Etichetă: GDPR

GDPR: despre supravegherea video

video gdpr

Plasarea unor camere video este destul de răspândită, ca modalitate de protecție a bunurilor, pentru prevenirea, descurajarea și combaterea unor încălcări ale reglementărilor și din alte motive, fie că este vorba despre instituții, firme sau asociații de locatari, fie chiar persoane fizice.

Cât este de legală amplasarea camerelor video, în context GDPR?

Atât la nivel național, cât și la nivel internațional, există o serie de reguli și un set de recomandări, emise de una sau mai multe autorități competente, în funcție de jurisdicție, de zona acoperită, de avizele tehnice necesare, scopul instalării, accesul la datele conținute în imaginile înregistrate și alte criterii aplicabile fiecărei situații în parte.

Concret, din perspectiva GDPR, există un ghid ANSPDCP, publicat pe site-ul autorității. În plus, ca referință utilă, mai pot fi studiate și deciziile luate de autoritate în cazul unor reclamații care se refereau expres la camere video de supraveghere instalate în anumite spații.

Regulile minime comune cer:

  • efectuarea unui studiu de impact (DPIA) înainte de amplasarea camerelor video, care să includă motivarea utilizării acestei soluții, demonstrând că altele, mai puțin intruzive, au eșuat sau nu pot fi aplicate din motive practice, de cost, etc;
  • instalarea camerelor fără a încălca drepturile și libertățile fundamentale, cum ar fi dreptul la viață privată și intimitate;
  • semnalizarea camerelor de luat vederi, într-o manieră clară și vizibilă, din care să se înțeleagă explicit că se intră într-o zonă supravegheată video;
  • securizarea și controlarea accesului la datele colectate prin supravegherea video;
  • respectarea principiului reducerii la minim a datelor prelucrate – de exemplu, fără sunet, ștergere după 30 de zile, etc.

Mai există mulți alți factori pe care este bine să-i aveți în vedere, atunci când vă gândiți să instalați un sistem de supraveghere cu camere video într-o zonă la care aveți acces. În unele cazuri, existența unui sistem de supraveghere este obligatorie, în altele este cu desăvârșire interzisă, cu sancțiuni grave.

Deși pare greu de crezut, a fost nevoie să se aplice amenzi usturătoare pentru plasarea de camere video în vestiarele unei firme sau ale unei săli de fitness, unde oamenii se așteaptă să se bucure de intimitate. Cineva a fost de părere că propriile interese aveau prioritate și… a plătit! Astfel de decizii erau greșite și înainte de GDPR…

Întrebări și răspunsuri frecvente

DPO GDPR responsabil cu protecția datelor

Deseori, aflăm despre tot felul de situații pe care le puteți întâlni în cursul activităților de prelucrare a datelor cu caracter personal. Veți putea găsi mai jos câteva dintre cele mai frecvente întrebări și răspunsurile noastre, bazate pe expertiza certificată de cursurile autorizate pe care le-am absolvit, pe experiența practică și pe informațiile pe care le culegem din surse oficiale multiple, interne și internaționale, dintre cele exemplificate și pe prima pagină, pe coloana din dreapta, jos.

Ghiduri publicate de ANSPDCP

În România, puterea de control și decizie aparține ANSPDCP, până la o hotărâre definitivă contrară a unei instanțe judecătorești, în privința aplicării corecte a prevederilor GDPR. Puteți regăsi multe informații utile și răspunsuri pe pagina oficială, aici.

Astfel, partea practică este destul de bine acoperită, în cele 29 de întrebări și răspunsuri publicate. Printre subiectele regăsite se află și temeiurile legale ale prelucrării, în afară de consimțământul persoanelor vizate, cunoscut de toată lumea. De asemenea, apar precizări utile privind desemnarea și rolul responsabilului cu protecția datelor, măsurile tehnice și organizatorice necesare pentru asigurarea securității datelor, ghiduri publicate până acum de autoritatea națională sau de cea europeană, etc.

