CREST CONSULTING AND MANAGEMENT

Consimtamantul conform GDPR

12.02.2018- Bucuresti

WWW.CRESTCONSULTING.RO

Agenda Consimtamantul conform GDPR

1. Consimtamantul in legislatia GDPR2. Definitie3. Consimtamantul subiectului, conditie privind legalitatea prelucrarii4. Scopul consimtamantului5. Cand este nevoie de consimtamant?6. Prelucrarea datelor personale/ evidentele activitatii de prelucrare7. Pentru ce vom lua consimtamantul8. Principii in managementul consimtamantului:

GDPR- impreuna pentru conformitate! 2 3

Consimtamantul in legislatia GDPR

1. Considerente (Recitals) 32, 35, 38, 40, 42, 43,2. Articolul 4 punctul 1; Articolul 6, (1), (a); Articolul 73. Articolul 29 Data Protection Working Party/ Ghidul 259

GDPR- impreuna pentru conformitate! 3 3

Definitie

Definitia Directivei 46/1995" Orice manifestare de vointa libera, specifica, informata prin care persoana vizata accepta ca datele cu caracterpersonal care o privesc sa fie prelucrate

Definitia GDPR

"Orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceastaaccepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fieprelucrate. (Art.4/11.)

Astfel:„Consimtamantul ar trebui dat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica,in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca deexemplu o declaratie facuta in scris, inclusiv in format electronic sau verbal” Considerentul 32

GDPR- impreuna pentru conformitate! 4 3

Consimtamantul subiectului, conditie privind legalitatea prelucrarii

Consimtamantul ramane unul dintre cele sase principii pentru legalitatea prelucrariiconform art. 6 din GDPR.

„Persoana vizata si-a dat consimtamantul pentru prelucrarea datelor cu caracter personalpentru unul sau mai multe scopuri specifice. „ (articolul 6, (1), (a) GDPR).Astfel consimtamantul este unul dintre mijloace legale de prelucrare a datelor cucaracter personal definite in GDPR, in practica de business fiind cea mai comuna si ceamai semnificativa abordare.

GDPR- impreuna pentru conformitate! 5 3

Scopul consimtamantului

Scopul principal al consimtamantului este:• De a oferi in mod liber persoanelor (subiectilor) posibilitatea de a alege si de a

controla prelucrarea datelor lor personale. • De a da organizatiilor baza legala pentru prelucrare.• De a ajuta la transparenta prelucrarii datelor.

GDPR- impreuna pentru conformitate! 6 3

GDPR- impreuna pentru conformitate! 7 3

Cand este nevoie de consimtamant?

(WP-259)

• Se porneste de la definirea scopului contractului sau al serviciului. • Se identifica datele care se colecteaza si se clasifica in

– date cu caracter personal– categorii speciale de date personale (articolul 9)

• Pentru datele speciale conform articolului 9 (2)/(a)) se foloseste consimtamantul persoanei vizate. Datele speciale sunt: rasa, etnie, opinii politice, confesiune religioasa, convingeri filosofice, apartenenta sindicala, date genetice, biometrice, date privind sanatatea, orientarea sexuala.

• In plus cand transferam date cartre tari in afara UE unde nu sunt decizii privind caracterul adecvat de protectie (art. 49 (a) si cand prelucram date ale copiilor (in legatura cu serviciile societatii informationale art. 8).

• Pentru restul datelor: trebuie sa existe o legatura directa si obiectiva intre prelucrarea datelor si scopul contractului, articolul 6 alineatul (1b) GDPR. Iar WP-259 mentioneaza „Conform avizului 06/2014 al WP29, termenul "necesar pentru executarea unui contract„ trebuie luat strict.” (exemplu in cazul asigurarilor: prelucrarea adresei persoanei vizate pentru

identificare, a cnp-ului etc.) . Daca nu exista trebuie sa se utilizeze o alta baza legala, cum ar fi consimtamantul (art. 6/1(a), art. 7).

• Data Mapping, parte din Data Flow ne da informatii despre datele pe care le prelucram.

GDPR- impreuna pentru conformitate! 8 3

Data Mapping/ Data Flow, si consimtamantulArt. 30, Considerent 82

CINE? CE? DE CE? UNDE? PANA CAND?

CUM

Identificam cine prelucreaza

Ce date suntprelucrate/Ce categorii de subiecti sunt vizate

Scopul pentru care sunt prelucrate

Unde sunt pastrateUnde sunt trimise

Cat timp sunt pastrate

Ce masuri de securitate se folosesc

Pentru ce vom lua consimtamantul

GDPR- impreuna pentru conformitate! 4 3

Este foarte probabil sa utilizati consimtamantul pentru

• Pentru datele speciale conform articolului 9 (2)/(a)) se foloseste consimtamantul persoanei vizate, (rasa, etnie, opinii politice, confesiune religioasa, convingeri filosofice, apartenenta sindicala, date genetice, biometrice, date privind sanatatea, orientarea sexuala)

• Cand transferam date cartre tari in afara UE unde nu sunt decizii privind caracterul adecvat de protectie. (art. 49 (a)

• majoritatea activitatilor sau mesajelor de marketing,

• cookie-uri de site,

• pentru a instala aplicatii / software pe dispozitivele persoanelor vizate.

Principii in managementul consimtamantului:

GDPR- impreuna pentru conformitate! 10 3

Consimtamantul necesita un opt-in pozitiv si evita cutiile pre-bifate sau orice alta metoda de consimtamant implicit.

• Exemplu, de Consimtamant explicit:

- Consimt sa primesc informatii despre produsele dumneavoastra • Consimtamantul trebuie sa fie clar, concis, fara echivoc si specific cu privire la continut. Neconditionat - Consimtamantul trebuie prezentat separat intr-un mod distinct de alte tipuri de continut, cum ar fi termenii si conditiile generale, notele de confidentialitate etc. Consimtamantul trebuie sa furnizeze informatii clare despre orice terta parte implicata in prelucrarea datelor. Consimtamantul ar trebui sa mentioneze explicit dreptul consumatorului de a-l retrage in orice moment cu o procedura clara de retragere. Organizatiile ar trebui sa ofere consimtamant granular, astfel incat consumatorii sa poata consimti pentru diferite tipuri de prelucrare separat.Organizatiile ar trebui sa stabileasca un proces pentru a revizui continuu consimtamantul cu schimbarile de sistem pentru a va asigura ca acestea respecta GDPR. Organizatia de prelucrare ar trebui sa pastreze dovada consimtamantului, cum ar fi cine, cand, cum si ce ati spus. Nu exista reguli explicite privind durata de pastrare dar este recomandat sa mentionati cat timp veti stoca si prelucra datele personale.

Ce putem noi sa realizam?

GDPR- impreuna pentru conformitate! 11 3

• Analiza situatiei de fapt, depistarea gap-urilor, analiza de risc aplicand ISO/IEC 29134,

• Elaborarea unui proiect de aducere la conformnitate cu GDPR

• Implementarea proiectului

• Training si workshop-uri

GDPR- impreuna pentru conformitate! 12 3

STR. CLUJ NR. 33

SECTOR 1 BUCURERSTI

0722368796

Florina.vizinteanu@crestasig.ro

consultant@crestasig.ro

WWW.CRESTCONSULTING.RO

FLORINA VIZINTEANUCEO

YOUR CONTACT

GDPR- impreuna pentru conformitate! 13