Ce trebuie sa stim despre GDPR ?

GDPR

Vizualizari: 36096

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor - GDPR).
Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu
data de 25 mai 2018.
Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

NOUTĂŢI

  • Regulamentul (UE) 2016/679 pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal.
  • Regulamentul (UE) 2016/679 stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line.
  • Regulamentul (UE) 2016/679 consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării.
  • Regulamentul (UE) 2016/679 introduce sancţiuni severe, pâna la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat

GDPR se aplică:

  • Prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
  • Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de:
    - oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau
    -  monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
  • Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.

CARE SUNT PRINCIPALELE OBLIGAŢII PENTRU OPERATORII DE DATE ÎN APLICAREA GDPR ?

1. DESEMNAREA UNUI RESPONSABIL CU PROTECŢIA DATELOR

2. CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

3. PRIORITIZAREA ACŢIUNILOR DE ÎNTREPRINS

4. GESTIONAREA RISCURILOR

5. ORGANIZAREA PROCEDURILOR INTERNE

 

DESEMNAREA UNUI RESPONSABIL CU PROTECŢIA DATELOR

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune de informare, de consiliere și de control în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:
- este o autoritate publică sau un organism public, cu excepţia instanţelorîn exercitarea funcţiei lor jurisdicţionale;
- desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
- desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor, ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.
Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii și respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor
- să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter
personal;
- să monitorizeze respectarea GDPR și a legislaţiei naţionale în domeniul protecţiei datelor;
- să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor și să verifice efectuarea acestora;
-  să coopereze cu autoritatea pentru protecţia datelor și să reprezinte punctul de contact în relaţia cu aceasta.

 

CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

Toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii prelucrărilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protecţia Datelor.
Chiar și operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia cartografierii prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni.

În acest sens:
Pentru a evalua în mod eficient impactul GDPR asupra activităţii entităţii, este necesară identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenţei activităţilor de prelucrare.
Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter personal efectuate și pentru a răspunde noilor exigenţe, trebuie identificate, în prealabil, cu precizie:
- diferitele prelucrări de date cu caracter personal;
- categoriile de date cu caracter personal prelucrate;
- scopurile urmărite prin operaţiunile de prelucrare a datelor;
- persoanele care prelucrează aceste date;
- fluxurile de date, indicând originea și destinaţia datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene.

Evidenţa păstratăde operator va cuprinde:
(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecţia datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
(e) dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective și, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General privind Protecţia Datelor, documentaţia care dovedește existenţa unor garanţii adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menţionate la articolul 32 alineatul (1) din Regulamentul General privind Protecţia Datelor.

Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea în vedere urmatoarele:

CINE ?
Se înscriu în evidenţa numele și coordonatele operatorului (și ale reprezentantului sau legal) și, dupa caz, ale responsabilului cu protecţia datelor; Se întocmește lista persoanelor împuternicite, după caz.

CE ?
Se identifică categoriile de date cu caracter personal prelucrate; Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite (datele privind sănătatea sau infracţiunile)

DE CE ?
Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (ex. gestionarea relaţiei comerciale, managementul resurselor umane, geolocalizare, videosupraveghere etc.)

UNDE ?
Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor. Se stabilesc statele către care sunt, eventual, transferate datele.

PÂNĂ CÂND?
Se precizează, pentru fiecare categorie de date, perioada de stocare.

CUM ?
Se precizează masurile de securitate implementate pentru a reduce la minimum riscurile de acces neautorizat la date și, în consecinţa, impactul asupra vieţii private a persoanelor vizate.

