Informarea persoanelor vizate și procedurile interne de securitate

Având în vedere că a mai rămas foarte puțin timp pentru ca toți operatorii de date să se alinieze cu Regulamentul nr. 679 / 2016, iată ce lucruri trebuie adoptate pentru conformarea cu GDPR.

Principala responsabilitate a operatorului este de a prelucra date cu caracter personal în conformitate cu prevederile Regulamentului General privind prelucrarea datelor personale.

În primul rând, pentru ca prelucrarea să fie legală, trebuie să întrunească una dintre următoarele condiții:

1. Obținem consimțământul scris al persoanei vizate;
2. Prelucrarea e necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
3. Prelucrarea e necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
4. Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
5. Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul;
6. Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

După ce îndeplinim una dintre aceste condiții, avem obligația de a informa persoana de la care prelucrăm date, cu următoarele lucruri:

1. Identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
2. Datele de contact ale responsabilului cu protecția datelor, după caz;
3. Scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
4. Interesele legitime urmărite de operator sau de o parte terță;
5. Destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
6. Intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională;
7. Perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu e posibil, criteriile utilizate pentru a stabili această perioadă;
8. Existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
9. Existența drepului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
10. Dreptul de a depune o plângere în fața unei autorități de supraveghere;
11. Daca furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
12. Existența unui proces decizional automatizat incluzând crearea de profiluri;
13. Intenția operatorului de a prelucra ulterior datele cu alt scop decât cel pentru care acestea au fost colectate, acesta trebuie să furnizeze persoanei vizate, înainte de a prelucra ulterior, informații privind scopul secundar;

În cazul în care obținem de la o terță persoană datele personale ale altei persoane trebuie să-i mai comunicăm și următoarele:

1. Categoriile de date cu caracter personal vizate;
2. Sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public;

În ce moment se face informarea?

În cazul preluării directe a datelor de la persoana vizată, informarea se face în momentul obținerii datelor.

În cazul obținerii datelor cu caracter personal din alte surse, informarea se face:

1. într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună, ținându-se seama de modurile și căile specifice în care sunt prelucrate datele cu caracter personal;
2. dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă;

Dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Pentru asigurarea unui nivel ridicat de protecție a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze protejarea datelor în orice moment:

• Breșe de securitate;
• Solicitări cu privire la exercitarea drepturilor persoanelor vizate;
• Modificarea datelor cu caracter personal colectate;
• Schimbarea prestatorului;

Un lucru important care demonstrează respectarea obligațiilor de către un operator este aderarea la coduri de conduită aprobate sau la un mecanism de certificare aprobat.

În vederea menținerii securității și a prevenirii prelucrărilor care încalcă regulamentul, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea datelor.

Printre altele, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal recomandă ca toate societățile să desemneze un responsabil cu protecția datelor personale (Data Protection Officer) .

 

Bibliografie:

1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016.
2. Ghid orientativ de aplicare a RGPD – ANSPDCP – www.dataprotection.ro