Alte informații care pot să vă clarifice anumite nelămuriri puteți regăsi în conținutul știrilor privind sancțiunile aplicate de ANSPDCP. Aici veți afla detalii privind abaterile și erorile sancționate, pe care le puteți preveni, evita sau remedia eficient. Sancțiunile se întind pe niveluri pornind de la un simplu avertisment sau o amendă modică, de 500 de Euro și ajungând până la 150,000 de Euro, în cazul afectării unui număr mare de persoane, cu implicații serioase asupra confidențialității datelor personale.

Care este pasul următor?

Coroborarea informațiilor din mai multe surse vă poate ajuta să implementați corect măsurile necesare. Dezavantajul vine din consumul de timp necesar pentru găsirea și înțelegerea informațiilor, pentru aplicarea măsurilor și monitorizarea permanentă a activităților pe care le derulați, pe lângă activitatea principală, generatoare de profit. În plus, toate persoanele implicate în prelucrări de date personale au nevoie de pregătire periodică, pentru a respecta cerințele și pentru a evita situațiile neplăcute, respectiv pentru a remedia erorile, atunci când apar.

Costurile pentru prevenirea și combaterea riscurilor pot fi destul de ridicate, atunci când efortul este susținut integral de persoane fără specializare, într-un cadru intern, în care preocupările principale sînt altele, în scopul generării de profit din activitatea curentă. Din păcate, în numeroase situații, atacurile sau incidentele de securitate a informației au blocat activitatea unei organizații, uneori pe termen lung, provocând pierderi considerabile și ducând chiar la faliment.

Este esențială implementarea unor măsuri tehnice și organizatorice menite atât să contracareze riscurile, cât și să permită identificarea și blocarea rapidă a unei situații nedorite, cum ar fi accesul neautorizat la datele confidențiale, respectiv remedierea rapidă și limitarea pagubelor, cu ajutorul experților.

Vă recomandăm să testați periodic rezistența organizației, să evaluați vulnerabilitățile în scopul eliminării sau măcar reducerii lor, să vă pregătiți periodic oamenii, adresând întrebări experților și aplicând recomandările conținute în răspunsurile acestora. Când doriți să vă ajutăm, vă invităm să ne contactați, folosind informațiile de aici.

7 măsuri tehnice și organizatorice GDPR: luați acum acest ghid gratuit

GDPR măsuri tehnice și organizatorice

Pentru că incidentele cibernetice pot apărea oricând, vă punem la dispoziție un raport cu 7 măsuri tehnice și organizatorice pe care le considerăm esențiale pentru implementarea GDPR în activitatea dumneavoastră.

Raportul în format .pdf poate fi descărcat direct, gratuit, cu un singur clic aici. Sperăm să va fie de folos. Recomandările provin din sursele indicate la finalul raportului, asociații profesionale și autorități din domeniul securității cibernetice.

Scopul este să vă ușureze cel puțin primii pași în demersul de implementare GDPR pe care doriți să-l desfășurați. Acesta este doar începutul. Securitatea cibernetică ar trebui să fie o preocupare continuă, pentru a face față riscurilor.

Cu ajutorul acestor măsuri tehnice și organizatorice veți îmbunătăți capacitatea de conformare cu cerințele GDPR. Dacă doriți să aflați mai multe informații, vă invităm să ne contactați. Succes!

GDPR: despre consimțământ

GDPR consimțământ

Consimțământul este menționat în GDPR de aproximativ șaptezeci de ori.  ca temei pentru prelucrarea datelor cu caracter personal. Articolul 4 al Regulamentului UE 679/2016 îl definește, iar articolul 6 îl consacră printre condițiile de legalitate a prelucrării.

Totuși, primele mențiuni ale consimțământului apar încă din preambulul Regulamentului UE 679/2016 (GDPR). Punctele 32, 33, 38 descriu câteva dintre modalitățile de colectare și validare ale consimțământului.

