SlideShare a Scribd company logo
1 of 27
Regulamentul General privind protec iaț
Datelor Personale (GDPR)
Noută i i obliga ii pentru magazinele onlineț ș ț
5 întrebări esen ialeț
20 iulie 2017, Webinar Trusted.ro & Silkweb
Bogdan Manolea
Trusted.ro
Legi-internet.ro
Cine Suntem: Trusted.ro
- Marca de Incredere pt.
magazine online
- 24 de criterii verificate de
un tert (Noi :-)
- De peste 6 ani pe pia ăț
- 159 magazine certificate
azi
- Sistem de feedback
independent –
OpiniideIncredere.ro
GDPR
GDPR – General Data Protection Regulation –
Regulamentul general privind protec ia datelor –ț
Regulamentul UE 2016/679

Directă aplicare în legisla ia internă (va înlocui legea 677/2001)ț
din 25 mai 2018

Sanc iuni impresionanteț
− Până la 10 milioane euro sau 2% din cifra de
afaceri
− Până la 20 milioane euro sau 4% din cifra de
afaceri
Câteva noută i pentru Româniaț

Fără notificare/înregistrare

Responsabilitate i conformare (ș compliance)

Principiul “one stop shop”

Notificarea pentru încălcarea securită iiț

Responsabilul pentru protec ia datelorț

Coduri de conduită i certificareș
Responsabilitatea operatorului
Art 24. inând seama de natura, domeniul deȚ
aplicare, contextul i scopurile prelucrării,ș
precum i de riscurile cu grade diferite deș
probabilitate i gravitate pentru drepturile iș ș
libertă ile persoanelor fiziceț , operatorul pune
în aplicare măsuri tehnice i organizatoriceș
adecvate pentru a garanta iș a fi în măsură să
demonstreze că prelucrarea se efectuează în
conformitate cu prezentul regulament.
Adică cum?
Art 5 (2) Operatorul este responsabil de respectarea
alineatului (1) i poate demonstra această respectareș
(„responsabilitate”):
Principii:

prelucrate în mod legal, echitabil, transparent

colectate în scopuri determinate, explicite i legitimeș

adecvate, relevante i limitateș

exacte, actualizate

stocate pe o perioadă determinată

în condi ii de iț ntegritate i confiden ialitateș ț
Ca să fim clari...

Până în 25 mai 2018 NU se aplică GDPR,
obliga iile actuale din legea română (inclusivț
notificarea – în anumite cazuri) fiind obligatorie;

Cele 5 întrebări nu reprezinta un test complet
de a demonstra responsabilitatea pentru
prelucrarea datelor cu caracter personale
pentru un magazin online.
1. Ce date personale colecta i?ț
Domeniu de aplicare
date cu caracter personal - orice informa iiț
privind o persoană fizică identificată sau
identificabilă („persoana vizată”); o persoană
fizică identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin
referire la un element de identificare, cum ar fi un
nume, un număr de identificare, date de
localizare, un identificator online, sau la unul sau
mai multe elemente specifice, proprii identită iiț
sale fizice, fiziologice, genetice, psihice,
economice, culturale sau sociale
Pentru magazine online ar putea fi:

Datele consumatorilor ob inute ca urmare aț
unei comenzi

Datele persoanelor înscrise la newsletter

Datele vizitatorilor paginii web

Datele vizitatorilor paginii de Facebook

Datele angaja ilorț

Datele clien ilor dintr-un CRMț

Datele candida ilor la joburile voastreț

Etc?
2. Legalitate - Pe ce bază colecta i dateleț
personale?
GDPR – Art 6 (1)

Consim ământ Art 6 (1) a)ț

Executarea unui contract la care persoana
vizată este parte sau pentru a face demersuri la
cererea persoanei vizate înainte de încheierea
unui contract Art 6 (1) (b)

Prelucrarea este necesară în vederea
îndeplinirii unei obliga ii legale care îi revineț
operatorului Art 6 (1) (c)

