Etichetă: privacy

Ce trebuie să implementezi pe site pentru a fi GDPR compliant

Claudiu Cadar

Introducere

Regulamentul privind confidențialitatea și comunicațiile electronice (PECR) se situează alături de  GDPR și oferă persoanelor vizate drepturi in ceea ce privește prelucrarea datelor cu caracter personal în ceea ce privește comunicațiile electronice.

Astfel, sunt definite reguli specifice privind:

  • apeluri de marketing, e-mailuri, texte și faxuri;
  • cookie-uri (și tehnologii similare);
  • menținerea securității serviciilor de comunicații;
  • confidențialitatea în ceea ce privește datele despre trafic și locație, facturarea detaliată, identificarea liniei și listele de directoare.

Ce sunt datele cu caracter personal?

Orice fel de informații prin care o persoana vizata este identificata sau identificabilă, iar pentru mediul virtual acestea pot fi:

  • Identificarea locației
  • Adresa IP, adresa MAC, device ID
  • Tranzacțiile online

 

Ce drepturi au persoanele vizate?

  • Informare (dreptul de a cunoaște cum vor fi utilizate informațiile oferite)
  • Acces (oferă dreptul utilizatorilor de a-și accesa datele și să le poată lua cu ei)
  • Rectificare
  • Ștergerea datelor (oferă-le posibilitatea de a putea șterge datele introduse)
  • Restricții sau procesare
  • Date portabile
  • Obiecții
  • Revizie asupra deciziilor automatizate sau de profil

Ai un site? Iată la ce întrebări trebuie să răspunzi ca să respecți GDPR

  • Aveți publicată o politică de confidențialitate?
  • Exista o procedură de obținere a consimțământului pentru utilizarea cookies? Există o procedură pentru retragerea consimțământului pentru utilizarea cookies, transparentă și pusă la dispoziția persoanei vizate? Există o politică de cookies?
  • Aveți un acord privind prelucrarea datelor cu furnizorul de servicii de web hosting?
  • Site-ul deține un cetificat de securitate ( SSL ) ?
  • Utilizați pseudonimizarea sau criptarea pentru protecția datelor personale? Cum?
  • Cum asigurați confidențialitatea,integritatea si disponibilitatea continuă a sistemelor și serviciilor de procesare?
  • Descrieți capacitatea dvs. de a restabili disponibilitatea și accesul la datele cu caracter personal în timp util, în cazul unui incident fizic sau tehnic.
  • Cum și de câte ori testati și evaluați eficacitatea măsurilor tehnice și organizatorice pentru a asigura securitatea prelucrării?
  • Aveți implementat un protocol de gestionare a riscurilor?
  • Efectuați evaluări anuale ale riscurilor?
  • Cum se stochează datele?
  • Daca folosiți baze de date, aceastea sunt criptate?
  • Unde sunt stocate?
  • Persoana împuternicită – ( Providerul de servicii de webhosting, Agentia de marketing, Dezvoltatorul websitului) indeplinește obligatiile legale privind articolul 32 – Masuri de securitate? Dar articolul 28? Verificati mai jos prevederile articolului 28, privind Persoana Imputernicita si obligatiile acesteia
  • Cine și cum are acces la datele de pe server?

Model valid pentru obținerea consimțământului

Ai nevoie de ajutor pentru implementarea cerințelor GDPR pe situl tau? Stabilește o intalnire online

 

Art. 28: Persoana împuternicită de operator

(1)În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate.

(2)Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţă de aceste modificări. (3)Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoană împuternicită de operator:

a)prelucrează datele cu caracter personal numai pe baza unor instrucţiuni documentate din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, cu excepţia cazului în care această obligaţie îi revine persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în acest caz, notifică această obligaţie juridică operatorului înainte de prelucrare, cu excepţia cazului în care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;

b)se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate;

c)adoptă toate măsurile necesare în conformitate cu articolul 32;

d)respectă condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte persoane împuternicite de operator;

e)ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;

f)ajută operatorul să asigure respectarea obligaţiilor prevăzute la articolele 32-36, ţinând seama de caracterul prelucrării şi informaţiile aflate la dispoziţia persoanei împuternicite de operator;

g)la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;

h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea. În ceea ce priveşte primul paragraf litera (h), persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.

