Servicii GDPR

Servicii DPIA | Responsabil Protectia Datelor | DPO as a service

Servicii GDPRCunoscută sub diverse denumiri cum ar fi: Servicii GDPR sau Responsabil protectia datelor sau DPO as a service , consultanța externalizată privind implementarea și configurarea reglementărilor GDPR reprezinta o solutie practică și eficientă din punct de vedere al costurilor pentru organizațiile care nu dispun de expertiza și cunosțintele necesare în materie de protecție a datelor, pentru a-și îndeplini obligațiile care le revin în temeiul Regulamentului general privind protecția datelor (GDPR).

Prin externalizarea sarcinilor și a îndatoririlor DPO către un furnizor de servicii externalizate, beneficiați de recomandări și expertiză de specialitate care vă ajută să răspundeți cerințelor de conformitate ale GDPR în timp ce vă concentrați asupra activităților de bază ale afacerii dvs.

Servicii  GDPR / DPO as a service – Externalizare lunară Responsabil protectia datelor

Beneficii servicii  GDPR / DPO as a service

  • Soluție practică și eficientă din punctul de vedere al costului pentru a atinge respectarea GDPR.
  • Accesul la expertiza DPO independenta atunci când nu aveti resurse interne disponibile.
  • Nu există niciun conflict de interese între DPO și alte activități comerciale.
  • Aplicarea celor mai bune practici pentru atingerea și menținerea conformității cu GDPR.
  • Accesul la instruirea GDPR și la soluțiile de conformitate.
  • Mai multă încredere și o reputație îmbunătățită a afacerii dumneavoastră.

Important de stiut !

DPO ca serviciu externalizat reprezintă o soluție practică și eficientă din punct de vedere al costurilor pentru organizațiile care nu dispun de expertiza și cunoștințele necesare în materie de protecție a datelor, pentru a-și îndeplini obligațiile care le revin în temeiul Regulamentului General privind Protecția Datelor (GDPR).

Infomed Pro că oferă tot suportul necesar înțelegerii în prima etapa a prevederilor GDPR, a modului în care acestea trebuie transpuse, prin evaluarea modului în care se realizează prelucrarea datelor în compania dumneavoastră, prin identificarea punctelor slabe și a eventualelor riscuri de securitate, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.

Curs Responsabil Protecția Datelor

Infomed Pro in colaborare cu Camera de Comert si Industrie Bihor , oganizeaza Curs Responsabil Protectia Datelor!

Cursul se adresează managerilor care doresc să înteleagă modul în care cerințele GDPR vor afecta organizația lor, managerilor implicați în /sau răspunzatori de respectarea GDPR.

Durata cursului: 8 ore.

Servicii GDPR | DPO as a service – Evaluarea de impact a datelor personale

Data Protection Impact Assessment (DPIA)

Cum protecția datelor trebuie gândită acum ”by design”, fiind proiectată în mod implicit odată cu sistemele de procesare, pot apărea o multitudine de situații în care se recomandă evaluarea de impact asupra protecției datelor. O bună practică pentru noile tehnologii și procese este de a evalua dacă prelucrarea are un “risc ridicat”, dacă aduce atingere drepturilor persoanelor vizate și dacă acest risc poate fi redus sau evitat, de exemplu prin pseudonimizare. Evaluările de impact sunt absolut necesare în cazul în care există o prelucrare automată și prelucrarea unor categorii speciale de date pe scară largă.

Beneficiile efectuării unei evaluări de impact a datelor personale

DPIA reprezintă un instrument care poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de confidențialitate. O evaluare de impact eficientă va permite organizațiilor să identifice și să remedieze problemele într-un stadiu incipient, reducând riscurile, costurile asociate și deteriorarea reputației, legată de apariția oricărui incident.

O evaluare de impact, poate fi modul cel mai eficient pentru o organizație de a demonstra autorității de supraveghere modul în care prelucrarea datelor personale respectă cerințele de securitate și confidențialitate. În același timp, posesorii datelor personale pot fi asigurați că organizațiile care procesează informațiile lor urmează cele mai bune practici de securitate și confidențialitate. Un proiect care a fost supus unei evaluări de impact ar trebui să fie garantat ca un proces care are cele mai puțin ridicate riscuri de afectare intruzivă a datelor personale.

Un alt beneficiu pentru persoanele fizice este acela că PIA ar trebui să se asigure transparența în procesul de comunicare și de cunoaștere a modului în care sunt utilizate informațiile personale. Realizarea și publicarea unui raport de evaluare PIA va ajuta orice organizație să construiască relații de încredere cu oamenii care folosesc serviciile lor. Acțiunile întreprinse în timpul și după ce procesul de evaluare pot îmbunătăți experiența organizațiilor în relațiile de înțelegere cu clienții lor.

Tot ce trebuie sa stii despre un Responsabil protectia datelor – DPO

Numirea unui DPO este o obligație:

  • dacă prelucrarea este efectuată de o autoritatea publică sau un organism public (indiferent de datele prelucrate)
  • dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare  periodică și sistematică a persoanelor vizate pe scară largă
  • dacă activități principale ale operatorulu sau persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.

Sursa: Art. 37(1) din RGPD

„Activitățile principale” pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Acestea includ, de asemenea, toate activitățile în care prelucrarea de date reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

De exemplu, prelucrarea datelor privind starea de sănătate, cum ar fi dosarele medicale ale pacientului ar trebui să fie considerată a fi una dintre activitățile principale în orice spital și, prin urmare, spitalele trebuie să desemneze un DPO.