Interesele legitime ale Operatorului - Art 6 (1)
(f) (poate include marketing – vezi Considerent
47) – Dar mare aten ie!ț
La un magazin online ar putea fi:

Datele pentru comandă - art 6 (1) b)

Datele pentru factură – art 6 (1) c)

Datele pentru marketing:
− Fie bazate pe consim ământț

Ac iune fără echivoc (ex. bifă, nu căsu ă bifată) – Art 4ț ț
pct.11

Prezentată într-o formă care o diferen iază în mod clar deț
celelalte aspecte(ex. NU parte din Termeni i Condi ii) art 7ș ț
(2)
− Fie bazate pe interes legitim (dar atunci nu trebuie
să prevaleze în fa a interesului persoanei vizate)ț

Interes legitim – comunicari comerciale prin email către
clien i deja existen i? (legea 506/2004, Art 12 (2)ț ț
3. Cui îi mai da i datele personale?ț
GDPR – Art 4 Pct 7&8

Operator - înseamnă persoana fizică sau
juridică, (...) care, singur sau împreună cu
altele, stabile te scopurile i mijloacele deș ș
prelucrare a datelor cu caracter personal; (eng
– data controller)

Persoană împuternicită de operator -
înseamnă persoana fizică sau juridică (...) care
prelucrează datele cu caracter personal în
numele operatorului; (eng – data processor)
La un magazin online ar putea fi:

Operator – Firma care administrează magazinul

Împuternici i:ț
− Platforma magazinului (Hello Gomag.ro!)
− Găzduirea sau Programatorii
− Curierii
− Procesatorii de plă iț
− Furnizori de marketing (integrali sau specializa i – de ex.ț
Newsletter, Retargeting, etc.)
− Ter i care sunt integra i în site – Google Analytics, Facebookț ț
Login, Zopim Chat, etc.
Obliga iiț

Contract scris între operator i împuternicit (artș
28 (3))
− Prelucrează datele cu caracter personal numai pe
baza unor instruc iuni documentate din parteaț
operatorului
− Obliga ii de confiden ialitateț ț
− Etc.

Nu pot delega opera iunile unui alt împuternicitț
(sub-processor) fără acordul operatorului.
4. Ce măsuri lua i pentru a asigura securitateaț
datelor?
GDPR

Securitatea prelucrării (art 32)
(1) Având în vedere stadiul actual al dezvoltării,
costurile implementării i natura,ș domeniul de aplicare,
contextul iș scopurile prelucrării, precum iș riscul cu
diferite grade de probabilitate i gravitate pentruș
drepturile i libertă ile persoanelor fizice,ș ț operatorul
i persoana împuternicită de acestaș implementează
măsuri tehnice i organizatorice adecvateș în
vederea asigurării unui nivel de securitate
corespunzător acestui risc, incluzând printre altele,
după caz:
GDPR - securitate

Deci poate include (art 32)
(a) pseudonimizarea iș criptarea datelor cu
caracter personal;
(b) capacitatea de a asigura confiden ialitatea,ț
integritatea, disponibilitatea i rezisten aș ț
(resilience) continue ale sistemelor i serviciilorș
de prelucrare;
(c) capacitatea de a restabili disponibilitatea
datelor cu caracter personal i accesul laș
acestea în timp util în cazul în care are loc un
incident de natură fizică sau tehnică;
GDPR – securitate (2)

Aderarea la un cod de conduită aprobat (Art
40), sau la un mecanism de certificare aprobat
(Art 42) poate fi utilizată ca element prin care
să se demonstreze îndeplinirea cerin elor deț
securitate
La un magazin online ar putea fi:

Securitatea datelor folosite de către magazin
− Inclusiv păstrarea de către angaja i a securită iiț ț
prelucrărilor (clauze contractuale)

Securitatea datelor de către împuternici iț
− Contract
− “oferă garan ii suficiente pentru punerea în aplicareț
a unor măsuri tehnice i organizatorice adecvate”ș
5. Pute i să informa i autoritatea în cazulț ț
încălcării securită ii datelor?ț
GDPR – art 33

