GDPR (Regulamentul General privind Protecția Datelor) aduce modificări semnificative în legislația românească, inclusiv înlocuirea legii 677/2001 și aplicarea directă în toate domeniile de activitate. Companiile din România trebuie să respecte noi obligații, precum responsabilitatea de a notifica încălcările de securitate și implementarea măsurilor de protecție a datelor. Nerespectarea acestor reglementări poate atrage sancțiuni severe, de până la 20 milioane euro sau 4% din cifra de afaceri.

1. Ce noută i aduce GDPR i care esteț ș
impactul acestuia asupra companiilor din
România?
Câteva responsabilită i i obliga ii pentruț ș ț
firme
9 mai 2017, Webcast Oracle Bogdan Manolea

2. GDPR
GDPR – General Data Protection Regulation – Regulamentul
general privind protec ia datelor – Regulamentul UE 2016/679ț

Directă aplicare în legisla ia internă (va înlocui legeaț
677/2001)

Domeniul larg de aplicare – orice persoană (fizică sau juridică)
care prelucrează date cu caracter personal

Sanc iuni impresionanteț
 Până la 10 milioane euro sau 2% din cifra de afaceri
 Până la 20 milioane euro sau 4% din cifra de afaceri

3. Domeniu de aplicare
date cu caracter personal - orice informa ii privind oț
persoană fizică identificată sau identificabilă („persoana
vizată”); o persoană fizică identificabilă este o persoană
care poate fi identificată, direct sau indirect, în special prin
referire la un element de identificare, cum ar fi un nume,
un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente
specifice, proprii identită ii sale fizice, fiziologice, genetice,ț
psihice, economice, culturale sau sociale

4. Noută i pentru Româniaț

Fără notificare/înregistrare

Principiul “one stop shop”

Responsabilitate i conformare (ș compliance)
 Data protection by design and by default (începând cu
momentul conceperii i în mod implicit)ș

Notificarea pentru încălcarea securită iiț

Responsabilul pentru protec ia datelorț

Evaluarea de impact asupra protec iei datelor personaleț

Coduri de conduită i certificareș

5. GDPR - Notificarea

Notificarea privind încălcarea securită ii datelor personaleț

În cazul în care are loc o încălcare a securită ii datelor cuț
caracter personal, operatorul notifică acest lucru (...), fără
întârzieri nejustificate i, dacă este posibil,ș în termen de cel
mult 72 de ore de la data la care a luat cuno tin ă deș ț
aceasta (…)

„încălcarea securită ii datelor cu caracter personal”ț
înseamnă o încălcare a securită ii care duce, în modț
accidental sau ilegal, la distrugerea, pierderea, modificarea,
sau divulgarea (...), sau la accesul neautorizat la acestea;

6. GDPR – Notificarea (2)
Notificarea privind încălcarea securită ii datelorț
personale:

Către Autoritate (ANSPDCP)

Sau către persoanele vizate, daca “este
susceptibilă să genereze un risc ridicat pentru
drepturile i libertă ile persoanelor fizice”ș ț
 Excep ie: criptarea (sau alte măsuri tehnice similare)ț
sau riscul ridicat nu mai este susceptibil să se
materializeze;

7. GDPR - securitate

Securitatea prelucrării (art 32)
(1) Având în vedere stadiul actual al dezvoltării, costurile
implementării i natura,ș domeniul de aplicare, contextul iș
scopurile prelucrării, precum iș riscul cu diferite grade de
probabilitate i gravitate pentru drepturile i libertă ileș ș ț
persoanelor fizice, operatorul i persoana împuternicită deș
acesta implementează măsuri tehnice i organizatoriceș
adecvate în vederea asigurării unui nivel de securitate
corespunzător acestui risc, incluzând printre altele, după caz:

8. GDPR - securitate

Deci poate include (art 32)
(a) pseudonimizarea iș criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confiden ialitatea, integritatea,ț
disponibilitatea i rezisten a (ș ț resilience) continue ale sistemelor iș
serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter
personal i accesul la acestea în timp util în cazul în care are loc unș
incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea i aprecierea periodiceș
ale eficacită ii măsurilor tehnice i organizatorice pentru aț ș
garanta securitatea prelucrării.

9. GDPR – securitate (2)

Aderarea la un cod de conduită aprobat (Art
40), sau la un mecanism de certificare aprobat
(Art 42) poate fi utilizată ca element prin care
să se demonstreze îndeplinirea cerin elor deț
securitate

10. Mul umescț
9 mai 2017 Bogdan Manolea