sau juridică) care prelucrează date cu caracter personal l Sancțiuni impresionante - Până la 10 milioane euro sau 2% din cifra de afaceri - Până la 20 milioane euro sau 4% din cifra de afaceri »
  15. 15. Câteva noutăți pentru România l Fără notificare/înregistrare l Responsabilitate și conformare (compliance) l Notificarea pentru încălcarea securității l Responsabilul pentru protecția datelor l Coduri de conduită și certificare
  16. 16. Responsabilitatea operatorului Art 24. Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament.
  17. 17. Adică cum? Art 5 (2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare („responsabilitate”): Principii: prelucrate în mod legal, echitabil, transparent colectate în scopuri determinate, explicite și legitime adecvate, relevante și limitate exacte, actualizate stocate pe o perioadă determinată în condiții de integritate și confidențialitate
  18. 18. Ca să fim clari... Până în 25 mai 2018 NU se aplică GDPR, obligațiile actuale din legea română (inclusiv notificarea – în anumite cazuri) fiind obligatorie; Cele 5 întrebări nu reprezinta un test complet ...
  19. 19. 1. Ce date personale colectați?
  20. 20. Domeniu de aplicare date cu caracter personal - orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale
  21. 21. Pentru un ONG ar putea fi: Datele membrilor Datele persoanelor înscrise la newsletter Datele vizitatorilor paginii web Datele vizitatorilor paginii de Facebook Datele angajaților Datele suporterilor Datele participanților la un eveniment Etc?
  22. 22. 2. Legalitate - Pe ce bază colectați datele personale?
  23. 23. GDPR – Art 6 (1) Consimțământ Art 6 (1) a) Executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract Art 6 (1) (b) Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului Art 6 (1) (c) Interesele legitime ale Operatorului - Art 6 (1) (f)
  24. 24. La un ONG ar putea fi: Datele pentru newsletter - art 6 (1) a) Datele pentru un contract – art 6 (1) b) Datele pentru o factură – art 6 (1) c) Datele de la un eveniment: - de obicei bazate pe consimțământ
  25. 25. 3. Cui îi mai dați datele personale?
  26. 26. GDPR – Art 4 Pct 7&8 Operator - înseamnă persoana fizică sau juridică, (...) care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; (eng – data controller) Persoană împuternicită de operator - înseamnă persoana fizică sau juridică (...) care prelucrează datele cu caracter personal în numele operatorului; (eng – data processor)
  27. 27. La un ONG ar putea fi: Operator – ONG-ul Împuterniciți: Găzduirea sau Programatorii Banca CRM? Furnizori de marketing (integrali sau specializați – de ex. Newsletter - Mailchimp, etc.) Terți care sunt integrați în site – Google Analytics, Facebook Like, etc.
  28. 28. Obligații Contract scris între operator și împuternicit (art 28 (3)) Prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea operatorului Obligații de confidențialitate Etc. Nu pot delega operațiunile unui alt împuternicit (sub-processor) fără acordul operatorului.
  29. 29. 4. Ce măsuri luați pentru a asigura securitatea datelor?
  30. 30. GDPR l Securitatea prelucrării (art 32) (1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
  31. 31. GDPR - securitate l Deci poate include (art 32) (a) pseudonimizarea și criptarea datelor cu caracter personal; (b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența (resilience) continue ale sistemelor și serviciilor de prelucrare; (c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică; (d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
  32. 32. La un ONG ar putea fi: Securitatea datelor colectate de către ONG Inclusiv păstrarea de către angajați a securității prelucrărilor (clauze contractuale) Securitatea datelor de către împuterniciți Contract “oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate”
  33. 33. 5. Puteți să informați autoritatea în cazul încălcării securității datelor?
  34. 34. GDPR – art 33 l Notificarea privind încălcarea securității datelor personale l În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru (...), fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta (…) l „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea (...), sau la accesul neautorizat la acestea;
  35. 35. GDPR – Notificarea (2) Notificarea privind încălcarea securității datelor personale: l Către Autoritate (ANSPDCP) l Sau către persoanele vizate, daca “este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice” - Excepție: criptarea (sau alte măsuri tehnice similare) sau riscul ridicat nu mai este susceptibil să se materializeze;
  36. 36. Noul Regulament privind protecția datelor personale obligă: a. Notificarea Autorității după începerea colectării b. Obținerea consimțământului pentru toate prelucrările c. Notificarea autorității în cazul încălcării securității d. Depunerea contractelor la Autoritate
  37. 37. Acestea ar putea fi: O procedură pentru: • A detecta incălcările de securitate la date personale • A stabili cum și ce notifici către Autoritate • A primi informări similare de la împuterniciți Obligația de a impune obligații similare pentru împuterniciți.
  38. 38. TEMĂ Primul pas spre compliance Construiți un document care să răspundă la primele întrebări: • Ce date colectați? • Care este baza legală? • Cui îi mai dați datele personale? • Ce măsuri de securitate aveți? Primele 5 răspunsuri primite până pe vineri, 10 noiembrie, ora 23:59 primesc un feedback punctual pe informațiile trimise, ca și următorii pași.
  39. 39. Următorul webinar Drepturi de autor și licențe deschise Luni, 20 noiembrie 2017 - ora 17:00, vei învăța despre: • Noțiuni de drepturi de autor (copyright); • Excepții și limitări ale legislației actuale ce permit utilizarea operelor; • Ce înseamnă licențele libere și de ce sunt importante; • Cum folosești creativ licențele libere pentru a publica și/sau folosi conținut de pe Internet în mod legal.
  40. 40. Mulțumesc Bogdan.manolea@apti.ro

×