Notificarea privind încălcarea securită ii datelorț
personale

În cazul în care are loc o încălcare a securită iiț
datelor cu caracter personal, operatorul notifică
acest lucru (...), fără întârzieri nejustificate i, dacăș
este posibil, în termen de cel mult 72 de ore de la
data la care a luat cuno tin ă de aceasta (…)ș ț

„încălcarea securită ii datelor cu caracter personal”ț
înseamnă o încălcare a securită ii care duce, în modț
accidental sau ilegal, la distrugerea, pierderea,
modificarea, sau divulgarea (...), sau la accesul
neautorizat la acestea;
GDPR – Notificarea (2)
Notificarea privind încălcarea securită ii datelorț
personale:

Către Autoritate (ANSPDCP)

Sau către persoanele vizate, daca “este
susceptibilă să genereze un risc ridicat pentru
drepturile i libertă ile persoanelor fizice”ș ț
− Excep ie: criptarea (sau alte măsuri tehniceț
similare) sau riscul ridicat nu mai este susceptibil să
se materializeze;
La un magazin online ar putea fi:

O procedură pentru
− A detecta incălcările de securitate la date personale
− A stabili cum i ce notifici către Autoritateș
− A primi informări similare de la împuternici iț

Obliga ia de a impune obliga ii similare pentruț ț
împuternici iț
Întrebări?
Mul umescț
20 iulie 2017
Bogdan Manolea

More Related Content

Similar to Prezentare Regulamentul Date Personale - 5 intrebari esentiale pentru magazinele online

Jurnal CDIMM 5/2018_Europe Direct Maramures
Jurnal CDIMM 5/2018_Europe Direct MaramuresJurnal CDIMM 5/2018_Europe Direct Maramures
Jurnal CDIMM 5/2018_Europe Direct MaramuresMargareta Capilnean
 
Protecția datelor cu caracter personal în Republica Moldova în contextul GDPR
Protecția datelor cu caracter personal în Republica Moldova în contextul GDPRProtecția datelor cu caracter personal în Republica Moldova în contextul GDPR
Protecția datelor cu caracter personal în Republica Moldova în contextul GDPRTekwill
 
Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva d...
Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva d...Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva d...
Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva d...bmanolea
 
Povesti juridice pentru cumparatori online
Povesti juridice pentru cumparatori onlinePovesti juridice pentru cumparatori online
Povesti juridice pentru cumparatori onlinebmanolea
 
Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...
Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...
Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...Țuca Zbârcea & Asociații
 
Anexa 8_Acord privind prelucrarea datelor cu caracter personal_RO2020ACF_A6_G...
Anexa 8_Acord privind prelucrarea datelor cu caracter personal_RO2020ACF_A6_G...Anexa 8_Acord privind prelucrarea datelor cu caracter personal_RO2020ACF_A6_G...
Anexa 8_Acord privind prelucrarea datelor cu caracter personal_RO2020ACF_A6_G...liviu7vasile
 
GHID GDPR IN SCOLI PROTECTIA DATELOR
GHID GDPR IN SCOLI PROTECTIA DATELOR GHID GDPR IN SCOLI PROTECTIA DATELOR
GHID GDPR IN SCOLI PROTECTIA DATELOR Alis Popa
 
Marca De Incredere Principii De Baza Cristi Petriceanu
Marca De Incredere   Principii De Baza Cristi PetriceanuMarca De Incredere   Principii De Baza Cristi Petriceanu
Marca De Incredere Principii De Baza Cristi Petriceanumihaelaavnet
 
GDPR Open Panel Questions
GDPR Open Panel QuestionsGDPR Open Panel Questions
GDPR Open Panel QuestionsAvaelgo
 
Localizarea flotei angajatorului si GDPR
Localizarea flotei angajatorului si GDPRLocalizarea flotei angajatorului si GDPR
Localizarea flotei angajatorului si GDPRbmanolea
 
NNDKP_Viata privata in social media
NNDKP_Viata privata in social mediaNNDKP_Viata privata in social media
NNDKP_Viata privata in social mediaNestor_Nestor
 

