Blogul meu si GDPR

Blogul meu si GDPR

Pentru ca dețin un blog pe care îl actualizez ocazional cu articole și alte materiale nu ar trebui să mă îngrijoreze alinierea la GDPR … nu!?

Iată cateva lucruri care trebuiesc verificate:

1. Ce preiau de la cititiori?

– date legate de acel cookie … care ajunge pe calculatorul lui de la blogul meu pentru ca acest blog să îl recunoască data viitoare ?

– date legate de alte cookie-uri ? Să spunem, un cookie de la Facebook pentru că am butoane de like si share pe blogul meu. Punem aici și acel cookie de la Google Analitycs care înregistrează vizita cititorului meu.

– date ca e-mail, nume și altele atunci când el lasă un comentariu la mine pe blog

– date ca e-mail, nume și altele atunci când el folosește formularul de contact de la mine de pe blog.

2. Cum folosesc aceste date?

– pentru recunoașterea și identificarea cititorilor fideli. De exemplu acel prim cookie care identifică un vizitator ce s-a autentificat vreodată pentru a comenta, ramâne cel care decide și știe asta din preluarea datelor de la cititor

– Facebook sau Google prin faptul ca eu folosesc produsele lor, mă ajută să văd statistici sau altele prin apartenența la sesiunea de cookie-uri.

– o adresă de mail imi trebuie pentru a ști că cel ce a comentat există sau nu, pentru a ști să aprob comentariul, pentru a modera comentariile, etc

– de asemenea în cazul în care cineva mă contactează folosind formularul de contact, eu ar trebui să aflu adresa de e-mail pentru a putea sa dau un răspuns intenției de contact.

 

Sunt menționate aceste elemente în GDPR ?

Cam … DA …

Pregătirea pentru protecția generală a datelor Regulamentul (GDPR) – 12 pași ce trebuiau făcuți deja

gdpr
  1. 1. Conștientizarea

Ar trebui să vă asigurați că factorii de decizie și oamenii cheie din dvs. organizația sunt conștienți că  legea se schimbă în GDPR. Ei au nevoie de timp pentru a aprecia impactul probabil pe care acest lucru îl are și pentru a identifica zonele care ar putea cauza probleme de conformitate în cadrul GDPR. Ar fi util să începeți examinând registrul de risc al organizației dvs., dacă aveți unul.
Implementarea GDPR ar putea avea implicații semnificative asupra resurselor, în special pentru organizațiile mai mari și mai complexe. S-ar putea să constatați ca este dificil dacă lăsați pregătirile până în ultima clipă.

         2. Informațiile pe care le dețineți

Ar trebui să vă documentați și să aflați ce date personale dețineți, de unde provin și cu cine le împărțiți. Este posibil să aveți nevoie să organizați un audit de informații în cadrul organizației dumneavoastră sau în anumite domenii de activitate specifice.
GDPR vă solicită să țineți evidența activităților dvs. de procesare. Aceasta actualizează drepturile pentru o lume în rețea, conectata în mod permanent. De exemplu, dacă aveți datele personale inexacte și aceste date au fost împărtășite cu o altă organizație, va trebui să îi comunicați și celeilalte organizații despre inexactitate, astfel încât să poată corecta propriile sale înregistrări. Nu veți putea să faceți asta dacă nu știți ce date personale dețineți, de unde au provenit și cu cine le împărtășiți. Ar trebui să vă documentați despre aceste detalii. Acest lucru vă va ajuta, de asemenea, să vă conformați cu principiul responsabilității GDPR, care cere organizațiilor a fi capabile să arate modul în care acestea respectă principiile de protecție a datelor, pentru aplicarea unor politici și proceduri eficiente.

          3. Comunicarea informațiilor privind confidențialitatea

Ar trebui să revizuiți notificările dvs. actuale privind confidențialitatea și să puneți în aplicare un plan pentru a face orice modificări necesare încă din timp pentru implementarea GDPR.
Atunci când colectezi datele personale ale oamenilor momentan trebuie să le oferi informații de asigurare cum ar fi identitatea ta și cum intenționezi să le folosești informațiile puse la dispozitie de ei. Acest lucru se face, de obicei, printr-o notificare privind confidențialitatea. Sub GDPR însă există câteva lucruri suplimentare pe care trebuie să le spui oamenilor. De exemplu, va trebui să vă explicați baza legala pentru procesarea datelor, perioadele de păstrare a datelor și faptul că persoanele au dreptul să se plângă către organele abilizate dacă se gândesc că este o problema cu felul in care manipulezi datelor lor.
GDPR cere ca informațiile să fie furnizate în limbaj simplu, concis, ușor de înțeles și limpede.

