Mai avem un regulament: General Data Protection Regulation

General Data Protection Regulation (GDPR) este propunerea de directivă lansată în 2012 cu scopul de a înlocui Directiva 95/46/EC(directivă transpusă și în legislația naostră sub forma Legii protecției datelor cu caracter personal). Noua propunere a trecut de toate consultările și urmează să fie publicată!

Cîteva idei:

  • Articolul 18 descrie responsabilitatea operatorului de a respecta dispozițiile directivei și de a asigura conformitatea cu aceasta, inclusiv adoptarea de politici și mecanisme în acest scop.
  • Articolul 23 introduce obligația pentru operatori și persoanele împuternicite de către operator de a păstra documentația referitoare la toate sistemele și procedurile de prelucrare aflate în responsabilitatea lor.
  • Articolul 24 se referă la păstrarea înregistrărilor:

Statele membre prevăd dispoziții potrivit cărora se înregistrează următoarele operațiuni de prelucrare: colectare, modificare, consultare, divulgare, combinare sau ștergere. Înregistrările consultărilor sau ale divulgărilor indică, în special, scopul, data și momentul acestor operațiuni și, în măsura în care este posibil, identificarea persoanei ale cărei date cu caracter personal au fost consultate sau divulgate.

  • Articolul 27 descrie măsurile tehnice și organizatorice:

În ceea ce privește prelucrarea automată a datelor, fiecare stat membru prevede dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator, în urma unei evaluări a riscurilor, pune în aplicare măsuri menite:

  • să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare a datelor utilizate pentru prelucrarea datelor cu caracter personal (controlul accesului la echipamente);
  • să împiedice orice citire, copiere, modificare sau eliminare neautorizată a suporturilor de date (controlul suporturilor de date);
  • să împiedice introducerea neautorizată de date și inspectarea, modificarea sau ștergerea neautorizată a datelor cu caracter personal stocate (controlul stocării);
  • să împiedice utilizarea sistemelor de prelucrare automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor (controlul utilizatorului);
  • să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată a datelor au acces numai la datele pentru care au autorizare (controlul accesului la date);
  • să asigure că este posibilă verificarea și identificarea organismelor cărora le-au fost transmise sau puse la dispoziție sau s-ar putea să le fie transmise sau puse la dispoziție date cu caracter personal utilizându-se echipamente de comunicare a datelor (controlul comunicării);
  • să asigure că este posibil ulterior să se verifice și să se identifice datele cu caracter personal introduse în sistemele de prelucrare automată a datelor, momentul introducerii acestora și entitatea care le-a introdus (controlul introducerii datelor);
  • să împiedice citirea, copierea, modificarea sau ștergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date (controlul transportării);
  • să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi (recuperarea);
  • să asigure funcționarea sistemului, raportarea defecțiunilor de funcționare (fiabilitate) și imposibilitatea coruperii datelor cu caracter personal stocate, din cauza funcționării defectuoase a sistemului (integritate).

 

  • Articolele 28 și 29 introduc obligația de a notifica încălcarea securității datelor cu caracter personall
  • Articolul 30 introduce obligația operatorului de a desemna un responsabil cu protecția datelor care ar trebui să îndeplinească sarcinile enumerate la articolul 32
  1. Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în domeniul legislației și practicilor privind protecția datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 32.
  2. Responsabilul cu protecția datelor poate fi desemnat pentru mai multe entități, ținându-se seama de structura organizatorică a autorității competente.

 

  • Articolul 31 stabilește statutul responsabilului cu protecția datelor.

Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor are la dispoziție mijloacele pentru îndeplinirea cu eficacitate și în mod independent a funcțiilor și sarcinilor menționate la articolul 32 și că nu primește instrucțiuni în ceea ce privește exercitarea funcției sale.

  • Articolul 32 prevede sarcinile responsabilului cu protecția datelor.

Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini:

  • informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în conformitate cu dispozițiile adoptate în temeiul prezentei directive și păstrarea documentelor referitoare la această activitate și la răspunsurile primite;
  • monitorizarea aplicării politicilor în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;
  • monitorizarea punerii în aplicare și aplicarea dispozițiilor adoptate în temeiul prezentei directive, în special cu privire la cerințele legate de protecția datelor începând cu momentul conceperii, de protecția implicită a datelor, securitatea datelor și de informarea persoanelor vizate, precum și de solicitările acestora în exercitarea drepturilor lor prevăzute de dispozițiile adoptate în temeiul prezentei directive;
  • asigurarea păstrării documentației, prevăzute la articolul 23;
  • monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a securității datelor cu caracter personal, în temeiul articolelor 28 și 29;
  • monitorizarea cererii de consultare prealabilă adresată autorități de supraveghere, în cazul în care este necesar, în conformitate cu articolul 26;
  • monitorizarea răspunsului la solicitările autorității de supraveghere și, în limitele ariei de competență a responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din proprie inițiativă;
  • asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, de consultare a autorității de supraveghere, din propria inițiativă a responsabilului cu protecția datelor.

UPDATE: Titlul inițial era „mai avem o directivă„….Cum nu sînt jurist le-am încurcat. Este regulament, a fost votat chiar astăzi. În România nu mai este nevoie de nici o lege. Termen limită de aplicare: 2018.

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s