Similar to Prezentare Regulamentul Date Personale - 5 intrebari esentiale pentru magazinele online (11)

Jurnal CDIMM 5/2018_Europe Direct Maramures
Jurnal CDIMM 5/2018_Europe Direct MaramuresJurnal CDIMM 5/2018_Europe Direct Maramures
Jurnal CDIMM 5/2018_Europe Direct Maramures
 
Protecția datelor cu caracter personal în Republica Moldova în contextul GDPR
Protecția datelor cu caracter personal în Republica Moldova în contextul GDPRProtecția datelor cu caracter personal în Republica Moldova în contextul GDPR
Protecția datelor cu caracter personal în Republica Moldova în contextul GDPR
 
Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva d...
Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva d...Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva d...
Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva d...
 
Povesti juridice pentru cumparatori online
Povesti juridice pentru cumparatori onlinePovesti juridice pentru cumparatori online
Povesti juridice pentru cumparatori online
 
Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...
Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...
Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...
 
Anexa 8_Acord privind prelucrarea datelor cu caracter personal_RO2020ACF_A6_G...
Anexa 8_Acord privind prelucrarea datelor cu caracter personal_RO2020ACF_A6_G...Anexa 8_Acord privind prelucrarea datelor cu caracter personal_RO2020ACF_A6_G...
Anexa 8_Acord privind prelucrarea datelor cu caracter personal_RO2020ACF_A6_G...
 
GHID GDPR IN SCOLI PROTECTIA DATELOR
GHID GDPR IN SCOLI PROTECTIA DATELOR GHID GDPR IN SCOLI PROTECTIA DATELOR
GHID GDPR IN SCOLI PROTECTIA DATELOR
 
Marca De Incredere Principii De Baza Cristi Petriceanu
Marca De Incredere   Principii De Baza Cristi PetriceanuMarca De Incredere   Principii De Baza Cristi Petriceanu
Marca De Incredere Principii De Baza Cristi Petriceanu
 
GDPR Open Panel Questions
GDPR Open Panel QuestionsGDPR Open Panel Questions
GDPR Open Panel Questions
 
Localizarea flotei angajatorului si GDPR
Localizarea flotei angajatorului si GDPRLocalizarea flotei angajatorului si GDPR
Localizarea flotei angajatorului si GDPR
 
NNDKP_Viata privata in social media
NNDKP_Viata privata in social mediaNNDKP_Viata privata in social media
NNDKP_Viata privata in social media
 

More from bmanolea

ApTI Raport Anual 2018 - drepturi civile digitale
ApTI Raport Anual 2018 - drepturi civile digitaleApTI Raport Anual 2018 - drepturi civile digitale
ApTI Raport Anual 2018 - drepturi civile digitalebmanolea
 
Drepturi de autor si implicatiile pentru educatie
Drepturi de autor si implicatiile pentru educatieDrepturi de autor si implicatiile pentru educatie
Drepturi de autor si implicatiile pentru educatiebmanolea
 
Cum calculezi Net Promoter Scor - cel mai important KPI in e-commerce
Cum calculezi Net Promoter Scor - cel mai important KPI in e-commerceCum calculezi Net Promoter Scor - cel mai important KPI in e-commerce
Cum calculezi Net Promoter Scor - cel mai important KPI in e-commercebmanolea
 
Garanţii procedurale în emiterea şi punerea în executare a mandatelor de supr...
Garanţii procedurale în emiterea şi punerea în executare a mandatelor de supr...Garanţii procedurale în emiterea şi punerea în executare a mandatelor de supr...
Garanţii procedurale în emiterea şi punerea în executare a mandatelor de supr...bmanolea
 
Prezentare introductiva despre profilare
Prezentare introductiva despre profilare Prezentare introductiva despre profilare
Prezentare introductiva despre profilare bmanolea
 
Date deschise-bogdan-training-sar
Date deschise-bogdan-training-sarDate deschise-bogdan-training-sar
Date deschise-bogdan-training-sarbmanolea
 