           4. Drepturile persoanelor

Ar trebui să verificați procedurile pentru a vă asigura că acoperă toate drepturile persoanelor, inclusiv cum ștergeți înregostrări cu datele personale sau furnizați aceste date în format electronic utilizat în mod obișnuit.
GDPR include următoarele drepturi pentru persoane fizice:

  • dreptul de a fi informat;
  • dreptul de acces;
  • dreptul la rectificare;
  • dreptul de a șterge;
  • dreptul de a restrânge procesarea;
  • dreptul la portabilitatea datelor;
  • dreptul de a se opune;
  • și dreaptul a nu  se supune deciziilor luate automat – inclusiv profilare.

În ansamblu, drepturile de care indivizii vor beneficia în cadrul GDPR sunt la fel ca cele din DPA, dar cu unele si îmbunătățiri enorme. Dacă încă de acum oferiți indivizilor drepturile lor, apoi tranziția la GDPR ar trebui să fie relativ ușoară. Acesta este un moment bun pentru a vă verifica procedurile și pentru a afla cum ați reacționa dacă cineva cere să aibă datele șterse de exemplu. Sistemele dvs. vă va ajuta să localizați și să ștergeți datele? Cine va lua deciziile privind ștergerea?

Dreptul la portabilitatea datelor este nou. Se aplică numai:

  • la datele personale pe care o persoană le-a furnizat unui controlor;
  • acolo unde procesarea se bazează pe consimțământul individual;
  • atunci când prelucrarea se face prin mijloace automate;

Ar trebui să vă gândiți dacă trebuie să vă revizuiți procedurile și să efectuați orice schimbare necesară. Veți avea nevoie să oferiți datele personale în structuri utilizate frecvent ce pot fi citite electronic, să formați și să furnizați informații gratuite celor interesați.

       5. Solicitări de acces ale subiecților

Ar trebui să vă actualizați procedurile și să planificați modul în care veți rezolva cererile pentru a ține seama de noile norme:

  • În majoritatea cazurilor, nu veți putea percepe taxe pentru îndeplinirea cerințelor.
  • Veți avea o lună pentru a vă conforma, mai degrabă decât cele 40 de zile care sunt valabile acum.
  • Puteți să refuzați sau puteți să percepeți taxe pentru solicitările care sunt vădit nefondate sau excesive.
  • Dacă refuzați o cerere, trebuie sa comunicați persoanei De ce și faptul că ei au dreptul de a se plânge autorității de supraveghere pentru o cale de atac judecătorească. Trebuie să faceți asta fără întârzieri nejustificate și cel mai târziu, în termen de o lună.

Dacă organizația dvs. gestionează un număr mare de solicitări de acces, luați în considerare implicațiile logistice ale necesității de a face față mai rapid solicitărilor. Ați putea lua în considerare dacă este posibil sau dacă este de dorit să se dezvolte sisteme care permit ușor accesul persoanelor la informațiile lor.

        6. Baza Legală pentru prelucrarea datelor cu caracter personal

Ar trebui să identificați baza legală pentru procesarea datelor ca activitate în GDPR, documentați-le și actualizați notificarea privind confidențialitatea pentru a le explica pe aceastea. Multe organizații nu se vor gândi la baza legală pentru prelucrarea datelor personale.
În conformitate cu legea actuală acest fapt nu are multe implicații practice. Cu toate acestea, acest lucru va fi diferit în cadrul GDPR deoarece drepturile unor persoane vor fi modificate în funcție de baza dvs. legală de prelucrare a datelor lor personale. Cel mai evident exemplu este că oamenii vor avea un drept mai puternic de a-și șterge datele și astfel acolo folosești consimțământul lui ca bază legală pentru prelucrare. De asemenea, va trebui să explicați baza dvs. legală pentru prelucrarea datelor cu caracter personal în notificarea dvs. privind confidențialitatea și atunci când răspundeți la o solicitare de acces a subiectului. Bazele legale din GDPR sunt, în linii mari, aceleași ca și condițiile de procesare în DPA. Ar trebui să fie posibilă revizuirea tipurilor de activități de procesare pe care le efectuați și identificarea bazei dvs. legale pentru a face acest lucru. Ar trebui să documentați bazele dvs. legale pentru a vă ajuta să respectați termenii si cerințele GDPR de “responsabilitate”.

