Consultanta GDPR

Aflați răspunsul la toate întrebările legate de consultanta GDPR și conformați-vă
la noile reglementări.

De ce sa alegeti consultanta GDPR oferită de Infomed PRO?

Pentru a afla dacă firma dumneavoastră e pregătită pentru GDPR și în 2019

Noul Regulament European privind protecția datelor personale (General Data Protection Regulation – UE 679/2016) a intrat în vigoare în data de 25 mai 2018, aducând o serie de modificări privind modul de prelucrare, procesare și stocare a datelor persoanelor fizice. Pe scurt, conform noilor prevederi, toate societățile au obligativitatea de a implementa o serie de formalități care să faciliteze o mai bună transparență și informare privind procesarea și protecția datelor personale: termeni, acorduri, condiții de confidențialitate, declarații între companie și clientul persoana fizică, precum și între entitate și angajat etc.

Pentru o asigurare privind tratamentul responsabil al datelor colectate, entitatea trebuie să asigure angajații/clienții/managerii că datele personale sunt preluate/prelucrate/stocate de anumite persoane autorizate responsabile cu protecția datelor, în condiții de securitate sporită, atât umană, cât și cibernetică.

Pentru a afla dacă datele stocate în cadrul entității dumneavoastră sunt protejate conform politicilor și procedurilor GDPR, echipa de consultanta GDPR Infomedpro vă stă la dispoziție oferindu-vă o vastă experiență și certificare care să asigure o implementare corectă a noului regulament de protecție a datelor. Solicitați acum o ofertă consultanta GDPR pentru a va asigura ca firma dumneavoastră este pregatită pentru GDPR în 2019!

Pentru a evita amenzile

Nerespectarea GDPR poate atrage mai multe tipuri de sanctiuni, inclusiv amenzi consistente de pana la 2% din cifra de afaceri/2 milioane de euro sau pana la 4% din cifra de afaceri/20 milioane de euro.

In plus, conform articolului 82 din prezentul regulament “Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului Regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.

Conform Codului Penal pot fi aplicate urmatoarele sancțiuni în urma nerespectării GDPR:

  • art. 249 Frauda informatică: Introducerea, modificarea sau ştergerea de date informatice, restricţionarea accesului la aceste date ori împiedicarea în orice mod a funcţionării unui sistem informatic, în scopul de a obţine un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane, se pedepseşte cu închisoarea de la 2 la 7 ani.
  • art. 362 Alterarea integritatii datelor informatice: Fapta de a modifica, şterge sau deteriora date informatice ori de a restricţiona accesul la aceste date, fără drept, se pedepseşte cu închisoarea de la unu la 5 ani.
  • art. 364 Transferul neautorizat de date informatice: Transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare a datelor informatice se pedepseşte cu închisoarea de la unu la 5 ani.

Exemple de motive pentru care entitatea dumneavoastra poate fi amendată conform Regulamentului European 679/2016:

  • nerespectarea oricăreia dintre cele șase principii referitoare la prelucrarea datelor cu caracter personal (“legalitate, echitate si transparență”, “limitări legate de scop”, “reducerea la minimum a datelor”, “exactitate”, “limitări legate de stocare”, “integritate si confidențialitate”);
  • nerespectarea legalității prelucrării pe baza uneia dintre condițiile descrise la Art. 6 din Regulamentul UE
  • nu se poate demonstra că persoana vizată și-a dat consimțământul la prelucrarea datelor sale cu caracter personal sau nu se poate demonstra valabilitatea consimțământului
  • prelucrarea categoriilor speciale de date cu caracter personal atunci când nu au fost îndeplinite condițiile prevăzute la art. 9 din noul Regulament GDPR.

Pentru a te conforma GDPR

Regulamentul general privind protecția datelor personale (GDPR) cere companiilor să protejeze datele personale pe care le colectează și le impune o serie de cerințe ce trebuie respectate conform reglementărilor în vigoare:

  • pentru a prelua datele unei persoane fizice, societatea trebuie să îi ceară acordul liber, specific, informat și lipsit de ambiguitate;
  • persoana fizică poate impune ca datele sale să fie utilizate doar parțial, să fie transferate către alt procesator, sau chiar să fie șterse complet dacă acestea sunt prelucrate ilegal, în alt scop sau fără consimțământ corect solicitat anterior;
  • trebuie aplicate anumite proceduri interne, reguli de lucru și de adaptare a infrastructurii IT la noul regulament pentru a spori siguranța cibernetică a societății;
  • societatea trebuie să aibă un registru complet și detaliat din care să reiasă ce date sunt colectate, de unde provin, care este scopul colectării datelor, cum sunt procesate, cine le poate accesa, cât timp sunt stocate și cum.