Access2legislation canada
Access2legislation canadaAccess2legislation canada
Access2legislation canadabmanolea
 
Open legislation in Romania
Open legislation in RomaniaOpen legislation in Romania
Open legislation in Romaniabmanolea
 
Blogerii, sondajul, indoiala si colonul
Blogerii, sondajul, indoiala si colonulBlogerii, sondajul, indoiala si colonul
Blogerii, sondajul, indoiala si colonulbmanolea
 
Date deschise geo spatial
Date deschise geo spatialDate deschise geo spatial
Date deschise geo spatialbmanolea
 
Cum sa (NU) contactezi un parlamentar roman
Cum sa (NU) contactezi un parlamentar romanCum sa (NU) contactezi un parlamentar roman
Cum sa (NU) contactezi un parlamentar romanbmanolea
 
Gpec rezultate studiu 2010
Gpec rezultate studiu 2010Gpec rezultate studiu 2010
Gpec rezultate studiu 2010bmanolea
 
Sisteme alternative de rezolvare a disputelor - Trusted.ro - APC Romania
Sisteme alternative de rezolvare a disputelor - Trusted.ro - APC RomaniaSisteme alternative de rezolvare a disputelor - Trusted.ro - APC Romania
Sisteme alternative de rezolvare a disputelor - Trusted.ro - APC Romaniabmanolea
 
Vanzarea produselor si serviciilor online
Vanzarea produselor si serviciilor onlineVanzarea produselor si serviciilor online
Vanzarea produselor si serviciilor onlinebmanolea
 
Notificarea privind pierderea datelor personale
Notificarea privind pierderea datelor personaleNotificarea privind pierderea datelor personale
Notificarea privind pierderea datelor personalebmanolea
 
Open data - Date deschise
Open data - Date deschiseOpen data - Date deschise
Open data - Date deschisebmanolea
 
Prezentare APTI - despre muzica pe Internet
Prezentare APTI - despre muzica pe InternetPrezentare APTI - despre muzica pe Internet
Prezentare APTI - despre muzica pe Internetbmanolea
 
Privacy Report: Romania – from the DP Act to the Constitutional Court decisio...
Privacy Report: Romania – from the DP Act to the Constitutional Court decisio...Privacy Report: Romania – from the DP Act to the Constitutional Court decisio...
Privacy Report: Romania – from the DP Act to the Constitutional Court decisio...bmanolea
 
Proiectul Ubuntu - Prezentare Adi Roiban
Proiectul Ubuntu - Prezentare Adi RoibanProiectul Ubuntu - Prezentare Adi Roiban
Proiectul Ubuntu - Prezentare Adi Roibanbmanolea
 
Prezentare Creative Commons - in romana
Prezentare Creative Commons - in romanaPrezentare Creative Commons - in romana
Prezentare Creative Commons - in romanabmanolea
 

More from bmanolea (20)

ApTI Raport Anual 2018 - drepturi civile digitale
ApTI Raport Anual 2018 - drepturi civile digitaleApTI Raport Anual 2018 - drepturi civile digitale
ApTI Raport Anual 2018 - drepturi civile digitale
 
Drepturi de autor si implicatiile pentru educatie
Drepturi de autor si implicatiile pentru educatieDrepturi de autor si implicatiile pentru educatie
Drepturi de autor si implicatiile pentru educatie
 
Cum calculezi Net Promoter Scor - cel mai important KPI in e-commerce
Cum calculezi Net Promoter Scor - cel mai important KPI in e-commerceCum calculezi Net Promoter Scor - cel mai important KPI in e-commerce
Cum calculezi Net Promoter Scor - cel mai important KPI in e-commerce
 
Garanţii procedurale în emiterea şi punerea în executare a mandatelor de supr...
Garanţii procedurale în emiterea şi punerea în executare a mandatelor de supr...Garanţii procedurale în emiterea şi punerea în executare a mandatelor de supr...
Garanţii procedurale în emiterea şi punerea în executare a mandatelor de supr...
 