         7. Consimţământ

Trebuie să revizuiți modul în care căutați, înregistrați și gestionați consimțământul și cum trebuie să efectuați modificări. Actualizați acum consimțămintele existente dacă nu respectă standardul GDPR. Trebuie să citiți instrucțiunile detaliate ce au fost publicate cu privire la consimțământul în cadrul GDPR și să utilizați lista de verificare a consimțământului pentru a examina practicile dvs.
Consimțământul trebuie să fie dat în mod liber, specific, informat și lipsit de ambiguitate.
Trebuie să existe un consimțământ pozitiv în consens ce nu poate fi dedus din tăcere, cutii pre-bifate sau inactivitate.
De asemenea, trebuie să fie separat de alți termeni și condiții și va trebui să aveți modalități simple de retragere a consimțământului.
Autoritățile publice și angajatorii vor trebui să aibă grijă deosebită. Consimțământul trebuie să fie verificabil și, în general, persoanele au mai multe drepturi în cazul în care vă bazați pe consimțământul de a procesa datele lor.
Nu aveți obligația de a “repara” automat sau de a actualiza toate consimțămintele DPA existente în pregătirea pentru GDPR. Dar, dacă vă bazați pe consimțământul persoanelor pentru a procesa datele, asigurați-vă că se va atinge Standardul GDPR fiind specific, granular, clar, proeminent, opt-in, documentat corespunzător și ușor de retras. Dacă nu, modificați-vă mecanismele de consimțământ și căutați consimțământul conform GDPR, sau găsiți o alternativă la consimțământ.

         8. Copii

Ar trebui să începeți să vă gândiți acum dacă trebuie să introduceți sisteme locale pentru a verifica vârsta persoanelor și pentru a obține consimțământul părinților sau tutorelui pentru orice
activitate de prelucrare a datelor.
Pentru prima dată, GDPR va aduce o protecție specială pentru datele cu caracter personal ale copiilor, în special în contextul serviciilor comerciale de internet cum ar fi rețelele sociale. Dacă organizația dvs. oferă copiilor servicii online (“servicii ale societății informaționale”) și se bazează pe consimțământul de a colecta informații despre ei, atunci este posibil să aveți nevoie de consimțământul părintelui sau tutorelui pentru a putea prelucra în mod legal datele cu caracter personal.
GDPR stabilește vârsta atunci când un copil își poate da propriul consimțământ la această prelucrare la 16 ani (deși acest lucru poate fi redus la cel puțin 13 în Regatul Unit). Dacă un copil este mai mic atunci va trebui să obțineți consimțământul de la persoana care deține “răspunderea părintească”.

Acest lucru ar putea avea implicații semnificative dacă organizația dvs. oferă servicii online copiilor și colectează datele lor personale. Amintiți-vă că consimțământul trebuie să fie verificabil și că, atunci când colectați datele copiilor, notificarea dvs. privind confidențialitatea trebuie să fie scrisă într-o limbă pe care copiii o vor înțelege.

         9. Încălcările Drepturilor

Ar trebui să vă asigurați că aveți procedurile potrivite pentru a detecta, raporta și investiga încălcarile drepturilor la prelucrarea datelor cu caracter personal.
Unele organizații sunt deja obligate să notifice organisme specifice atunci când are loc o încălcare a drepturilor la prelucrarea datelor cu caracter personal.
GDPR introduce o obligație pentru toate organizațiile de a raporta anumite tipuri încălcări ale drepturilor catre organisme specifice și chiar, în unele cazuri, persoanelor fizice. Trebuie doar să comunicați organizatilor specifice ca s-au produs încălcări ale drepturilor în momentul în care este posibil pentru a nu aștepta ca acest lucru să ducă la un risc pentru drepturile și libertățile persoanelor – dacă, de exemplu, ar putea duce la discriminare, prejudicii reputației, pierderi financiare, pierderea confidențialității sau orice alt dezavantaj economic sau social semnificativ.
În cazul în care încălcarea drepturilor este susceptibilă să ducă la un risc ridicat pentru drepturile și libertățile persoanelor, va trebui, de asemenea, să informați direct pe cei implicați în majoritatea cazurilor.

Ar trebui să introduceți proceduri pentru a detecta, raporta și investiga eficient încălcarea drepturilor la prelucrarea datelor cu caracter personal. Poate doriți să evaluați tipurile de date personale pe care le dețineți și le documentați și, unde vi se va cere, să informați organizațiile specifice sau persoanele afectate în cazul unei încălcări ale drepturilor ce a avut loc. Organizațiile mai mari vor trebui să dezvolte politici și proceduri pentru gestionarea încălcărilor drepturilor la procesarea datelor.
În cazul nerespectării unei încălcări a drepturilor atunci când este necesar, ar putea să apară o amendă, precum și o amendă pentru încălcarea drepturilor în sine.