 

PRIORITIZAREA ACŢIUNILOR DE ÎNTREPRINS

Operatorul și persoana împuternicită de operator identifică acţiunile care trebuie întreprinse pentru conformarea la cerinţele impuse de GDPR
Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertăţile persoanelor vizate. După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de Regulamentul General privind Protecţia Datelor.
Indiferent de prelucrările efectuate, se vor avea în vedere, în principal, următoarele aspecte:

- colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;
- identificarea temeiului legal în baza căruia se efectuează prelucrarea raportat la art. 6 din Regulamentul General privind Protecţia Datelor (ex. consimţământul persoanelor vizate,
contract, obligaţie legală);
- revizuirea/completarea informaţiilor furnizate persoanelor vizate, astfel încât să respecte cerinţele impuse de Regulamentul General privind Protecţia Datelor (articolele 12, 13 și 14);
- asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;
- verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal
prelucrate;
- stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
- verificarea măsurilor de securitate implementate.

Se pot aplica măsuri speciale, precum: evaluarea impactului asupra protecţiei datelor, extinderea dreptului la informare al persoanelor vizate, obţinerea consimţământului persoanelor vizate (după caz), obţinerea autorizării pentru transferurile de date în state terţe (dacă este cazul), în cazul în care prelucrările de date cu caracter personal efectuate în cadrul operatorului sau persoanei împuternicite de operator îndeplinesc următoarele caracteristici:
- Prelucrarea efectuată vizează și categorii de date precum:

  • date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau religioase, apartenenţa sindicală;
  • date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
  • date referitoare la infracţiuni sau condamnări penale;
  • date referitoare la minori.

- Prelucrarea efectuată are ca scop și ca efect:

  • monitorizarea permanentă pe scară largă a unei zone accesibile publicului;
  • evaluarea sistematică și aprofundată a unor aspecte personale, inclusiv profilarea, pe baza căreia sunt luate decizii care produc efecte juridice referitoare la o persoană fizică sau care o afectează pe aceasta în mod semnificativ.

- Prelucrarea efectuată implică transferuri de date în afara Uniunii Europene, către state care nu asigură un nivel de protecţie adecvat recunoscut de Comisia Europeană.
Se realizează o analiză aprofundată a legislaţiei privind protecţia datelor și a cerinţelor impuse de Regulamentul General privind Protecţia Datelor pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

GESTIONAREA RISCURILOR

În cazul în care au fost identificate prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul va efectua o evaluare a impactului asupra protecţiei datelor, în condiţiile art. 35 din Regulamentul General privind Protecţia Datelor.
Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării.
Se va pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere al persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și
scopurile prelucrării și utilizarea noilor tehnologii.
Evaluarea impactului asupra protecţiei datelor presupune:
- o descriere a prelucrării de date efectuate și a scopurilor acesteia;
- o evaluare a necesităţii și a proporţionalităţii prelucrării de date efectuate;
- o estimare a riscurilor asupra drepturilor și libertăţilor persoanelor vizate;
- măsurile prevăzute pentru a trata riscurile și a asigura conformitatea cu dispoziţiile GDPR.

Evaluarea impactului asupra protecţiei datelor permite:
- realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă viaţa
privată;
- estimarea impactului asupra vieţii private a persoanelor vizate;
- demonstarea faptului că principiile fundamentale ale Regulamentul General privind Protecţia Datelor sunt respectate.

Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:
(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
(b) prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul 10; sau
(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de operator pentru atenuarea acestora, se consultă Autoritatea naţională de supraveghere

ORGANIZAREA PROCEDURILOR INTERNE

Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum:
- breșe de securitate;
- solicitări privind exercitarea drepturilor persoanelor vizate;
- modificarea datelor cu caracter personal colectate;
- schimbarea prestatorului.

