Implementarea solutiilor tehnice a noului regulament GDPR pentru site-ul si compania ta

  •   11980 ori
  • Evaluaţi acest articol
    (2 voturi)
Regulament GDPR Regulament GDPR CenterIT

Regulamentul General privind Protectia Datelor Personale (GDPR) - Regulamentul (UE) 2016/679 a intrat in vigoare la data de 25 mai 2017, fiind general obligatoriu tuturor companiilor care opereaza pe spatiul Uniunii Europene. Orice persoana juridica, indiferent de marime cade sub incidenta noului regulament GDPR. Asa cum reiese si din numele regulamentului, principalul aspect avut in vedere este protejarea datelor cu caracter personal printre care se numara: numele, adresa, CNP-ul, adresa de e-mail, numarul de telefon, data nasterii, adresa IP, orientarea politica, orientarea religioasa, etc.

Principiul fundamental al regulamentului este transparenta pe care trebuie sa o adopte orice procesator de date cu caracter personal si protejarea prin metode adecvate a acestor date. Un alt principiu important este acordul expres exprimat de catre persoana a carei date personale urmeaza sa fie prelucrate, evitand astfel comunicarile comerciale nesolicitate.

Amenzile pentru nerespectarea regulamentului GDPR pot ajunge pana la 20 milioane de euro sau pana la 4% din cifra de afaceri anuala totala, la nivel mondial, al exercitiului Financiar precedent, (alegandu-se cea cu valoare mai mare)

Regulamentul General privind Protectia Datelor Personale(GDPR) introduce o serie de drepturi pentru persoanele vizate de prelucrarea datelor cu caracter personal:
  • dreptul de acces la date;
  • dreptul de rectificare a datelor;
  • dreptul de stergere a datelor(dreptul de a fi uitat);
  • dreptul la restrictionare a datelor;
  • dreptul la portabilitatea datelor;
  • dreptul la opozitie;
  • dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrare automata, inclusiv profilare;
  • dreptul de a se adresa Autoritatii Nationale pentru Supravegherea Prelucrarii Datelor cu Caracter Personal si Justitiei;

Ce inseamna regulamentul GDPR pentru site-ul tau?

Marea majoritate a site-urilor colecteaza date cu caracter personal direct prin inregistrarea/autentificarea conturilor de clienti, liste personalizate de produse, formulare de contact, etc. sau indirect prin cookie-uri pentru statistici ori analiza. In cazul din urma, de cele mai multe ori, proprietarii site-urilor ignora faptul ca prin aceste statistici se colecteaza date cu caracter personal. Cel mai intalnit exemplu este Google Analytics care colecteaza multe date de acest tip cum ar fi:locatia, adresa, varsta, genul, etc. Sistemele de analiza se pot seta astfel incat sa anonimizeze datele cu caracter personal.

Principalele obligatii ce revin proprietarilor de site-uri care prelucreaza date cu caracter personal sunt:
  • informarea in legatura cu datele de contact ale procesatorului;
  • informarea in legatura cu tipul datelor cu caracter personal care sunt colectate;
  • informarea in legatura cu modul de colectare a datelor cu caracter personal;
  • informarea in legatura cu scopul si temeiurile preluarii datelor cu caracter personal;
  • informarea in legatura cu perioada pentru care sunt stocate datele cu caracter personal;
  • informarea in legatura cu transmiterea catre terti a datele cu caracter personal;
  • informare in legatura cu tarile in care sunt stocate sau transferate date cu caracter personal;
  • informare in legatura cu protejarea datele cu caracter personal;
  • informarea Vizitatorilor/Clientilor in legatura cu drepturile pe care acestia le au;
  • informarea in legatura cu orice bresa de securitate care pune in pericol protectia datelor cu caracter personal;
  • primirea consimtamantului pentru prelucrarea datelor cu caracter personal, pentru comunicari comerciale prin e-mail/telefon/sms/etc.;

In mod concret proprietarii site-urilor trebuie sa afiseze pe site Politica de Confidentialitate, Politica de Utilizare a Cookie-urilor si a Tehnologiilor Similare, si a Termenelor si Conditiilor dupa caz. Deasemenea trebuie instalat un modul/script/aplicatie web care sa ceara consimtamantul inainte de a plasa fisiere tip cookie pe terminalul vizitatorului/utilizatorului, acesta putand sa isi modifice optiunea in orice moment. O alta optiune ar trebui sa fie checkbox-urile pentru acceptarea comunicarilor comerciale sau pentru acceptarea Politicii de Confidentialitate inainte a se trimite date cu caracter personal. Vizitatorul/Utilizatorul trebuie sa aiba posibilitatea sa-si descarce datele cu caracter personal intr-un format uzual(.xls,.xlsx, .csv), sa aiba posibilitatea stergerii tuturor datelor sale cu caracter personal si portarea acestora catre un tert. Recomandam implementarea unui sistem centralizat de gestionare a datelor cu caracter personal si pastrarea unor log-uri cu actiunile referitoare la acestea. In ceea ce priveste securitatea, proprietarii site-urilor trebuie sa achizitioneze si sa utilizeze sisteme de protectie adecvate cum ar fi folosirea tehnologiei HTTPS cu criptare TSL 1.2 si sa notifice utilizatorii/vizitatorii in cazul unor brese de securitate.