Pe de altă parte, toate organizații efectuează anumite activități, spre exemplu, plata angajaților lor sau deținerea de activități standard de suport IT. Acestea sunt exemple de funcții de sprijin necesare pentru activitatea de bază sau principală a organizației. Chiar dacă aceste activități sunt necesare sau esențiale, acestea sunt de obicei considerate mai degrabă funcții auxiliare decât activitate principală.

Sursa: Art. 37(1)b) și c) din RGPD

RGPD nu definește ce constituie prelucarea pe scară largă. Se recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucarea este efectuată pe o scară largă:numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă:

  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
  • durata sau permanența activității de prelucrare a datelor
  • suprafața geografică a activității de prelucrare

Exemple de prelucrări pe scară largă includ:

  • prelucrarea datelor pacienților în activitatea regulată a unui spital
  • prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
  • prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în furnizarea serviciilor de acest tip
  • prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
  • prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
  • prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau servicii de Internet.

Exemple ce nu constituie de prelucrări pe scară largă includ:

  • prelucrarea datelor pacientului de către un medic individual
  • prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un avocat individual

Sursa: Art. 37(1)b) și c) din RGPD

Noțiunea de monitorizare periodică și sistematică nu este definită în RGPD, dar include în mod clar toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restrictionată în mediul online.

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

  • operarea unei rețele de telecomunicații;
  • furnizarea de servicii de telecomunicații;
  • e-mail de direcționare repetată;
  • activități de marketing bazate pe date;
  • profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
  • urmărirea locației, spre exemplu, prin aplicații mobile;
  • programe de loialitate;
  • publicitate comportamentală;
  • monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile;
  • televiziune cu circuit închis;
  • dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

Sursa: Art.37(1)b) din RGPD

Da. DPO poate fi membru al personalului operatorului sau persoanei împuternicite de operator (DPO intern) sau își poate îndeplini sarcinile în baza unui contract de prestări servicii. Acest lucru înseamnă că DPO poate fi extern și, în acest caz, funcția sa poate fi exercitată în baza unui contract de prestări
servicii încheiat cu o persoană fizică sau o organizație.

În situația în care funcția DPO este exercitată de un furnizor de servicii extern, o echipă de persoane fizice angajate ale respectivei entități poate îndeplini eficient sarcinile DPO ca o echipă, sub responsabilitatea unei singure persoane desemnate ca persoană de contact principală și „persoană
responsabilă” pentru client. În această situație, este esențial ca fiecare membru al organizației care exercită funcțiile unui DPO să îndeplinească toate cerințele aplicabile potrivit RGPD.

Din motive de claritate juridică și o bună organizare și pentru a preveni conflictele de interes pentru membrii echipei, Ghidul recomandă existența unei alocări clare a sarcinilor în cadrul echipei DPO și desemnarea unei singure persoane ca persoană de contact principală și persoană „responsabilă” pentru
fiecare client.

Sursa: Art. 37(6) din RGPD

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile.

Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate.

De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD
  • înțelegerea operațiunilor de prelucrare efectuate
  • înțelegerea tehnologiilor de informații și de securitate a datelor
  • cunoașterea sectorului de afaceri și a organizației
  • abilitatea de a promova protecția datelor în cadrul organizației

Sursa: Art. 37(5) din RGPD

Nu. DPO nu este personal responsabil în situația în care există un caz de nerespectare a cerințelor de protecție a datelor.

Operatorul sau persoana împuternicită de operator are obligația de a pune în aplicare măsuri tehnice și orgnizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul Regulament.

Respectarea normelor de protecției a datelor este o responsabilitate a operatorului sau a persoanei împuternicite de operator.

împuternicită de operator solicită avizul DPO în legătură cu următoarele aspecte, printre care

  • dacă să efectueze sau nu DPIA
  • ce metodologie să fie folosită la efectuarea DPIA
  • dacă să efectueze DPIA intern sau să externalizeze
  • ce garanții (inclusiv măsuri tehnice și organizaționale) să pună în aplicare pentru reducerea oricăror riscuri la adresa drepturilor și intereselor persoanelor vizate
  • dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă să continue sau nu prelucrarea și ce garanții să pună în aplicare) respectă RGPD.

În ceea ce privește păstrarea unei evidențe a operațiunilor de prelucrare, operatorul sau persoana împuternicită de operator, și nu DPO, are obligația de a păstra o evidență a operațiunilor de prelucrare.
Cu toate acestea, nimic nu împiedică operatorul sau persoana împuternicită de operator să atribuie DPO sarcina de a păstra o evidență a operațiunilor de prelucrare în numele operatorului sau persoanei împuternicite de operator. O astfel de evidență trebuie să fie considerată ca fiind unul dintre instrumentele care permit DPO să-și îndeplinească sarcinile de monitorizare a conformității, informăre și consiliere a operatorului sau persoanei împuternicite de operator.

Sursa: Art.39(1)c) și Art. 30 din RGPD

Expertiza și abilitățile unui Responsabil protectia datelor – DPO

responsabil protectia datelorArt. 37(5) prevede că DPO „este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la art. 39”.

Considerentul 97 prevede că nivelul necesar al cunoștințelor de specialitate ar trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate.