Ce este GDPR?

GDPR sau RGPD = Regulamentul General privind Protectia Datelor

GDPR reprezinta cea mai mare schimbare din legislatia de protectie a datelor personale din ultimii 20 de ani. Va impacta absolut orice afacere care isi desfasoara activitatea pe teritoriul UE sau proceseaza date personale ale cetatenilor UE.

Ce presupune, pentru organizatia ta, respectarea si implementarea prevederilor GDPR?

Extinderea aplicabilitatii legislatiei

Toate prelucrarile de date personale, fie ca acestea apartin clientilor, colaboratorilor sau angajatilor tai, vor trebui sa fie conforme cu GDPR.

Orice prelucrare trebuie sa aiba un temei legal documentat

Vei putea aduna si prelucra doar informatii despre clientii/colaboratorii/angajatii tai, de care este neaparata nevoie. Trebuie sa poti dovedi nevoia prelucrarii acestora prin unul dintre cele 6 temeiuri legale aprobate de GDPR.

Drepturi noi pentru persoanele fizice

Acestea primesc drepturi noi, printre care dreptul la portabilitatea datelor, dreptul la stergere sau dreptul la restrictionarea procesarii. Este necesar sa fii pregatit pentru astfel de solicitari si sa le poti indeplini in maxim 30 de zile.

Transparenta extinsa

GDPR vine cu o serie de elemente aditionale care duc la o transparenta mai mare in privinta motivului prelucrarii datelor, obiectivului prelucrarii, duratei pe care vor fi pastrate datele.

Consimtamantul utilizatorilor

Acesta trebuie sa aiba o forma clara, concisa, usor accesibila, utilizand un limbaj clar si simplu. El nu poate fi „ascuns” printre alte documente sau pus laolalta cu Politica de Confidentialitate. Obtinerea consimtamantului nu poate conditiona vanzarea sau prestarea unor servicii!

Termen clar de notificare in caz de bresa de date

O companie trebuie sa anunte autoritatea de supraveghere in termen de 72 de ore. In anumite cazuri, trebuie sa anunte si toti subiectii ale caror date au fost afectate.

Largirea definitiei termenului de „date cu caracter personal”

Date cu caracter personal sunt orice informatii privind o persoana fizica, care pot duce in mod direct sau indirect la identificarea persoanei. Copii dupa actele de identitate, date despre convorbirile telefonice ale angajatilor, inregistrari audio – video, CV-uri, adrese IP, adrese MAC, toate acestea sunt doar o mica parte din ceea ce constituie acum date cu caracter personal.

Toate firmele care proceseaza date cu caracter personal se supun GDPR

Vrei sa fii inca o cifra in statisticile de mai jos?

10.507.550
de date furate/pierdute zilnic
$700.000
amenda primita de Hilton pentru brese de date
43%
dintre atacurile cibernetice vizeaza IMM-urile

Afla cat este de pregatita afacerea ta pentru GDPR
Chestionar de autoevaluare GDPR

1. Ai modificat politica de confidentialitate a site-ului tau pentru a fi conforma cu GDPR?
2. Echipa ta a fost informata si instruita in legatura cu noutatile aduse de GDPR?
3. Exista in cadrul companiei tale o persoana / o echipa responsabila de protectia datelor personale?
4. Exista proceduri care permit persoanelor sa vizualizeze sau sa stearga datele personale?
5. Ai evaluat modalitatile de colectare a datelor personale pentru a te asigura ca primesti consimtamant explicit din partea clientilor?
6. Stii daca compania ta se afla in situatia in care este obligatoriu sa desemneze un DPO (data protection officer)?
7. Exista o procedura prin care sa te asiguri ca autoritatea nationala va fi notificata de orice bresa de date in maxim 72 de ore?
8. Ai pregatit proceduri de notificare a clientilor/angajatilor/partenerilor in cazul unei brese de date?
9. Ai stabilit o procedura de securitate IT prin care poti recupera si accesa date personale?
10. Stii exact cine si in ce masura are acces la datele cu caracter personal prelucrate de compania ta?

Afacerea ta este supusa unor riscuri mari

Afacerea ta este putin pregatita pentru a se supune GDPR. Contacteaza-ne pentru a afla mai multe despre riscurile la care te supui si pentru a lua masuri.

VREAU SA CUNOSC TOATE RISCURILE
Disclaimer: Pentru a afla cat de pregatita este afacerea ta pentru GDPR este necesara o evaluare mai detaliata. Contacteaza-ne pentru audit.

Afacerea ta este supusa unor riscuri medii

Afacerea ta este intr-o oarecare masura conforma cu GDPR. Contacteaza-ne pentru a afla mai multe despre riscurile la care te supui si pentru a lua masuri.

VREAU SA CUNOSC TOATE RISCURILE
Disclaimer: Pentru a afla cat de pregatita este afacerea ta pentru GDPR este necesara o evaluare mai detaliata. Contacteaza-ne pentru audit.

