Exin Data Pravacy GDPR

Get Started. It's Free
or sign up with your email address
Rocket clouds
Exin Data Pravacy GDPR by Mind Map: Exin Data Pravacy  GDPR

1. Historia

1.1. 1950

1.1.1. assinaram a convenção europeia de diretos humanos

1.2. 1981

1.2.1. diretrizes foram aprovadas, proteção de indivíduos processamento de dados - tratado de estrasburgo

1.3. 1995

1.3.1. Diretiva de proteção de dados - 95/46/EC

1.4. 2002

1.4.1. Carta dos direitos fundamentais da união Europeia - proteção de dados como direito fundamental

1.5. 2016

1.5.1. Em maio a GDPR entra em vigor, sendo aplicada integralmente em 2018.

2. Aplicabilidade

2.1. Dados pessoais de forma estruturada, desde sistemas de bancos de dados totalmente automatizados, até arquivos baseados em papel.

2.2. Exceções

2.2.1. - Atividades relacionadas com política externa e de segurança comum

2.2.2. - Tratamento pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução penais

2.2.3. - Não se aplica a processamento de dados pessoais por pessoa física "pessoal ou domestica" sem ligações com atividades profissionais ou comerciais

3. Conceitos

3.1. Privacidade

3.1.1. Direito de respeitar a vida privada de uma pessoa, sua casa e sua correspondência

3.2. Proteção de dados

3.2.1. É sobre proteção de dados pessoais

3.3. Dados Pessoais

3.3.1. Dados pessoal é qualquer informação relativa a uma pessoa física identificada ou identificável (titular dos dados) Informações objetivas como coisas que podem ser medidas.

3.3.2. - Tipo sanguíneo - Tamanho do sapato - Quantidade de Álcool no sangue

3.3.3. Não se limita a informações verdadeiras ou comprovadas

3.3.4. Sob qualquer forma: texto, figuras, gráficos, fotografia e vídeo.

3.3.5. Tipos

3.3.5.1. Dados Pessoais Diretos

3.3.5.1.1. Dados que podem ser atribuídos diretamente a um indivíduo

3.3.5.2. Dados Pessoais Indiretos

3.3.5.2.1. São dados que podem estar ou poderão estar no futuro vinculados a um indivíduo específico usando informações adicionais

3.3.5.3. Dados pseudonimizados

3.3.5.3.1. Processo de disfarçar identidades, coletar dados adicionais relativos ao mesmo indivíduo sem ter que conhecer sua identidade

3.3.5.4. Dados anonimizados

3.3.5.4.1. Nenhuma informação a partir da qual a pessoa a quem os dados se referem pode ser identificada de qualquer forma

3.3.5.5. Dados especiais

3.3.5.5.1. O GDPR distingue várias categorias de dados pessoais que merecem um tratamento especial. As categorias de dados pessoais especiais são:

3.3.5.5.2. É proibido processar dados pessoais especiais, exceto nos casos explicitamente mencionados no Artigo 9 do GDPR

3.4. Processamento

3.4.1. Processamento significa qualquer operação ou conjunto de operações efetuadas em dados pessoais ou em conjuntos de dados pessoais, por meios automatizados ou não, como coleta, registro, organização, estruturação , armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou de outra forma tornar disponível, alinhamento ou combinação, restrição, apagamento ou destruição

4. Papeis e responsabilidades

4.1. Controlador

4.1.1. O controlador é a pessoa física ou jurídica responsável pela determinação dos propósitos e meios do processamento meios para o processamento.

4.2. Processador

4.2.1. Processador (às vezes indicado como 'processador de dados') sempre atua 'em nome do controlador', e que o processador também deve cumprir as instruções do controlador

4.3. DPO

4.3.1. O DPO é uma pessoa que tem a tarefa formal de garantir que a organização esteja ciente e cumpra suas responsabilidades e obrigações de proteção de dados de acordo com o GDPR e as leis do Estado-Membro.