Organizarea procedurilor interne implică, în special: 

  •  luarea în considerare a protecţiei datelor cu caracter personal încă de la momentul conceperii (privacy by design) unei aplicaţii sau a unei prelucrări: minimizarea colectării
    datelor în funcţie de scop, cookie-uri, perioada de stocare, informaţiile furnizate persoanelor vizate, obţinerea consimţământului persoanelor vizate, securitatea și confidenţialitatea datelor
    cu caracter personal, garantarea rolului și responsabilităţii părţilor implicate în efectuarea prelucrării datelor;
  • aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru
    fiecare scop specific al prelucrării (privacy by default), având în vedere: volumul de date colectate, gradul de prelucrare a acestora, perioada de stocare și accesibilitatea lor, astfel încât
    datele cu caracter personal să nu fie accesate, fără intervenţia persoanei, de un număr nelimitat de persoane;
  • sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui plan de pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal;
  • soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora; exercitarea
    drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în cazul în care datele au fost colectate prin astfel de mijloace;
  • anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite cazuri, obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de ore și a persoanelor
    vizate în cel mai scurt timp;
  • asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și organizatorice adecvate, incluzând printre altele, după caz:
    a) pseudonimizarea și criptarea datelor cu caracter personal;
    b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și rezistenţa
    continue ale sistemelor și serviciilor de prelucrare;
    c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea
    în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
    d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii măsurilor
    tehnice și organizatorice pentru a garanta securitatea prelucrării.

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

 

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Dezvoltarea continuă a cunoștințelor DPO-ului, o prioritate pentru implementarea GDPR în România

GDPR

Vizualizari: 12392

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Pentru a marca Luna Europeană pentru Securitatea Cibernetică (ECSM), în perioada 26-27 Octombrie 2018, Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) a organizat în București 2 sesiuni de cursuri. Această campanie europeană de sensibilizare este lansată de Agenția Europeană pentru Securitate a Rețelelor și Informațiilor (ENISA) și Comisia Europeană și își propune creșterea gradului de conștientizare, schimbarea comportamentului și asigurarea resurselor pentru protecția datelor în mediul online. Cele două evenimente au avut ca invitați pe: Victor Gânsac, Managerul General al companiei Safetech Innovations și pe Roland Costea, Chief Security Arhitect la Microsoft pentru Europa Centrala și de Est și fondatorul academiei online Defradar.

Vineri, 26 octombrie 2018, un grup de 70 de persoane care au funcția de DPO (Ofițer de Protecție a Datelor) în instituții din domeniul sanitar sau sunt membri ASCPD - Asociația Specialiștilor în Confidențialitate și Protecția Datelor, au absolvit sesiunea de instruire în domeniul securității datelor, numită “Instruire în domeniul managementului securității informatice pentru Ofițerii de Protecție a Datelor (DPO)”.

Ofițerul de Protecție a Datelor are un rol extrem de important, nu doar pentru instituția pe care o reprezintă, ci și pentru toată țara, deoarece spitalele și clinicile medicale sunt entități care furnizează servicii esențiale pentru întreaga populație. Aceste unități juridice colectează, stochează și prelucrează date cu caracter personal sensibile și deopotrivă, valoroase, atât pentru spitale și pacienți, cât și pentru piața neagră pe care se tranzacționează. Este imperios necesar să valorizăm corect aceste informații și să le asigurăm protecția necesară, la timpul potrivit.”, a declarat Marius Dumitrescu, Președintele ASCPD.

Scopul sesiunii de training a fost creșterea gradului de conștientizare în rândul persoanelor cu funcția de DPO (Ofițer de Protecție a Datelor) din instituțiile medicale asupra amenințărilor ce provin din spațiul cibernetic, precum și prezentarea unor posibile măsuri care să crească nivelul de protecție în aceste instituții. Pe parcursul sesiunii de training s-au discutat subiecte precum: organizarea procesului de securitate a informației, managementul riscului în securitatea informației, continuitatea afacerii și recuperarea informației în caz de dezastru, “Privacy by design” vs. “Privacy by default”, principii esențiale în crearea politicilor și a procedurilor de securitate a datelor, analiza riscurilor, conformarea cu cerințele Regulamentului GDPR și Privacy Impact Assessment. Sesiunea de training intensiv s-a finalizat cu un exercițiu practic de analiza a unui proces de business. Ca spațiu de desfășurare a trainingului de securitate cibernetică, compania Safetech Innovations a pus la dispoziția cursanților o sală modernă și suportul logistic oferit de Centrul de Cercetări Avansate pentru Materiale, Produse și Procese Inovative (CAMPUS) din cadrul Universității Politehnica din București.