Prezentare introductiva despre profilare
Prezentare introductiva despre profilare Prezentare introductiva despre profilare
Prezentare introductiva despre profilare
 
Date deschise-bogdan-training-sar
Date deschise-bogdan-training-sarDate deschise-bogdan-training-sar
Date deschise-bogdan-training-sar
 
Access2legislation canada
Access2legislation canadaAccess2legislation canada
Access2legislation canada
 
Open legislation in Romania
Open legislation in RomaniaOpen legislation in Romania
Open legislation in Romania
 
Blogerii, sondajul, indoiala si colonul
Blogerii, sondajul, indoiala si colonulBlogerii, sondajul, indoiala si colonul
Blogerii, sondajul, indoiala si colonul
 
Date deschise geo spatial
Date deschise geo spatialDate deschise geo spatial
Date deschise geo spatial
 
Cum sa (NU) contactezi un parlamentar roman
Cum sa (NU) contactezi un parlamentar romanCum sa (NU) contactezi un parlamentar roman
Cum sa (NU) contactezi un parlamentar roman
 
Gpec rezultate studiu 2010
Gpec rezultate studiu 2010Gpec rezultate studiu 2010
Gpec rezultate studiu 2010
 
Sisteme alternative de rezolvare a disputelor - Trusted.ro - APC Romania
Sisteme alternative de rezolvare a disputelor - Trusted.ro - APC RomaniaSisteme alternative de rezolvare a disputelor - Trusted.ro - APC Romania
Sisteme alternative de rezolvare a disputelor - Trusted.ro - APC Romania
 
Vanzarea produselor si serviciilor online
Vanzarea produselor si serviciilor onlineVanzarea produselor si serviciilor online
Vanzarea produselor si serviciilor online
 
Notificarea privind pierderea datelor personale
Notificarea privind pierderea datelor personaleNotificarea privind pierderea datelor personale
Notificarea privind pierderea datelor personale
 
Open data - Date deschise
Open data - Date deschiseOpen data - Date deschise
Open data - Date deschise
 
Prezentare APTI - despre muzica pe Internet
Prezentare APTI - despre muzica pe InternetPrezentare APTI - despre muzica pe Internet
Prezentare APTI - despre muzica pe Internet
 
Privacy Report: Romania – from the DP Act to the Constitutional Court decisio...
Privacy Report: Romania – from the DP Act to the Constitutional Court decisio...Privacy Report: Romania – from the DP Act to the Constitutional Court decisio...
Privacy Report: Romania – from the DP Act to the Constitutional Court decisio...
 
Proiectul Ubuntu - Prezentare Adi Roiban
Proiectul Ubuntu - Prezentare Adi RoibanProiectul Ubuntu - Prezentare Adi Roiban
Proiectul Ubuntu - Prezentare Adi Roiban
 
Prezentare Creative Commons - in romana
Prezentare Creative Commons - in romanaPrezentare Creative Commons - in romana
Prezentare Creative Commons - in romana
 

Prezentare Regulamentul Date Personale - 5 intrebari esentiale pentru magazinele online

