Un subiect delicat - Implementare GDPR 25 mai 2018

[hugbear]

REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

din 27 aprilie 2016

privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

(.PDF)

(26)   Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.

[...]

(28)   Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de aceștia să își îndeplinească obligațiile de protecție a datelor. Introducerea explicită a conceptului de „pseudonimizare” în prezentul regulament nu este destinată să împiedice alte eventuale măsuri de protecție a datelor.

[...]

(32)   Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.

[...]

(39)   Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea și confidențialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare.

[...]

(42)   În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului (10), ar trebui furnizată o declarație de consimțământ formulată în prealabil de către operator, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, iar această declarație nu ar trebui să conțină clauze abuzive. Pentru ca acordarea consimțământului să fie în cunoștință de cauză, persoana vizată ar trebui să fie la curent cel puțin cu identitatea operatorului și cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal. Consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată.

[...]

(49)   Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme, sau accesibile prin intermediul acestora, de către autoritățile publice, echipele de intervenție în caz de urgență informatică, echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică, furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice.

[...]

(65)
   

O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc și „dreptul de a fi uitată”, în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidența căruia intră operatorul. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele cu caracter personal nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizată ar trebui să aibă posibilitatea de a-și exercita acest drept în pofida faptului că nu mai este copil. Cu toate acestea, păstrarea în continuare a datelor cu caracter personal ar trebui să fie legală în cazul în care este necesară pentru exercitarea dreptului la libertatea de exprimare și de informare, pentru respectarea unei obligații legale, pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, din motive de interes public în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.

[hugbear]

The General Data Protection Regulation - A survival guide

Guide to the General Data Protection Regulation

Definiții

Data Protection Handbook

[bisti]

Eu cred ca o chestie mai simpla ar fi (daca permite platforma) anonimizarea userilor pentru accesul utilizatorilor neinregistrati. Sau cei care nu au user nu pot vedea decat pagina principala fara sa poata browsa prin forum.

In momentul in care cineva doreste sa i se stearga userul, se poate schimba nicknameul cu "Anonim" si se sterg datele personale. IDul asociat cu fostul nickname se pot verifica in baza de date, deci doar se afiseaza aiurea, in spate se vede tot. GDPR nu se refera numai la "ce se vede" ci si la partile ascunse, inclusiv mesaje private sau colectari de date prin chestionare si loguri.

Partea proasta este ca, conform GDPR, azi poti sa fi de acord cu anumiti termeni si conditii, iar maine (daca ai dormit prost) sa nu iti mai convina. Ca administrator esti obligat, la cerere, sa stergi tot, chiar daca userul si-a dat acordul cu privire la prelucrarea datelor sale.

Dar sa vedem cum se implementeaza la noi legea asta, ca din cate am auzit eu, ai nostri parlamentari vor sa le faca ceva mai restrictive si "targetate".

[jupanul1]

Credeam că nu mai e nevoie de nimic în plus în legislația națională pentru aplicarea prevederilor GDPR. Eventual poate ceva armonizare cu legi existente, în sensul modificării acestora pentru a nu intra în conflict cu noile prevederi.

Desigur, noi fiind mai... ortodoxi decât patriarhul... nu m-ar surprinde dacă am înăspri sau am trece de la recomandări la impuneri în ceva legislație națională post-factum. Sunt destule sectoare unde așa se procedează, pentru că... de ce nu?

Oare cu această ocazie va trece și forumul pe https? Că parcă și asta e cumva (indirect, e drept) prevăzută în noile norme...

[shpeedy]

Parerea mea e ca problema este si mai delicata la forumuri, pentru ca acestea ruleaza, in general, pe o solutie tehnica configurabila - daca respectiva platforma tehnica nu permite procesarea datelor cf. cerintelor GDPR, posibilitatile se restrang destul de mult - migrarea pe o alta platforma, ce permite procesarea&manipularea datelor utilizatorilor cf. GDPR, ori functionarea la nivelul bunului-simt / responsabilitatii utilizatorilor ori inchiderea (apropo, computergames.ro se inchide dupa 21 de ani de functionare - decizie luata si din contextul GDPR).

Sent from my MI MAX 2 using Tapatalk

[jupanul1]

Subscriu la ce a zis @shpeedy - din ce am reușit eu să înțeleg, onegeul Simple Machines nu pare a dori să se implice prea mult în dezvoltarea softului conform noilor cerințe... Nu-i vorbă, nici alții nu-s mai sus de genunchiul broaștei din acest punct de vedere.

[ManuP]

Corect, nu poti sa fi GDPR compliant fara sa rulezi pe o platforma GDPR compliant.

[Leutz]

Ba da, daca user-ii sunt inregistrati intr-un "paradis legal" unde GDPR nu are jurisdictie.

Se poate ca utilizatorii sa fie mutati din punct de vedere legal in alte parti fata de locul unde sunt inregistrate operatiunile financiare, fiscale s.a.m.d.

Vezi stirile recente (azi-ieri) despre PLANUL de migrare a conturilor de utilizator Facebook din Irlanda in US; si vezi mutarea deja efectuata a conturilor de utilizator LinkedIn de undeva in Europa (nu mai tin minte), tot catre US. (Asta daca stirile sunt credibile)


Evident, solutia asta e fantsamagorica in cazul forumului nostru. Dar in teorie se pare ca se poate. Transferam userii din colt in colt, pana ajungem in Zanzibar, Mauritania, Kirghistan, Korea de Nord ... sau alte locatii de-astea unde legea junglei e singura in vigoare  .

[toma]

ntzzz, n-ai inteles corect. Deoarece gazduiau pe servere din Europa si conturi ale utilizatorilor din afara Europei, acestia necazand sub incidenta GDPR, au fost mutate pe alte servere din afara Europei.

Noi reguli de protecţia datelor vor intra în vigoare, de luna viitoare, în Uniunea Europeană, iar Facebook încearcă să scoată de sub incidenţa lor 1,5 miliarde de conturi.
Compania va muta reponsabilitatea pentru toate profilele cetăţenilor non-europeni, de la sediul său internaţional din Irlanda la cel din California. Astfel, aceştia vor fi guvernaţi de legea americană, mai puţin strictă.

Prin urmare din punct de vedere GDPR, vor fi doua "tipuri" de facebook - conform cu GDPR pentru utilizatorii cetateni europeni, conforme cu alte legi (US) pentru utilizatorii din afara Europei. GDPR se aplica si unei companii straine, cu infrastructura gazduita in afara Europei, pentru utilizatorii cetateni europeni ale calor date personale le "proceseaza".

[hugbear]

Dar sa vedem cum se implementeaza la noi legea asta, ca din cate am auzit eu, ai nostri parlamentari vor sa le faca ceva mai restrictive si "targetate".

Nu e cazul. Norma anterioară era "directivă", ceea ce înseamnă că pentru punerea în aplicare trebuiau elaborate norme de drept intern de fiecare stat. În schimb GDPR este "regulament", care are un alt statut: intră în vigoqre automat, ad literam, fără a mai fi nevoie de legi separate.