Prin astfel de evenimente dorim să atragem atenția asupra importanței informației în domeniul medical. Gândiți-vă ce înseamnă dacă cineva modifică, din greșeală sau intenționat, grupa sanguină în dosarul pacientului, care de-a acum este și în format digital? Gândiți-vă ce înseamnă ca cineva să modifice analizele unui computer tomograf, gândiți-vă că se folosesc din ce în ce mai multe dispozitive medicale care vin în contact direct cu corpul pacientului pentru a colecta și a transmite informații despre starea de sănătate a acestuia, date care ar fi utile și altor persoane pentru a le utiliza în scopul de a-și maximiza profiturile pe piața neagră, unde se tranzacționează date cu caracter personal.  Știați că pe această piață neagră, datele medicale sunt de 10 ori mai valoroase decât informațiile de identificare a cardurilor bancare? Iată câteva argumente care ne determină să susținem că datele medicale trebuie protejate, cu sau fără GDPR.  Problemele de securitate dintr-o instituție medicală, nu doar că amenință starea de funcționare, profitabilitatea și reputația instituției medicale, dar reprezintă o amenințare gravă pentru starea de sănătate sau chiar viața pacientului. De aceea, susținem că securitatea informației în domeniul medical ar trebui să devină parte integrantă a protocolului de îngrijire a pacientului, dincolo de constrângerile legislative.”, a declarat Victor Gânsac, Managerul General al companiei Safetech Innovation și trainerul cursului.

Sâmbătă, 27 octombrie 2018, 30 de persoane, membrii ASCPD, au participat la un workshop intitulat “Cum să reușești într-o carieră în domeniul confidențialității și protecției datelor (GDPR)” în cadrul căruia s-au analizat provocările profesionale pe diferite domenii de activitate. Participanții au ajuns la concluzia că lipsa gradului de conștientizare în rândul managementului operatorilor de date, a angajaților acestora și în rândul persoanelor vizate este cel mai mare obstacol în demersul de a obține conformitatea cu principiile GDPR, fiind lansate mai multe idei de proiecte în domeniul educațional.

Rolul DPO creează foarte multe provocări întrucât, atât sectorul industrial din care face parte compania, cât și limitările tehnologice ale pieței din România la nivel SME, nu conduc către o aplicabilitate liniară a regulamentului. Acest lucru îndeamnă spre creativitate în modul în care reușim să abordăm cerințe simple (de exemplu ale unei grădinițe) dar totuși atât de complexe. Sesiunea la care am participat a deschis dialogul către soluții cât mai variate și mai reale în contextele date, astfel încât să existe și o balanță între nivelul de complexitate, de securitate și cost.”, a declarat Roland Costea, Chief Security Arhitect la Microsoft pentru Europa Centrala și de Est și fondatorul academiei online Defradar.

“Asociația și-a propus să crească gradul de educație al responsabililor cu protecția datelor în România și prin ei,  nivelul de cunoaștere al GDPR din companii. Cu aceste două sesiuni de training vrem să marcăm importanța componentei de securitate tehnică din Regulamentul 679/2016 precum și lipsa unor soluții standardizate de conformare. Ambii speakeri au punctat în repetate rânduri faptul că soluțiile tehnice adoptate trebuie să aibă în vedere obiectivele de dezvoltare ale companiei și că nu există o rețetă universal valabilă”, a declarat Cristiana Deca, Vicepreședinte ASCPD.

ASCPD va lansa în curând programul “Privacy Academy” destinat dezvoltării și susținerii membrilor asociației, continuând în 2019 cu organizarea cursurilor și conferințelor naționale și publicarea unei reviste cu analizele și studiile de caz din cadrul celor 14 grupuri de lucru.