Ce inseamna regulamentul GDPR pentru compania ta?

Regulamentul GDPR va impune tuturor companiilor sa implementeze masuri tehnice si organizationale pentru a se asigura ca sunt indeplinite cerintele GDPR - “confidentialitatea prin conceptie”, precum si “confidentialitatea in mod implicit”. Companiile trebuie sa tina seama de cerintele privind protectia datelor de la faza incipenta a oricarei noi tehnologii, a produselor sau serviciilor ce implica prelucrarea datelor cu caracter personal (in mod deliberat) si aplicarea masurilor adecvate pentru prelucrarea datelor (confidentialitatea implicita). GDPR numeste mai multe masuri care pot ajuta companiile sa atinga aceste obiective - mentionand minimizarea procesarii datelor cu caracter personal, criptarea sau anonimizarea datelor, transparenta in ceea ce priveste functiile si prelucrarea lor, permitand subiectilor sa monitorizeze modul in care sunt gestionate datele. Aceste masuri trebuie, de asemenea, sa fie actualizate.

Regulamentul cere organizatiilor de toate marimile sa adopte un set nou de procese si de politici menite sa ofere un control sporit persoanelor fizice asupra inregistrarilor personale. O mare parte din aceasta prevedere va implica scrierea de noi procese si manuale, pregatirea personalului si a sistemelor de actualizare pentru a se adapta acestor noi proceduri. Alti pasi implica masuri practice, cum ar fi folosirea criptarii in cazul in care exista date expuse riscului. Un laptop sau stick USB pierdut sau furat nu trebuie sa conduca la o penalizare in cazul in care a fost criptat cu un produs validat. Unul dintre principiile cheie ale GDPR, dupa cum este prevazut la articolul 5, este asigurarea securitatii corespunzatoare a datelor cu caracter personal. si, dupa cum se mentioneaza in articolul 32 - denumit Securitatea prelucrarii - criptarea este o masura tehnica adecvata pentru a realiza acest lucru. in cazul in care criptarea este utilizata ca o masura tehnica, ea trebuie sa ofere posibilitatea restabilirii datelor imediat dupa un incident, iar inregistrarile trebuie sa fie pastrate pentru a dovedi ca sistemele sunt sigure si recuperabile. Deasemenea regulamentul GDPR solicita intreprinderilor sa notifice autoritatea competenta (si persoanele vizate, in anumite conditii) cu privire la toate bresele de date, fara intarzieri nejustificate, in termen de maximum 72 de ore, cu exceptia cazului in care este putin probabil ca incalcarea datelor sa duca la un risc pentru persoanele vizate individuale.

Obiectivele care trebuie asumate de companii:
  • Siguranta datelor, pastrate in cadrul organizatiei - posibilitatea de criptare a fisierelor, folderelor si mediilor de stocare mobile in mod standard, pentru a asigura securitatea datelor la nivel de endpoint sau server.
  • Date sigure in tranzit - optiunea de criptare completa a discurilor si a mediilor de stocare mobile, stickuri USB si suporturi optice, pentru a asigura securitatea datelor in miscare.
  • Securizarea datelelor mobile in cazul practicilor de munca de la domiciliu - criptare portabila la orice dispozitiv de stocare USB.
  • Securizarea tranferului datelor intre locatii - plug-in Outlook, criptare clipboard ce este compatibila cu toti clientii de mail, inclusiv webmail, precum si criptarea la nivel de atasament pentru orice sistem. Criptarea sistemelor media optice permite transferul in conditii de siguranta a datelor stocate pe CD sau pe DVD.
  • Blocarea/limitarea accesului la anumite date - implementarea si gestionarea criptarii in cazul echipelor si a grupurilor de lucru complexe
  • Permiterea accesului la datele securizate atunci cand este cazul - management de la distanta pentru utilizatori, printr-o conexiune la internet securizata.
  • Stocarea in conditii de siguranta a datelor cu caracter personal - standarde de criptare, algoritmi si metode impuse de industrie, de incredere, aprobate si securizate.
Mai multe informatii puteti gasi accesand link-urile de mai jos:

Pentru intrebari sau oferte in legatura cu implementarea la nivel tehnic a Regulamentul General privind Protectia Datelor Personale(GDPR) va rugam sa ne contactati folosind Formularul de Contact

Ultima modificare Sâmbătă, 11 Aprilie 2020 18:10
Mai multe din această categorie: « Live stream
Login pentru a posta comentarii