4.3.2. Tarefas do DPO

4.3.2.1. Informar e aconselhar

4.3.2.2. Monitorar a conformidade presente no regulamento

4.3.2.3. Prestar aconselhamento, se tal for solicitado, no que diz respeito à avaliação de impacto sobr e a proteção de dado

4.3.2.4. Cooperar com a autoridade supervisora

4.3.2.5. Ponto de contato empresa e autoridade

4.4. Destinatario

4.4.1. Destinatário é uma pessoa física ou jurídica, uma autoridade pública, uma agência ou outro organismo para o qual os dados pessoais são divulgados, terceiros ou não

4.5. Terceiro

4.5.1. É uma pessoa sem motivos legítimos específicos nem autorização para processar dados pessoais

4.5.1.1. Exemplo: é um contador, que na execução de suas funções pode, inadvertidamente, ver dados pessoais. Ou um gerente de sistemas verificando se o back-up de dados pessoais foi bemsucedido e, ao fazer isso, verá alguns nomes e outras telas de dados pessoais.

5. Princípios de processamento de dados

5.1. Legalidade, justiça e transparência

5.1.1. Devem ser processados de forma legal, justa e transparente em relação ao titular dos dados

5.2. Limitação de finalidade

5.2.1. Devem ser coletados para fins específicos,explícitos e legítimos.

5.3. Minimização de dados

5.3.1. Devem ser adequados, relevantes e limitados ao necessário em relação aos fins para os quais são processados.

5.4. Exatidão

5.4.1. Devem ser precisos e, se necessário, atualizados

5.5. Limitação de armazenamento

5.5.1. Devem ser mantidos em um formato que permita a identificação dos titulares de dados por não mais do que o necessário para as finalidades para as quais os dados pessoais são processados; etc.

5.6. Integridade e confidencialidade

5.6.1. Devem ser processados de maneira a garantir a segurança apropriada dos dados pessoais

5.7. Prestação de contas

5.7.1. O controlador deve ser responsável e demonstrar o cumprimento dos princípios mencionados acima

6. Motivos legítimos e limitação de finalidade

6.1. o processamento só será lícito se e na medida em que ao menos um dos seguintes motivos legítimos de processamento se aplicar.

6.1.1. Titular dos dados deu seu consentimento

6.1.2. Necessário para a execução de um contrato

6.1.3. Cumprimento de uma obrigação legal

6.1.4. Para proteger um interesse vital da pessoa em causa

6.1.5. Necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficia

6.2. Os dados pessoais sejam recolhidos para fins específicos, explícitos e legítimos

6.2.1. Especifico

6.2.1.1. Não pode ser vago

6.2.1.2. Detalhado

6.2.1.3. Que tipo de processamento é feito

6.2.2. Explicito

6.2.2.1. Torna transparente sua utilização

6.2.3. Legitimo

6.2.3.1. Propósitos devem estar de acordo com a Lei

6.3. Subsidiariedade

6.3.1. Os dados pessoais só possam ser processados se não houver outros meios para alcançar os objetivos.

6.4. Proporcionalidade

6.4.1. não devem ser reunidos mais dados do que o estritamente necessário

7. Direitos dos titulares dos dados

7.1. Informação transparente, comunicação e modalidade

7.1.1. Titular dos dados deve ser informado caso seus dados pessoais estejam sendo processados.

7.1.2. Caso tenha consentimento, deve saber com o que está consentindo.

7.1.3. O titular dos dados deve ser informado sobre quais de seus dados pessoais são ou serão processados, com que propósito e quem é o responsável. E por 'saber' e por 'ser informado' o GDPR significa explicitamente 'esteja ciente de' e 'entenda':

7.2. Informações sobre acesso a dados pessoais

7.2.1. a identidade e os dados de contato do controlador e do seu representante, se for o caso

7.2.2. os detalhes de contato do DPO, quando aplicável

7.2.3. as finalidades do processamento para o qual os dados pessoais se destinam

7.2.4. a base jurídica para o processamento

7.3. Direto de acesso (inspeção) pelo titular dos dados

7.3.1. O titular dos dados tem direito de saber se os dados estão sendo processados,

7.4. Retificação e eliminação

7.4.1. Caso o titular perceba que os dados estão errados, pode solicitar uma retificação

7.4.2. Direito de exclusão (esquecimento)

7.4.2.1. Os dados não são mais necessários para os fins que foram coletados

7.4.2.2. Retira do consentimento

7.4.2.3. Os dados foram coletados para uma oferta de serviços de informação diretamente a uma criança menor de 16 anos.

7.4.2.4. Processamento Ilegal

7.5. Direito à limitação do processamento

7.5.1. Os titulares podem limitar o processamento em certos casos

7.6. Obrigação de notificação

7.6.1. Os controladores precisam implementar sistemas e procedimentos para notificar terceiros afetados sobre o exercício desses direitos.

7.7. Portabilidade de dados

7.7.1. Desde que o processamento seja baseado em consentimento ou contrato, e desde que o processamento seja realizado por meios automatizados, os titulares de dados têm o direito de receber os dados pessoais ou transferir seus dados pessoais entre os controladores

8. Requisitos para cumprir o GDPR

8.1. Princípios relativos ao processamento de dados pessoais são cumpridos

8.1.1. O objetivo deve ser claro, detalhado e especificado, e pelo menos um dos seis possíveis “fundamentos legais para o processamento” deve ser aplicado. Os direitos do titular de dados devem ser garantidos e um sistema de segurança de dados adequado deve estar em vigor

8.2. Estrutura legal

8.2.1. Requer controladores, processadores e, na verdade, qualquer pessoa que, em um determinado momento, processe dados pessoais para cumprir o GDPR

8.3. Avaliação de impacto sobre a proteção de dados (AIPD - DPIA)

8.3.1. Na prática, as diretrizes publicadas estão disponíveis, indicando em quais casos de processamento de dados pessoais uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) precisa ser realizada

8.4. Controlador - contrato do processador

8.4.1. Caso o controlador queira terceirizar parte da operação de processamento para outra parte (um processador), um contrato legal deve estar em vigor.

8.5. Consulta previa

8.5.1. A consulta prévia é necessária apenas se uma AIPD indicar um alto risco à privacidade de pessoas físicas.

9. Autoridades supervisoras

9.1. Responsabilidades gerais de uma autoridade supervisora

9.1.1. Acompanhar e fazer cumprir a aplicação do regulamento

9.1.2. Aconselhar e promover a conscientização

9.1.3. Administrar violações de dados e outras violações

9.1.4. Definir padrões

9.1.5. Cooperação com outras autoridades supervisora

9.2. Papeis e responsabilidades relacionadas a violações de dados

9.3. Poderes da autoridade supervisora na aplicação do GDPR

9.3.1. Uma das principais responsabilidades de uma autoridade supervisora é impor a aplicação do GDPR

9.4. Condições gerais para a imposição de multas administrativas

9.4.1. Proporcional

9.4.1.1. Os critérios para essa decisão são a natureza, a gravidade e a duração da infração, o objetivo do processamento, o número de titulares de dados afetados e o nível de danos causados a eles.

9.4.2. Dissuasivo

9.4.2.1. A intenção é incentivar as empresas a aderir às regras e não destruí-las financeiramente.

9.4.2.2. Duas categorias de penalização

9.4.2.2.1. Por infrações às obrigações do controlador e do processador, a multa máxima será de € 10.000.000 ou 2% do volume de negócios mundial da empresa no ano financeiro anterior.

9.4.2.2.2. € 20.000.000 ou até 4% do volume de negócios mundial da empresa no ano financeiro anterior, o que for maior. Se

10. Por Carlos Eduardo Ximenes