 

---

Despre Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD)

 Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) este creată cu scopul de a informa și de a reuni profesioniștii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecția Datelor 2016/679 și a legislației aferente, funcționând ca un organism consultativ profesionist pentru persoane și organizații. ASPDC este o organizație non-guvernamentală, autonomă, apolitică și non-profit care ajută la definirea, susținerea și îmbunătățirea profesiei de Responsabil în protecția datelor și a altor specialiști în domeniu și își desfășoară activitatea în conformitate cu prevederile OG nr.26/2000.

ASCPD ghidează persoanele responsabile în protecția datelor și alți specialiști în domeniul confidențialității datelor în rezolvarea numeroaselor probleme juridice, tehnice și organizatorice pentru a obține un echilibru adecvat între interesele persoanelor vizate, care necesită protecție, și cele ale operatorilor.

Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat.

Mai multe detalii găsiți pe www.ascpd.ro

 

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Eliminați “Consimțământul GDPR” al pacientului pentru serviciile medicale

GDPR

Vizualizari: 18783

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

La nivelul unităților din sistemul sanitar nu este nevoie de obținerea unui consimțământ GDPR, semnat de pacient, prin care acesta este de acord cu prelucrarea datelor cu caracter personal. Conform Regulamentului European pentru Protecția Datelor cu Caracter Personal, consimțământul GDPR este doar una din modalitățile de a asigura legalitatea prelucrării, în domeniul sanitar existând deja alte prevederi care justifică legalitatea activității de prelucrare. Este important a nu se confunda cu consimțământul medical informat, de asemenea reglementat legal, care are un cu totul alt scop. Unitatea medicală poate asigura transparența prelucrării datelor prin afișe, pictograme sau ghiduri la care pacientul să poată avea acces ușor. Acestea sunt o parte dintre concluziile care au rezultat la finalul primei ediții a Conferinței Naționale pentru Protecția Datelor cu Caracter Personal în Domeniul Sanitar, care a avut loc la Poiana Brașov în data de 11 octombrie 2018. În urma dezbaterilor s-a ajuns la concluzia că este nevoie încă de multă educație în rândul personalului din sistemul sanitar, privind respectarea Regulamentului European pentru Protecția Datelor cu Caracter Personal.

Conferința Națională pentru Protecția Datelor cu Caracter Personal a fost organizată ca un eveniment satelit al celei de-a cincea ediții a Conferinței Naționale de Farmacoeconomie și Management Sanitar, ce a avut loc în perioada 11-14 octombrie 2018, la Poiana Brașov.

La conferință au fost prezenți responsabili cu protecția datelor din peste 100 de spitale din România, case de asigurări de sănătate, clinici, lanțuri de farmacii. Conferința a fost una interactivă, cei 22 de speakeri din țară și străinătate, prin prezentări și trei workshop-uri, aducând noutăți din domeniul protecției datelor cu caracter personal, într-un interval de 10 ore, evenimentul fiind transmis live pe internet, unde a avut într-o singură zi peste 15.000 de vizualizări.

”Este o mare diferență între consimțământul luat de medici în relația cu pacienții și consimțământul cerut de Regulamentul 679/2016. Nu este nevoie ca în instituțiile sanitare să se ia consimțământul cerut de GDPR pentru realizarea serviciilor medicale. Așa cum ne-am obișnuit până acum, în relația cu pacientul, se ia doar consimțământul medical informat. (…) Consimțământul pe GDPR nu a fost introdus special pentru sistemul sanitar sau pentru a fi folosit în relația medic-pacient sau farmacist-pacient. Acest tip de consimțămînt este util în alte tipuri de activități, cum ar fi cele de marketing. Managerii unităților medicale trebuie să renunțe la acest formular de consimțământ GDPR și să introducă o informare a pacientului. Pot să demonstrez și altfel că am informat persoana vizată, pot să am un afiș, un ghid, să postez informația pe site, sunt alte modalități neintruzive pentru pacient prin care poate fi informat”, a explicat Cristiana Deca, vicepreședintele Asociației Naționale în Confidențialitate și Protecția Datelor (ASCPD).