           10. Protecția datelor prin proiectare și evaluarea impactului protecției datelor

Practica a fost întotdeauna o adoptare a unei abordări personale privind confidențialitatea prin design și să efectueze o evaluare a impactului asupra vieții private (PIA) ca parte a acestui lucru.
Cu toate acestea, GDPR face confidențialitatea prin proiectare să fie o cerință legală expresă, sub termenul “protecția datelor din proiect și din oficiu”. De asemenea, face PIA – la care se face referireca “Evaluări de impact privind protecția datelor” sau DPIA – obligatorii în anumite circumstanțe.
O DPIA este necesară în situațiile în care prelucrarea datelor este probabilă să producă un risc ridicat pentru persoane fizice, de exemplu:

  • unde se desfășoară o nouă tehnologie;
  • în cazul în care este probabil ca o operațiune de profilare să afecteze în mod semnificativ persoane fizice;
  • sau acolo unde există o prelucrare la scară largă a categoriilor speciale de date.

Dacă o DPIA indică faptul că prelucrarea datelor reprezintă un risc ridicat și nu puteți aborda în mod suficient aceste riscuri, vi se va solicita să consultați organismele specifice pentru a obține o opinie cu privire la faptul că operațiunea de procesare respectă GDPR.
Prin urmare, ar trebui să începeți să evaluați situațiile în care va fi necesară efectuarea unei DPIA. Cine o va face? Cine altcineva trebuie să fie implicat? Procesul va fi administrat la nivel central sau local?
De asemenea, trebuie să vă familiarizați acum cu îndrumările pe care organismele specifice le-au produs cu privire la PIA, precum și cu îndrumări din partea Grupului de Lucru pentru articolul 29 și să analizați modul de punere în aplicare a acestora în cadrul organizației dvs. Această indicație arată modul în care PIA pot fi conectate la alte procese organizaționale, cum ar fi managementul riscului și managementul de proiect.

             11. Ofițerii de protecție a datelor (DPO)

Ar trebui să desemnați pe cineva care să-și asume responsabilitatea pentru protecția datelor și să evalueze unde va juca acest rol în cadrul structurii și a modalităților de guvernanță ale organizației dvs.
Ar trebui să vă gândiți dacă sunteți obligat să desemnați oficial un responsabil de protecție a datelor (DPO). Trebuie să desemnați un DPO dacă sunteți:

  • o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • o organizație care efectuează monitorizarea regulată și sistematică a persoanelor pe scară largă;
  • sau o organizație care realizează procesarea la scară largă a unor categorii speciale de date, cum ar fi dosarele medicale sau informații despre condamnările penale.

Grupul de lucru “Articolul 29” a elaborat orientări pentru organizații privind desemnarea, poziția și sarcinile DPO. Este foarte important ca cineva din organizația dvs. sau un consultant extern de protecție a datelor să își asume responsabilitatea corespunzătoare pentru respectarea protecției datelor dvs. și are cunoștințele, sprijinul și autoritatea de a-și îndeplini rolul în mod eficient.

             12.Internaţional

Dacă organizația dvs. operează în mai multe state membre ale UE, trebuie să vă stabiliți autoritatea de supraveghere a protecției datelor și să documentați acest lucru.
Autoritatea principală este autoritatea de supraveghere din statul în care se află sediul principal. Sediul dvs. principal este locația în care se află administrația dvs. centrală în UE sau locul în care sunt luate și implementate deciziile privind scopurile și mijloacele de procesare.
Acest lucru este relevant doar atunci când efectuați procesarea transfrontalieră – adică aveți unități în mai multe state membre ale UE sau aveți o singură unitate în UE care efectuează procesări care afectează în mod substanțial indivizi din alte state ale UE. Dacă acest lucru se aplică organizației dvs., ar trebui să indicați locul în care organizația dvs. ia deciziile cele mai semnificative cu privire la procesarea acestor activitati. Acest lucru vă va ajuta să vă stabiliți “sediul principal” și, prin urmare, autoritatea de supraveghere principală. Grupul de lucru Articolului 29 a elaborat orientări privind identificarea unui controlor sau a unei autorități de supraveghere a procesatorului.

 

 

REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI