Transcription of PLATFORMA NET-DD
1 PLATFORMA NET-DD . NORME INTERNE DE IMPLEMENTARE. A REGULAMENTULUI GENERAL. PENTRU PROTEC IA DATELOR1 (GDPR). APLICABIL PENTRU TO I OPERATORII PLATFORMEI NET-DD . I A SERVICIILOR NET-DD INTEGRATE PE ACEASTA: NET-DD PLATFORM CORE. o ACCESS. o NET. o CARD. NET-DD ORG. NET-DD PROFESSIONAL. o NET-DD SPORT. NET-DD SCIENCE. o NET-DD PUBLISH. o NET-DD TRAINING. o NET-DD LEARNING. NET-DD PROJECT. NET-DD MEDICAL. 1 VERSIUNEA emis de c tre administratorul Platformei NET-DD ( NET-DD ADMIN) la data de 25 Mai 2018. / P a g . 1 | 49. PREAMBUL .. 4. 1. Proceduri specifice interne de implementare a GDPR la nivelul organiza iei - operator de date personale .. 6. Func ia de RESPONSABIL CU PROTEC IA DATELOR n cadrul organiza 7. Procedura de notificare a Autorit ii Na ionale de Supraveghere a Prelucr rii Datelor Personale .. 8. Notificarea ANSPDP se realizeaz n urm toarele situa ii: .. 8. Notificarea riscului de compromitere a securit ii datelor personale .. 8. Identificarea situa iei de risc sau de compromitere efectiv a securit ii datelor personale.
2 9. Procedura Nr. 1: Reglementarea intern a managementului computerizat al datelor 9. Proceduri aplicate de c tre managementul organiza iei - operator .. 9. Proceduri Determinarea scopurilor pentru care sunt operate date personale de c tre organiza ie ..10. Determinarea / Inventarierea datelor personale care sunt prelucrate de c tre organiza ia - operator ..10. Date prelucrate pentru managementul general al organiza iei ..13. Date prelucrate pentru managementul activit ilor specifice ale organiza iei ..14. Managementul eviden elor privind prelucr rile datelor personale la nivelul organiza iei ..14. Determinarea termenului pentru care sunt prelucrate datele cu caracter personal ..15. Managementul asigur rii respect rii drepturilor persoanelor privitor la prelucrarea datelor personale ale acestora de c tre organiza ia operator ..15. Respectarea temeiului legal pentru prelucrarea datelor personale ..16. Consim m ntul persoanei pentru prelucrarea datelor cu caracter Managementul securit ii prelucr rii datelor personale.
3 16. Anonimizarea datelor personale ..17. Evaluarea impactului prelucr rii de c tre organiza ia - operator asupra protec iei datelor cu caracter personal ..18. Evaluarea riscurilor prelucr rii incorecte a datelor personale ..18. Evaluarea riscurilor de compromitere a securit ii datelor personale ..19. / P a g . 2 | 49. M suri pentru minimizarea riscurilor legate de prelucrarea datelor personale ..19. Procedura nr. 2: Instruirea operatorilor IT autoriza i pentru asigurarea protec iei datelor personale i a securit ii informatice ..20. Asigurarea securit ii accesului la datele personale ..20. Prelucrarea datelor n format analogic ..20. Prelucrarea computerizat a datelor ..21. Proceduri specifice:..21. Asigurarea securit ii prelucr rii efective a datelor personale ..22. Reglementarea accesului la datele personale ..24. Procedura nr. 3: Informarea persoanelor asupra condi iilor de prelucrare a datelor i a drepturilor acestora ..25. 2. Specifica ii tehnice i de operare ale aplica iilor IT&C utilizate pentru prelucrarea computerizat a datelor personale.