În scopul conformării societății dumneavoastră la GDPR echipa InfomedPro vă vine în ajutor cu serviciile de consultanță în implementarea GDPR. Oferindu-vă recomandări concrete, în funcție de nivelul de complexitate și buget, precum și soluții avantajoase pentru alinierea la cerințele noului Regulament European de protecție a datelor.

Cum vă putem ajuta?

Oferindu-vă date prețioase

Regulamentul 679/2016 se aplică tuturor persoanelor juridice, indiferent de domeniul de activitate sau de mărimea companiei, astfel încât este foarte important ca managerii/ antreprenorii să aleagă serviciile GDPR corespunzatoare.
În urma unei ședințe de consultanta GDPR, specialiștii Infomedpro îți vor trasa pașii de urmat precum și un plan de implementare  corect și responsabil noilor politici și proceduri de protecție a datelor cu caracter personal.

Vom realiza un audit pentru a evalua dacă societatea este conformă GDPR analizând cele două componente: juridic și IT. În urma evaluării vei afla care sunt eventualele breșe de securitate și îți vom oferi recomandările necesare în scopul implementării cerințelor noului Regulament. Cu toate acestea vei evita sancțiunile/amenzile atrase de nerespectarea GDPR.

Oferindu-vă pregătirea necesară

În urma colaborării cu specialiștii Infomedpro vei obține servicii personalizate precum auditarea companiei în vederea identificării neconformităților cu GDPR,  conceperea unui plan de proceduri și strategii de implementare a noului regulament, consultanta GDPR și asistență. Dar și  desemnarea unui DPO din partea InfomedPro, precum și pregătirea necesară pentru personalul companiei în vederea conformării GDPR.

Oferindu-vă răspuns la întrebări

Adaptarea la provocările și cerințele impuse de Regulamentul General de Protecție a Datelor necesită timp și efort, dar mai ales pregătirea și informarea necesară. Consultanții Infomedpro vă pun la dispoziție experiența și pregătirea în consultanta GDPR, oferindu-vă răspunsurile la întrebări referitoare la implementarea reglementărilor în vigoare privind protecția și prelucrarea datelor cu caracter personal.

Procesul nostru de consultanta GDPR si implementare

Întrebări frecvente

Consultanta GDPR se aplică operatorilor de date şi persoanelor împuternicite de operatori să prelucreze date.

  • Un operator de date stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal.
  • O persoană împuternicită cu prelucrarea datelor este responsabilă de prelucrarea datelor cu caracter personal în numele unui operator.
  • Dacă sunteţi un persoană împuternicită de operatori cu prelucrarea datelor, GDPR instituie obligaţii legale specifice în sarcina voastră: de exemplu, sunteţi obligat să păstraţi evidenţa datelor personale şi a activităţilor de prelucrare. Veţi răspunde legal dacă sunteţi responsabil pentru o încălcare.
  • Cu toate acestea, dacă sunteţi un operator de date, nu sunteţi scutit de obligaţiile dvs. în cazul în care este implicată o persoană împuternicită cu prelucrarea datelor – GDPR vă impune şi alte obligaţii pentru a se asigura că contractele dvs. cu aceste persoane respectă GDPR.
  • GDPR se aplică prelucrărilor efectuate de organizaţii care operează în cadrul UE. Se aplică, de asemenea, organizaţiilor din afara UE care oferă bunuri sau servicii persoanelor fizice din UE.

Numirea unui DPO este o obligație:

  • dacă prelucrarea este efectuată de o autoritatea publică sau un organism public (indiferent de datele prelucrate).
  • dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare  periodică și sistematică a persoanelor vizate pe scară largă.
  • dacă activități principale ale operatorulu sau persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.

Sursa: Art. 37(1) din RGPD

„Activitățile principale” pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Acestea includ, de asemenea, toate activitățile în care prelucrarea de date reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

De exemplu, prelucrarea datelor privind starea de sănătate, cum ar fi dosarele medicale ale pacientului ar trebui să fie considerată a fi una dintre activitățile principale în orice spital și, prin urmare, spitalele trebuie să desemneze un DPO.

Pe de altă parte, toate organizații efectuează anumite activități, spre exemplu, plata angajaților lor sau deținerea de activități standard de suport IT. Acestea sunt exemple de funcții de sprijin necesare pentru activitatea de bază sau principală a organizației. Chiar dacă aceste activități sunt necesare sau esențiale, acestea sunt de obicei considerate mai degrabă funcții auxiliare decât activitate principală.