  • 1. Regulamentul General privind protec iaț Datelor Personale (GDPR) Noută i i obliga ii pentru magazinele onlineț ș ț 5 întrebări esen ialeț 20 iulie 2017, Webinar Trusted.ro & Silkweb Bogdan Manolea Trusted.ro Legi-internet.ro
  • 2. Cine Suntem: Trusted.ro - Marca de Incredere pt. magazine online - 24 de criterii verificate de un tert (Noi :-) - De peste 6 ani pe pia ăț - 159 magazine certificate azi - Sistem de feedback independent – OpiniideIncredere.ro
  • 3. GDPR GDPR – General Data Protection Regulation – Regulamentul general privind protec ia datelor –ț Regulamentul UE 2016/679  Directă aplicare în legisla ia internă (va înlocui legea 677/2001)ț din 25 mai 2018  Sanc iuni impresionanteț − Până la 10 milioane euro sau 2% din cifra de afaceri − Până la 20 milioane euro sau 4% din cifra de afaceri
  • 4. Câteva noută i pentru Româniaț  Fără notificare/înregistrare  Responsabilitate i conformare (ș compliance)  Principiul “one stop shop”  Notificarea pentru încălcarea securită iiț  Responsabilul pentru protec ia datelorț  Coduri de conduită i certificareș
  • 5. Responsabilitatea operatorului Art 24. inând seama de natura, domeniul deȚ aplicare, contextul i scopurile prelucrării,ș precum i de riscurile cu grade diferite deș probabilitate i gravitate pentru drepturile iș ș libertă ile persoanelor fiziceț , operatorul pune în aplicare măsuri tehnice i organizatoriceș adecvate pentru a garanta iș a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament.
  • 6. Adică cum? Art 5 (2) Operatorul este responsabil de respectarea alineatului (1) i poate demonstra această respectareș („responsabilitate”): Principii:  prelucrate în mod legal, echitabil, transparent  colectate în scopuri determinate, explicite i legitimeș  adecvate, relevante i limitateș  exacte, actualizate  stocate pe o perioadă determinată  în condi ii de iț ntegritate i confiden ialitateș ț
  • 7. Ca să fim clari...  Până în 25 mai 2018 NU se aplică GDPR, obliga iile actuale din legea română (inclusivț notificarea – în anumite cazuri) fiind obligatorie;  Cele 5 întrebări nu reprezinta un test complet de a demonstra responsabilitatea pentru prelucrarea datelor cu caracter personale pentru un magazin online.
  • 8. 1. Ce date personale colecta i?ț
  • 9. Domeniu de aplicare date cu caracter personal - orice informa iiț privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identită iiț sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale
  • 10. Pentru magazine online ar putea fi:  Datele consumatorilor ob inute ca urmare aț unei comenzi  Datele persoanelor înscrise la newsletter  Datele vizitatorilor paginii web  Datele vizitatorilor paginii de Facebook  Datele angaja ilorț  Datele clien ilor dintr-un CRMț  Datele candida ilor la joburile voastreț  Etc?
  • 11. 2. Legalitate - Pe ce bază colecta i dateleț personale?
  • 12. GDPR – Art 6 (1)  Consim ământ Art 6 (1) a)ț  Executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract Art 6 (1) (b)  Prelucrarea este necesară în vederea îndeplinirii unei obliga ii legale care îi revineț operatorului Art 6 (1) (c)  Interesele legitime ale Operatorului - Art 6 (1) (f) (poate include marketing – vezi Considerent 47) – Dar mare aten ie!ț
  • 13. La un magazin online ar putea fi:  Datele pentru comandă - art 6 (1) b)  Datele pentru factură – art 6 (1) c)  Datele pentru marketing: − Fie bazate pe consim ământț  Ac iune fără echivoc (ex. bifă, nu căsu ă bifată) – Art 4ț ț pct.11  Prezentată într-o formă care o diferen iază în mod clar deț celelalte aspecte(ex. NU parte din Termeni i Condi ii) art 7ș ț (2) − Fie bazate pe interes legitim (dar atunci nu trebuie să prevaleze în fa a interesului persoanei vizate)ț  Interes legitim – comunicari comerciale prin email către clien i deja existen i? (legea 506/2004, Art 12 (2)ț ț
  • 14. 3. Cui îi mai da i datele personale?ț