”Obținerea unui consimțământ la internarea în spital prin solicitarea ”vă rog semnați aici, aici și aici” nu este o conformare GDPR, este o rezolvare formală prin care am crescut birocrația, am creat formulare noi ca să ne asigurăm în cazul în care pacientul ne dă în judecată. Dar avantajul va fi de partea pacientului pentru că el va spune ”nu am fost informat corect, consimțământul nu este conform GDPR, nu a fost obținut în mod real, nu am fost informat în prealabil”. Un consimțământ pentru a fi valabil conform GDPR trebuie să îndeplinească mult mai multe condiții decât semnatura pacientului. Consimțământul GDPR a devenit un concept care în medicină sperie un medic”, a adăugat Marius Dumitrescu, președintele ASCPD.

Specialiștii în protecția datelor au explicat și faptul că, prin obținerea unui consimțământ GDPR nu doar că a crescut birocrația, dar apare încă o dată personală ce trebuie prelucrată, respectiv semnătura.

Rezultatele Conferinței au fost comunicate și atutorităților și managerilor de spitale în cadrul CNFMS 2018, fiind subliniat faptul că spitalele au nevoie de echipe care să colaboreze pentru complianța GDPR, că este nevoie să existe un responsabil pentru protecția datelor, iar managerul unității medicale trebuie să înțeleagă că responsabilitatea rămâne a lui chiar dacă a numit un DPO, deoarece numirea unui DPO nu este o ”delegare de putere”, acesta este mai degrabă un “evaluator care are nevoie de o echipă cu care să colaboreze pe procesul de complianță”.

”Toate instituțiile publice sunt obligate să aibă acest om în echipă, responsabilul cu protecția datelor și el nu poate fi managerul IT, managerul de resurse umane, juristul sau altcineva mutat dintr-o funcție în alta, pentru că de cele mai multe ori este în incompatibilitate. (…) Nu este neapărat nevoie de investiții financiare mari ca să incerci să obții complianța. Un prim pas vizează sensibilizarea și conștientizare în rândul managerilor a importanței GDPR, apoi în rândul echipei de implementare GDPR și nu în ultimul rând restul angajații trebuie instruiți și educați privind modul de gestiune al datelor personale la care au acces”, a precizat Cristiana Deca.

Educația personalului medical este o altă direcție important și obligatorie conform Regulamentului (UE) 2016/679. ”Toți participanții la Conferință au adus la lumină nevoia de educație a personalului medical, acesta fost focusul general. Personalul medical pe langa activitatea medicala pe care o desfășoară va trebui să înțeleagă că de acum pacientii au noi drepturi legate de datele lor și că ei sunt podul de legatura între pacient și responsabilul cu protecția datelor. Să știi că trebuie să îți anunți DPO-ul când un pacient solicită ștergerea datelor presuspune din start că personalul medical să dețină un nivel de educație minim in aceasta zona”, a punctat și Cristian Deca, vicepreședinte al ASCPD

În prezent pacienții au un grad scăzut de conștientizare a importanței datelor cu caracter personal, existând posibilitatea ca peste un an sau doi să apară o serie de litigii. Și în prezent există breșe de securitate pe care responsabilii cu protecția datelor din spitale trebuie să le evalueze și să le raporteze către ANSPDCP, iar managerii de spitale să implementeze măsuri care să elimine posibilitate reapariției. Un exemplu de breșă, oferit de specialiștii în protecția datelor este accesul camerelor de filmat ale presei în spitale, filmarea pacienților internați fiind o încălcare a drepturilor la viața privată.