De asemenea, punctul 40 din preambul menționează că „Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimţământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern, după cum se prevede în
prezentul regulament, inclusiv necesitatea respectării obligaţiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui contract, la solicitarea persoanei vizate
.”

Conform punctului 42 din preambul, „În cazul în care prelucrarea se bazează pe consimţământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată şi-a dat consimţământul pentru operaţiunea de prelucrare. În special, în contextul unei declaraţii scrise cu privire la un alt aspect, garanţiile ar trebui să asigure că persoana vizată este conştientă de faptul că şi-a dat consimţământul şi în ce măsură a făcut acest lucru.”

Mai mult, consimțământul este insuficient în cazul existenței unui dezechilibru între părți, conform punctului 43. Este esențială exprimarea liberă a acestui consimțământ, fiind prioritare drepturile și libertățile individuale, în limitele legii, fără apariția unor prejudicii.

Punctul 50 cuprinde o descriere extinsă a necesității și proporționalității măsurilor legale de prelucrare a datelor cu caracter personal în scopul protejării unor obiective importante de interes public general. De asemenea, în punctul 51, nevoile specifice și exprimarea explicită a consimțământului primesc importanță deosebită.

Consimțământul mai este menționat în punctele 54, 65, 68, 71, 111, 112, 155, 161 și 171 ca exemple de situații și cazuri distincte de utilizare a acestui temei legal pentru prelucrarea datelor cu caracter personal ( cum ar fi în relațiile de muncă).

Condiții pentru consimțământ – ghid

Drepturile persoanelor vizate acoperă o zonă vastă, fiind prevăzute și exemplificate, ca norme de conduită necesare, inclusiv procedurile acceptate în cursul activităților de prelucrare a datelor cu caracter personal. Având în vedere complexitatea, a fost publicat inclusiv un „Ghid al consimțământului”, cu exemple și comentarii provenind de la experți și de la reprezentați ai autorităților de reglementare.

Acest ghid detaliază modul în care este necesar să se înțeleagă și să se aplice prevederile articolelor 7, 8 și 9 referitoare la condițiile privind consimțământul. De asemenea, beneficiază de atenție specială drepturile persoanelor vizate, conform articolelor 13, 14, 17, 18, 20 și 22, inclusiv posibilitatea de retragere a consimțământului pentru prelucrarea datelor cu caracter personal.

Astfel, atunci când există temei derivat din obligații legale, din necesitatea executării unui contract, din exercitarea unei autorități publice, din apărarea intereselor vitale ale unei persoane sau din motive legitime, consimțământul nu mai este necesar.

De asemenea, atunci când este nevoie de consimțământ, el este informat, diferențiat, explicit, liber, specific, clar și poate fi oricând retras, fără consecințe negative. Lipsa unei acțiuni nu reprezintă un consimțământ valabil, la fel nici bifarea prealabilă a unor opțiuni în sensul acceptării anticipate a unor condiții și termeni contractuali, inclusiv prin mijloace electronice.

În cele din urmă, este necesară probarea de către operator a existenței consimțământului într-o formă înregistrată, fie în scris, fie oral, fie digital sau în altă formă valabilă, înainte ca prelucrarea datelor cu caracter personal să înceapă.

În orice situație, când simțiți nevoia unui mic ajutor, vă invităm să apelați la experții noștri! Ne puteți contacta ușor, pentru a beneficia de susținerea unor specialiști care vă ascultă!

Securitate cibernetică și inteligență artificială: de ce împreună?

servicii GDPR

Subiectele de securitate cibernetică ocupă tot mai mult spațiu în știrile zilnice. Acest lucru se întâmplă mai ales în ultimul an, de la intrarea în vigoare a Regulamentului UE 679/2016 (GDPR) privind protecția datelor cu caracter personal. Un articol recent scris de Rodney Caudle, disponibil aici în engleză, oferă câteva răspunsuri și soluții pentru provocările zilelor noastre. Autorul este director de securitate a informației al NIC Inc., furnizor de soluții digitale de securitate cibernetică.