  • 15. GDPR – Art 4 Pct 7&8  Operator - înseamnă persoana fizică sau juridică, (...) care, singur sau împreună cu altele, stabile te scopurile i mijloacele deș ș prelucrare a datelor cu caracter personal; (eng – data controller)  Persoană împuternicită de operator - înseamnă persoana fizică sau juridică (...) care prelucrează datele cu caracter personal în numele operatorului; (eng – data processor)
  • 16. La un magazin online ar putea fi:  Operator – Firma care administrează magazinul  Împuternici i:ț − Platforma magazinului (Hello Gomag.ro!) − Găzduirea sau Programatorii − Curierii − Procesatorii de plă iț − Furnizori de marketing (integrali sau specializa i – de ex.ț Newsletter, Retargeting, etc.) − Ter i care sunt integra i în site – Google Analytics, Facebookț ț Login, Zopim Chat, etc.
  • 17. Obliga iiț  Contract scris între operator i împuternicit (artș 28 (3)) − Prelucrează datele cu caracter personal numai pe baza unor instruc iuni documentate din parteaț operatorului − Obliga ii de confiden ialitateț ț − Etc.  Nu pot delega opera iunile unui alt împuternicitț (sub-processor) fără acordul operatorului.
  • 18. 4. Ce măsuri lua i pentru a asigura securitateaț datelor?
  • 19. GDPR  Securitatea prelucrării (art 32) (1) Având în vedere stadiul actual al dezvoltării, costurile implementării i natura,ș domeniul de aplicare, contextul iș scopurile prelucrării, precum iș riscul cu diferite grade de probabilitate i gravitate pentruș drepturile i libertă ile persoanelor fizice,ș ț operatorul i persoana împuternicită de acestaș implementează măsuri tehnice i organizatorice adecvateș în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
  • 20. GDPR - securitate  Deci poate include (art 32) (a) pseudonimizarea iș criptarea datelor cu caracter personal; (b) capacitatea de a asigura confiden ialitatea,ț integritatea, disponibilitatea i rezisten aș ț (resilience) continue ale sistemelor i serviciilorș de prelucrare; (c) capacitatea de a restabili disponibilitatea datelor cu caracter personal i accesul laș acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  • 21. GDPR – securitate (2)  Aderarea la un cod de conduită aprobat (Art 40), sau la un mecanism de certificare aprobat (Art 42) poate fi utilizată ca element prin care să se demonstreze îndeplinirea cerin elor deț securitate
  • 22. La un magazin online ar putea fi:  Securitatea datelor folosite de către magazin − Inclusiv păstrarea de către angaja i a securită iiț ț prelucrărilor (clauze contractuale)  Securitatea datelor de către împuternici iț − Contract − “oferă garan ii suficiente pentru punerea în aplicareț a unor măsuri tehnice i organizatorice adecvate”ș
  • 23. 5. Pute i să informa i autoritatea în cazulț ț încălcării securită ii datelor?ț
  • 24. GDPR – art 33  Notificarea privind încălcarea securită ii datelorț personale  În cazul în care are loc o încălcare a securită iiț datelor cu caracter personal, operatorul notifică acest lucru (...), fără întârzieri nejustificate i, dacăș este posibil, în termen de cel mult 72 de ore de la data la care a luat cuno tin ă de aceasta (…)ș ț  „încălcarea securită ii datelor cu caracter personal”ț înseamnă o încălcare a securită ii care duce, în modț accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea (...), sau la accesul neautorizat la acestea;
  • 25. GDPR – Notificarea (2) Notificarea privind încălcarea securită ii datelorț personale:  Către Autoritate (ANSPDCP)  Sau către persoanele vizate, daca “este susceptibilă să genereze un risc ridicat pentru drepturile i libertă ile persoanelor fizice”ș ț − Excep ie: criptarea (sau alte măsuri tehniceț similare) sau riscul ridicat nu mai este susceptibil să se materializeze;
  • 26. La un magazin online ar putea fi:  O procedură pentru − A detecta incălcările de securitate la date personale − A stabili cum i ce notifici către Autoritateș − A primi informări similare de la împuternici iț  Obliga ia de a impune obliga ii similare pentruț ț împuternici iț
  • 27. Întrebări? Mul umescț 20 iulie 2017 Bogdan Manolea

Editor's Notes

  1. Vezi si Opinia 15/2011 Art 29 WP
  2. Vezi si Opinia 15/2011 Art 29 WP
  3. Vezi si Opinia 15/2011 Art 29 WP
  4. Vezi si Opinia 15/2011 Art 29 WP