Afacerea ta este supusa unor riscuri mici

Afacerea ta este in general pregatita pentru GDPR. Contacteaza-ne pentru a realiza o evaluare mai amanuntita a riscurilor la care este supusa afacerea ta.

VREAU SA CUNOSC TOATE RISCURILE
Disclaimer: Pentru a afla cat de pregatita este afacerea ta pentru GDPR este necesara o evaluare mai detaliata. Contacteaza-ne pentru audit.

Intrebari frecvente

Care este institutia care coordoneaza problemele legate de GDPR?

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor Cu Caracter Personal (ANSPDCP) este institutia care este responsabila cu aplicarea prevederilor noului regulament.

Cine poate inainta plangeri sau sesizari catre ANSPDCP?

Orice persoana fizica poate inainta plangeri. In vederea solutionarii plangerii, autoritatea de supraveghere poate face audieri ale partilor implicate.

Este obligatoriu sa numesc un Responsabil cu protectia datelor (DPO)?

Numirea unui DPO este obligatorie doar in anumite cazuri:

  • In cazul unei autoritati sau unui organism public (indiferent de datele prelucrate).
  • In cazul unei organizatii care desfasoara operațiuni de prelucrare care necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga.
  • In cazul unei organizatii care desfasoara operatiuni de prelucrare pe scara larga a unor categorii speciale de date personale privind condamnarile penale si infractiunile.
Pot desemna un DPO extern?

Da. DPO poate fi desemnat un angajat al companiei sau se poate numi un DPO extern, in baza unui contract de prestari servicii.

Cine este responsabil pentru nerespectarea normelor de protectie a datelor – DPO sau Operatorul?

Respectarea normelor de protectie a datelor este responsabilitatea operatorului, iar DPO-ul nu este direct responsabil de nerespectarea regulamentului de protectie a datelor.

Ce modificari aduce GDPR privind raportarea breselor de securitate?

GDPR introduce obligativitatea raportarii breselor de securitate catre ANSPDCP, in cazul in care acestea afecteaza integritatea, confidentialitatea si/sau disponibilitatea datelor cu caracter personal. Regulamentul defineste „personal data breach“ ca fiind bresele de securitate care conduc la distrugerea, pierderea, modificarea, dezvaluirea neautorizata sau accesul la datele cu caracter personal transmise, stocate sau prelucrate. Raportarea unei brese de securitate trebuie facuta „fara intarzieri nejustificate“ si in maxim 72 de ore de la detectarea acesteia.

Ce constituie date cu caracter personal?

Orice informatie despre o persoana reprezinta date cu caracter personal (nume, fotografie, adresa de email, cont bancar, postari pe social media, informatii medicale, adrese IP etc.). Cu toate astea, nu toate datele pot duce la identificarea in mod unic a unei persoane – acesta fiind modul de definire al datelor cu caracter personal in GDPR.

ISO27001 acopera cerintele GDPR?

Companiile certificate ISO27001 pot avea un proces mai usor de implementare a reglementarilor GDPR. De exemplu, daca in implementarea standardului ISO datele personale au fost identificate ca un activ, majoritatea cerintelor GDPR vor fi acoperite. La fel se intampla si in cazul procedurii de evaluare a riscurilor sau a anuntarii unei brese de securitate.

Este obligatoriu sa apelez la solutii de securitate a datelor?

Nu este obligatoriu, dar este recomandat. Din momentul consimtamantului, esti responsabil pentru datele cu caracter personal si este recomandat sa iei masuri pentru a te asigura ca aceste date nu vor fi accesate fara autorizatie. Daca alegi sa nu implementezi nicio masura de securitate, va fi nevoie sa-ti motivezi alegerea.

Cand poate fi revocat consimtamantul?

Consimtamantul poate fi revocat in orice moment, fara a fi nevoie de explicatii privind decizia. Consimtamantul obtinut inainte de intrarea in vigoare a GDPR (25 mai) nu este valid si trebuie obtinut din nou.

Cine suntem noi

Oferim servicii si solutii de securitate IT & networking din 2008 incoace, iar in 2017 am adaugat la lista noastra si certificarea de DPO. A fost o alegere naturala pentru o echipa cu ani buni de experienta in securizarea datelor.

Iti punem la dispozitie servicii complete pentru a-ti pregati afacerea pentru GDPR, de la consultanta si servicii de DPO, pana la solutii de securitate IT.

“Solutia de securitate IT recomandata de BLADE ne-a oferit atat o mai mare vizibilitate in reteaua noastra de date, cat si administrarea centralizata a securitatii clientilor din retea.”
Adrian Chis - System Engineer, Universal Alloy Corporation

Vrei sa afli mai multe despre riscurile la care este supusa afacerea ta?