Evoluția tehnologică și inteligența artificială înregistrează progrese uriașe cu o viteză uluitoare. Volumul de date și numărul de dispozitive conectate la Internet sau la alte rețele complexe de telecomunicații tind să sufoce resursele existente. Vulnerabile par să fie îndeosebi resursele umane, supuse unor presiuni tot mai mari pentru a face față atacurilor cibernetice.

Pe scurt, iată câteva motive pentru care inteligența artificială și securitatea cibernetică vor merge împreună, tot mai strâns, în tot mai multe activități:

  • Inteligența artificială analizează volume vaste de informații și evenimente din surse multiple;
  • Identifică variații față de tiparele tipice traficului rețelei;
  • Grupează evenimente de securitate similare și generează pentru ofițerii de securitate cibernetică alerte realiste despre potențiale amenințări;
  • Supraveghează punctele de intrare în rețea pentru dispozitivele IoT.

Articolul este bogat în informații utile despre capabilitățile și avantajele inteligenței artificiale și militează pentru integrarea eficientă a acestora în politicile de securitate cibernetică. O lectură a acestuia poate fi foarte utilă pentru găsirea unor soluții profesioniste.

GDPR: cum alegeți un DPO de încredere?

GDPR DPO training

Conform Regulamentului UE 679/2016 (GDPR)

Responsabilul cu Protecția Datelor (DPO), desemnat conform articolelor 37-39 din GDPR, va avea câteva atribuții cheie pentru activitățile de prelucrare a datelor personale. Pentru a le îndeplini cu succes, va avea nevoie de anumite abilități și cunoștințe, printre care:

  • cunoștințe temeinice din domeniile conexe protecției datelor – juridice, tehnice, economice, etc.;
  • abilități de comunicare, de învățare și predare;
  • experiență practică din domenii care necesită evaluarea, prevenirea și administrarea riscurilor, administrarea sistemelor informatice, securizarea, anonimizarea, monitorizarea fluxurilor de date, etc.;
  • capacitate de reacție, control și coordonare a eforturilor de reducere a efectelor negative și daunelor în caz de incidente;
  • cunoștințe adecvate de previzionare și bugetare, pentru alocarea corespunzătoare a resurselor necesare activităților curente la parametri optimi;

Trusteos vă oferă experiență și seriozitate, abilități specifice și cunoștințe adecvate, pregătire continuă, actualizată frecvent, flexibilitate și eficiență în conformarea cu cerințele reglementărilor privind protecția datelor personale (GDPR).

Ce puteți obține în plus, față de un DPO profesionist?

Experții noștri furnizează sesiuni de training relevante pentru activitățile dumneavoastră care includ prelucrarea datelor personale, interacțiune constantă și răspunsuri operative la solicitări specifice ale organizației dumneavoastră.

Oamenii implicați în procesarea datelor personale vor fi informați periodic, având la dispoziție cunoștințele și recomandările argumentate ale experților noștri, oferite în timp util.

Apelați la sprijinul nostru, pentru consiliere operativă, eficientă și pertinentă privind aspecte concrete și situații specifice, abordate într-o manieră adaptată la nevoile și specificul activităților dumneavoastră.

Experții Trusteos au acumulat o experiență consistentă în peste 21 de ani de activitate în domeniul protecției datelor personale, confidențialității și serviciilor de consultanță conexe, dispunând de certificări multiple, naționale și internaționale, care confirmă calitatea serviciilor furnizate.

Veți beneficia de echilibru, sprijin structurat, informare, consultanță și recomandări practice, cu aplicabilitate imediată. Lucrăm într-o manieră documentată, argumentată și optimizată pentru nevoile dumneavoastră, pe baza evaluării inițiale gratuite.

Veți putea face față mai bine oricăror riscuri legate de prelucrarea datelor personale. Conform cerințelor GDPR, drepturile utilizatorilor vor fi extinse în vederea unui climat caracterizat de încredere sporită și relații de afaceri pe termen lung.