Sursa: Art. 37(1)b) și c) din RGPD

RGPD nu definește ce constituie prelucarea pe scară largă. Se recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucarea este efectuată pe o scară largă:numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă:

  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare.
  • durata sau permanența activității de prelucrare a datelor.
  • suprafața geografică a activității de prelucrare.

Exemple de prelucrări pe scară largă includ:

  • prelucrarea datelor pacienților în activitatea regulată a unui spital
  • prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
  • prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în furnizarea serviciilor de acest tip
  • prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
  • prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
  • prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau servicii de Internet.

Exemple ce nu constituie de prelucrări pe scară largă includ:

  • prelucrarea datelor pacientului de către un medic individual
  • prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un avocat individual

Sursa: Art. 37(1)b) și c) din RGPD

Noțiunea de monitorizare periodică și sistematică nu este definită în RGPD, dar include în mod clar toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restrictionată în mediul online.

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

  • operarea unei rețele de telecomunicații;
  • furnizarea de servicii de telecomunicații;
  • e-mail de direcționare repetată;
  • activități de marketing bazate pe date;
  • profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
  • urmărirea locației, spre exemplu, prin aplicații mobile;
  • programe de loialitate;
  • publicitate comportamentală;
  • monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile;
  • televiziune cu circuit închis;
  • dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

Sursa: Art.37(1)b) din RGPD

Da. DPO poate fi membru al personalului operatorului sau persoanei împuternicite de operator (DPO intern) sau își poate îndeplini sarcinile în baza unui contract de prestări servicii. Acest lucru înseamnă că DPO poate fi extern și, în acest caz, funcția sa poate fi exercitată în baza unui contract de prestări
servicii încheiat cu o persoană fizică sau o organizație.

În situația în care funcția DPO este exercitată de un furnizor de servicii extern, o echipă de persoane fizice angajate ale respectivei entități poate îndeplini eficient sarcinile DPO ca o echipă, sub responsabilitatea unei singure persoane desemnate ca persoană de contact principală și „persoană
responsabilă” pentru client. În această situație, este esențial ca fiecare membru al organizației care exercită funcțiile unui DPO să îndeplinească toate cerințele aplicabile potrivit RGPD.

Din motive de claritate juridică și o bună organizare și pentru a preveni conflictele de interes pentru membrii echipei, Ghidul recomandă existența unei alocări clare a sarcinilor în cadrul echipei DPO și desemnarea unei singure persoane ca persoană de contact principală și persoană „responsabilă” pentru
fiecare client.

Sursa: Art. 37(6) din RGPD

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile.

Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate.

De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD
  • înțelegerea operațiunilor de prelucrare efectuate
  • înțelegerea tehnologiilor de informații și de securitate a datelor
  • cunoașterea sectorului de afaceri și a organizației
  • abilitatea de a promova protecția datelor în cadrul organizației

Sursa: Art. 37(5) din RGPD

Nu. DPO nu este personal responsabil în situația în care există un caz de nerespectare a cerințelor de protecție a datelor.

Operatorul sau persoana împuternicită de operator are obligația de a pune în aplicare măsuri tehnice și orgnizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul Regulament.

Respectarea normelor de protecției a datelor este o responsabilitate a operatorului sau a persoanei împuternicite de operator.

împuternicită de operator solicită avizul DPO în legătură cu următoarele aspecte, printre care

  • dacă să efectueze sau nu DPIA.
  • ce metodologie să fie folosită la efectuarea DPIA.
  • dacă să efectueze DPIA intern sau să externalizeze.
  • ce garanții (inclusiv măsuri tehnice și organizaționale) să pună în aplicare pentru reducerea oricăror riscuri la adresa drepturilor și intereselor persoanelor vizate.
  • dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă să continue sau nu prelucrarea și ce garanții să pună în aplicare) respectă RGPD.

În ceea ce privește păstrarea unei evidențe a operațiunilor de prelucrare, operatorul sau persoana împuternicită de operator, și nu DPO, are obligația de a păstra o evidență a operațiunilor de prelucrare.
Cu toate acestea, nimic nu împiedică operatorul sau persoana împuternicită de operator să atribuie DPO sarcina de a păstra o evidență a operațiunilor de prelucrare în numele operatorului sau persoanei împuternicite de operator. O astfel de evidență trebuie să fie considerată ca fiind unul dintre instrumentele care permit DPO să-și îndeplinească sarcinile de monitorizare a conformității, informăre și consiliere a operatorului sau persoanei împuternicite de operator.

Sursa: Art.39(1)c) și Art. 30 din RGPD