Sfaturi legate de protecția datelor cu caracter personal au fost oferite la CNFMS 2018 și conducerii spitalelor de psihiatrie din țară, participanți la un workshop organizat în cadrul evenimentului. ”Am discutat aspecte care țin de specificul domeniului psihiatriei, am vorbit despre internări fără consimțământul pacientului, nevoluntare. Am subliniat că nu este nevoie de consimțământ, mai ales în domeniul psihiatriei este dificil să obții consimțământ de la o persoană fără discernământ. S-a discutat și despre justificarea unor măsuri intruzive, filmarea unui pat de spital de exemplu, pentru a preîntâmpina rănirea pacientului. Am vorbit despre utilizarea unor instrumente precum accesul biometric într-o încăpere, monitorizarea accesului într-un spital de psihiatrie, fiind foarte important cine intră, dar mai ales cine părăsește insituția, despre metode de securitate în general. Rezolvarea formală a acestei complianțe de GDPR a fost constatată și în spitalele de psihiatrie, am observat spitale în subordinea Consiliilor Județene care și-au angajat persoană full time DPO și am observat spitale foarte mari care nu au reușit să angajeze o persoană și au făcut cumul de funcții în incompatibilitate”, a explicat Marius Dumitrescu.

În cadrul CNFMS, conducerea Asociației Naționale în Confidențialitate și Protecția Datelor a lansat un proiect de cercetare în rândul unităților sanitare din România. Este vorba despre un studiu realizat prin tehnica chestionarului elaborat în parteneriat cu Centrul pentru Protectia Datelor din cadrul Universității de Medicină, Farmacie, Științe și Tehnologie din Tîrgu-Mureș și Safetech Innovations.

”Participanții la acest studiu vor oferi informația către experții noștri privind anumite elemente pe care le-au implementat deja, vom evalua statistic ce înseamnă acest grad de conformare, dar nu printr-un procent. Sunt trei direcții de analiză: partea organizatorică, partea tehnică și securitate. Vom evalua aceste trei categorii pentru fiecare spital/clinică/farmacie. Cei care vor lua parte la studiu vor primi înapoi un plan de riscuri GDPR și recomandările din partea specaliștilor noștri. Datele statistice și concluziile acestui studiu, dorim să le comunicăm autorităților române, respectiv autoritățile europene. Urmează să reluăm acest studiu la interval de 12 luni și să monitorizăm modul în care domeniul sanitar din România reușește să obțină conformitate. În acest moment putem înainta doar opinii, deoarece suntem într-un stadiu incipient de implementare, întreaga Europă este la fel, domeniul sanitar fiind puternic afectat”, a conchis președintele ASCPD.

Prima ediție a Conferinței Naționale pentru Protecția Datelor cu Caracter Personal în domeniul sanitar a fost organizată de Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) în parteneriat cu ISPOR România, Camera Deputaților – Comisia pentru Sănătate și Familie, Societatea Română de Farmacoeconomie, Universitatea de Medicină, Farmacie, Științe și Tehnologe Tîrgu-Mureș – Centrul de Cercetare pentru Politici de Sănătate și Management și Centrul Pentru Protecția Datelor, Autoritatea Națională de Management a Calității în Sănătate, Universitatea Sapientia din Tîrgu-Mureș și Asociația SURYAM, managementul tehnic al evenimentului fiind asigurat de Health Events.

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Expertiză de vârf pentru educarea specialiștilor în protecția datelor cu caracter personal

Articol publicat in Revista Health Anul 6 – Nr. 58 – editia tiparita – Septembrie 2018

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) își începe activitatea în România

S-a înființat Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), creată cu scopul de a informa și de a reuni profesioniștii care doresc să gestioneze cu succes punerea […]

CMR: Facem un apel ferm la respectarea confidenţialităţii datelor privind sănătatea pacienţilor.