(4)În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activităţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contractul sau în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentului regulament. În cazul în care această a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana împuternicită iniţială rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite.

(5)Aderarea persoanei împuternicite de operator la un cod de conduită aprobat, menţionat la articolul 40, sau la un mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizată ca element prin care să se demonstreze existenţa garanţiilor suficiente menţionate la alineatele (1) şi (4) din prezentul articol.

(6)Fără a aduce atingere unui contract individual încheiat între operator şi persoana împuternicită de operator, contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) din prezentul articol se poate baza, integral sau parţial, pe clauze contractuale standard menţionate la alineatele (7) şi (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordată operatorului sau persoanei împuternicite de operator în temeiul articolelor 42 şi 43.

(7)Comisia poate să prevadă clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2).

(8)O autoritate de supraveghere poate să adopte clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi în conformitate cu mecanismul pentru asigurarea coerenţei menţionat la articolul 63. (9)Contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) se formulează în scris, inclusiv în format electronic.

(10)Fără a aduce atingere articolelor 82, 83 şi 84, în cazul în care o persoană împuternicită de operator încălcă prezentul regulament, prin stabilirea scopurilor şi mijloacelor de prelucrare a datelor cu caracter personal, persoana împuternicită de operator este considerată a fi un operator în ceea ce priveşte prelucrarea respectivă.

 

Articole asemanatoare

CLAUS WEB este inscrisa in Registrul de Evidenta a Prelucrarilor de Date cu Caracter Personal sub Nr. 27102. Google declara luna Iulie ca fiind termenul limita pt HTTPS Default ThumbnailNoul site Claus Web se va lansa in curand google switch to httpsGoogle incepe sa recompenseze site-urile cu HTTPS/SSL cu o clasare mai buna in cautari

Ce este Domain Privacy si la ce ne ajuta ?

Claudiu Cadar

domain_name_privacy
Stiati ca toate datele atasate unui domeniu sunt publice pe internet datorita asa numitelor servicii de WhoIs ? Prin doar cateva clickuri, oricine poate sa afle cine detine un domeniu, pe ce nume a fost inregistrat, care este adresa de mail a persoanei/firmei care a inregistrat, precum si alte date confidentiale.

Dincolo de aspectul confidentialitatii, principalele pericole care pot aparea sunt legate de trimiterea de spam catre adresele de mail folosite la inregistrarea domeniului, asumarea identitatii proprietarului, incercarea de comitere de fraude, etc. Practic, robotii din internet pot fura adresele de mail si sa le includa intr-o lista de spam si sa fiti „bombardat” cu sute de mesaje nedorite.

Domain Privacy se poate activa foarte usor si este gratuit daca aveti domeniul inregistrat prin Claus Web. In loc de datele dumneavoastra personale, pe WhoIs se vor afisa datele registrantului.

Pentru un domeniu .ro inregistrat de o persoana fizica Domain Privacy este activ din oficiu; iar cele inregistrate de o firma nu pot beneficia de acest serviciu.
Pentru un domeniu .com, .net, .eu sau orice alt domeniu international, trebuie doar sa ne scrieti un mail pe office@claus.ro cu mesajul : „Doresc sa activez Domain Privacy pentru domeniul meu www.exemplu.com”. Evident, inlocuiti www.exemplu.com cu domeniul detinut de dumneavoastra.
Acest serviciu costa 5euro+tva/an pentru toti clientii Claus Web.

Articole asemanatoare

Cum se updateaza nameserverele si ce este propagarea? Cate caractere poate avea un nume de domeniu? De ce apare eroarea „Domain has exceeded the maximum defers and failures per hour” ? Cum alegi un nume de domeniu