4 27. Asigurarea securit ii informatice a aplica iilor IT&C ..28. Securitatea informatic ..29. Tehnologia securit ii informatice ..30. Func ionarea sistemelor Securitatea Securitatea accesului la date ..33. Securitatea fizic a accesului la date ..34. Securitatea fluxurilor informa ionale ..34. Mecanisme de auditare automatizate a oper rii aplica iilor IT&C ..36. Auditarea general a oper rii de date personale ..37. Auditarea general a securit ii informatice a organiza iei - operator ..38. Auditarea respect rii prevederilor GDPR ..39. Mecanismul automatizat pentru asigurarea respect rii drepturilor persoanei privind prelucrarea datelor personale ..39. 3. LEGISLA IE PRIVIND PRELUCRAREA COMPUTERIZAT A DATELOR CU CARACTER. PERSONAL ..41. Prevederi contractuale exprese pentru respectarea GDPR ..41. Reglement ri legislative rom ne ..45. Reglement ri legislative 4. LEGISLA IA PRIVIND CARDUL ELECTRONIC PERSONAL MULTIFUNC IONAL e-ID. PERSONAL CARD - CARDUL PROFESIONAL Reglement ri ale institu iilor Uniunii Europene.
5 48. / P a g . 3 | 49. Reglement ri legislative rom ne ..48. 5. Deficien ele prevederilor GDPR ..49. PREAMBUL. Regulamentul General pentru Protec ia Datelor (GDPR) este emis de c tre Parlamentul European i are caracter imediat obligatoriu la nivelul statelor membre. Scopul regulamentului este asigurarea unui cadru unitar legal care s garanteze respectarea drepturilor persoanelor de c tre to i operatorii acestor date, fie c se realizeaze o prelucrare analogic sau computerizat . GDPR modific i completeaz reglementarea curent a prelucr rilor de date personale prin Directiva Comisiei Europene EC/95/46, directiv transpus n legisla ia rom neasc prin legea 677/2001. GDPR ncurajeaz prelucrarea computerizat a datelor personale n vederea cre terii eficien ei administrative i a mobilit ii acestora ntre statele membre, cu condi ia implement rii unui set de proceduri precise a prevederilor acestuia, la nivelul: operatorilor de date personale;. mputernici ilor operatorilor de date personale.
6 Autorit ilor na ionale responsabile de protec ia datelor personale. n n elesul GDPR, toate categoriile de procesatori de date personale enumerate mai sus sunt PERSOANE JURIDICE, de aceea se impune o precizare: n toate documentele tehnice i de prezentare ale Platformei NET-DD i serviciilor NET-DD , termenul de OPERATOR define te angajatul unei organiza ii care utilizeaz aceste sisteme informatice, av nd pentru aceasta autorizarea expres a organiza iei (operator autorizat). Pentru evitarea oric rei confuzii, n prezentul document: o organiza ia care prelucreaz date personale se va denumi organiza ie operator de date personale ;. o angaja ii acesteia, care lucreaz efectiv cu date personale, utiliz nd aplica ii IT&C se vor denumit operatori IT sau operatori IT autoriza i . NET-DD ADMIN, n calitatea sa de administrator al Platformei NET-DD i a serviciilor NET-DD integrate pe aceasta, dar i n calitate de operator de date cu caracter personal n cadrul activit ilor sale proprii, i asum responsabilitatea de a pune la dispozi ia tuturor operatorilor cu care are rela ii contractuale a unei proceduri unitare pentru implementarea GDPR i pentru instruirea permanent , proactiv , a acestora.
7 / P a g . 4 | 49. Procedura elaborat de c tre NET-DD ADMIN prevede toate mecanismele necesare inform rii persoanelor ale c ror date personale sunt prelucrate prin operatorii Platformei NET-DD i a serviciilor NET-DD asupra: drepturilor garantate prin GDPR;. metodelor de protejare a datelor personale;. utiliz rii sistemelor NET-DD care maximizeaz eficien a sistemelor de prelucrare computerizat a datelor personale prin PLATFORMA NET-DD i prin serviciile NET- DD. n n elesul GDPR, datele personale pot fi prelucrate computerizat ( PLATFORMA NET- DD i serviciile NET-DD prelucreaz date personale EXCLUSIV computerizat), prin aplica ii de tipuri foarte variate: la cererea persoanei-posesor al datelor n cauz ;. de c tre un operator de date cu care o persoan are stabilite rela ii reglementate de diferite naturi: o administrative;. o contractuale;. o altele. Operatorul de date NU poate prelucra datele unei persoane altfel dec t: n conformitate cu rela iile reglementate pe care le are cu respectiva persoan.
8 Inform nd corect i complet asupra modului de utilizare a datelor prelucrate;. cu acordul expres al persoanei (cu excep ia situa iilor c nd legea prevede altfel), consemnat ca atare. Datele personale pot fi folosite f r acordul expres al posesorului acestora: n cadrul unui contract la care acesta este parte semnatar ;. n condi iile n care exist o prevedere legal expres care s autorizeze operatorul de date n acest sens. n toate situa iile, utilizarea de c tre un operator al datelor personale este INCORECT : f r declararea scopului exact pentru care se face prelucrarea acestora;. n afara NECESIT II OBIECTIVE a prelucr rii acestora pentru atingerea scopului declarat;. exced nd, n orice fel, scopul declarat -cu excep ia situa iei c nd: o exist o necesitate obiectiv i imediat pentru extinderea scopului declarat al prelucr rii de date;. o se comunic posesorului de date extinderea scopului prelucr rii;. o se ob ine acordul posesorului de date, dac este necesar. Procedura de implementare a GDPR la nivelul operatorilor de date care utilizeaz.
9 Platforme NET-DD presupune: elaborarea unui set de proceduri specifice interne;. respectarea unui set de specifica ii tehnice i de operare a aplica iilor IT&C prin care se realizeaz prelucrarea computerizat a datelor personale. / P a g . 5 | 49. 1. Proceduri specifice interne de implementare a GDPR. la nivelul organiza iei - operator de date personale Procedurile interne specifice de implementare GDPR la nivelul organiza iei - operator de date personale implic asigurarea, n structura organizatoric proprie, a FUNC IEI DE. RESPONSABIL CU PROTEC IA DATELOR. n situa ia organiza iilor mici i medii NET-DD ADMIN recomand crearea n organigram . a func iei de responsabil cu protec ia datelor, cu norm de lucru zilnic de maximum 2. (dou ) ore, inclusiv n zilele libere. Contractarea unui serviciu n acest sens (externalizarea activit ii) este nerecomandabil , date fiind: costul excesiv al serviciului;. acordarea accesului la sistemele informatice proprii i la datele procesate prin acestea a unui ter , ceea ce cre te riscurile de nc lcare a confiden ialit ii.
10 Dificultatea asigur rii permanen ei serviciului de protec ie a datelor, conform GDPR. ndeplinirea prevederilor func iei de responsabil de protec ia datelor de c tre oricare angajat al organiza iei NU presupune, conform GDPR: instruirea acestuia, altfel dec t prin instruirea asupra pachetului de proceduri puse la dispozi ie de c tre NET-DD ADMIN, prin prezenta documenta ie;. certificarea acestuia de vreo institu ie a statului sau de vreo organiza ie de certificare , public sau privat . Pentru maximum de formalism legal, NET-DD ADMIN asigur un SISTEM DE. certificare INTERN A INSTRUIRII ADECVATE A RESPONSABILULUI DE. PROTEC IA DATELOR, pentru toate organiza iile partenere, utilizatoare ale sistemelor informatice, ale Platformei NET-DD sau altele. / P a g . 6 | 49. Func ia de RESPONSABIL CU PROTEC IA DATELOR n cadrul organiza iei Responsabilul de protec ia datelor (RPD) din cadrul organiza iei trebuie s cunoasc . prevederile Regulamentului General de Protec ie a Datelor (GDPR) al Uniunii Europene i s asigure punerea n aplicare, la nivelul organiza iei, a acestora, N COLABORARE.