Confidenţialitatea datelor de sănătate ale tuturor pacienţilor este un drept fundamental, consfinţit de legile naţionale şi europene. Din păcate, în ultimul timp,  asistăm la expunerea în spaţiul public […]

Asociatia Romana de Psihiatrie si Psihoterapie protesteaza

Referitor la publicarea de către domnul Darius Vâlcov – consilier de stat al premierului României – pe pagina sa Facebook, a unui document medical confidențial, precum și a […]

Protecția datelor în domeniu sanitar, abordare pragmatică sau complianță formală?

Articol publicat in Revista Health Anul 6 – Nr. 56 – editia tiparita – Iunie-Iulie 2018

GDPR – o provocare pentru sistemul sanitar romanesc

Confidențialitatea constituie una dintre cele mai importante valori ale actului medical care stau la baza relației profesionist-pacient, reprezentând, totodată, și o obligație, stipulată încă din cele mai vechi […]

Garantarea vieții private a murit ! Poate GDPR-ul să o reanimeze ?

Începând cu data de 25 mai 2018 a intrat în vigoare Regulamentul 679/2016 cunoscut sub numele de GDPR. Această nouă lege nu aduce o revoluție în domenul protecției […]

Responsabilul cu protecţia datelor cu caracter personal

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei […]

A fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679

In data de 19 Aprilie 2018 a fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în […]

Profesiune libera sau persoana vizata?

Noul Regulament European privind Protectia Datelor defineste „datele cu caracter personal” ca fiind orice informații privind o persoană fizică identificabilă, care poate fi identificată, direct sau indirect, în special […]

Prioritate privind conștientizarea importanței GDPR

Articol publicat in Revista Health Anul 6 – Nr. 54 – editia tiparita – Aprilie 2018  

Lorena Macnaughtan: GDPR – „25 mai este doar începutul”

Lorena Macnaughtan, MBA, este directorul iCEE.health, eveniment în inovația digitală în sănătate, destinat tuturor participanților în sistem: pacienți, doctori, asistenți, studenți, entreprenori, manageri, autorități.  Acesta are loc în acest an pe 14 iunie, […]

Cursuri GDPR pentru angajatii din sistemul sanitar

Ce trebuie sa stim despre GDPR ? Incepand cu 25 mai 2018 intra in vigoare Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protectia Datelor Personale (GDPR), care spune in […]

Legea GDPR in Romania creeaza tensiuni

  Aparitia unei Legi „GDPR” in Romania este o initiativa asteptata de intreaga comunitate a organizatiilor din domeniul sanitar, existand mai multe proiecte in acest moment. Chiar daca […]

Piața serviciilor medicale și primele confuzii alarmante în implementarea GDPR

La nivelul unei companii cu peste 1.400 de angajați , implementarea greșită a regulilor de protecție a datelor personale a fost relevată de transmiterea unui e-mail către destinatarul necorespunzător. Importanța nu […]

Noi reglementări privind protecția datelor cu caracter personal în domeniul medical

Articol publicat in Revista Health Anul 6 – Nr. 53 – editia tiparita – Martie 2018

GDPR: „Îmi pare rău nu este de ajuns”

Grupul de Lucru Art. 29 (WP 29) privind protecţia datelor este un organism european independent, cu caracter consultativ, format din reprezentanţii autorităţilor naţionale pentru protecţia datelor din statele […]

Contextul aparitiei GDPR in Romania

Noul Regulament privind protectia datelor cu caracter personal va intra in vigoare in toate statele membre ale Uniunii Europene incepand cu data de 25 Mai 2018. In ultimele […]

Este obligatoriu a desemna un DPO în unități farmaceutice? – punct de vedere juridic

Articol publicat sub egida Colegiului Farmaciștilor din România –Filiala Cluj Autor: Av. Oana Murariu   Începând cu data de 25 mai 2018 Regulamentul (UE) 2016/679[i] privind protecția persoanelor […]

Dezbatere publica pe proiectul Legii pentru aplicarea GDPR in Romania

A fost publicata propunerea legislativa privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal […]