GDPR – ce facem concret?

GDPR CE FACEM CONCRET ?| LAW PARTNERS

Ne apropiem tot mai mult de data de 25 mai 2018 când se va aplica în toată Uniunea Europeană Regulamentul (UE) 2016/679 privind prelucrarea datelor cu caracter personal (GDPR).

Până în prezent, GDPR nu a fost încă transpus în legislația internă, existând doar un proiect de lege privind măsurile de punere în aplicare a Regulamentului European, adoptat de Camera Deputaților la data de 09.05.2018. Astfel, o modificare legislativă poate apărea în orice moment.

Între timp, mulți dintre clienții noștri ne-au abordat în legătură implementarea GDPR la nivelul afacerii lor. Venim astfel în sprijinul și ajutorul dvs. și vă dezvăluim câteva din procedurile cheie pe care ar trebui să le efectuați pentru implementarea corectă a GDPR.

MAP & AUDIT

Primul pas în implementarea GDPR este identificarea categoriilor de date cu caracter personal pe care le prelucrați și a categoriilor de persoane vizate (de exemplu: salariații, clienții, reprezentanții persoane fizice ai furnizorilor/ colaboratorilor/ subcontractanților, asociații, administratorii, candidații pentru diverse posturi, etc.)

Datele cu caracter personal sunt definite de GDPR (art. 4 pct. 1) ca fiind orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”). Practic, o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Acest pas presupune efectuarea unui audit intern cu privire la datele cu caracter personal prelucrate, în special pentru a identifica dacă prelucrați sau nu date sensibile. Se consideră a fi date sensibile acele date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea sau datele privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Pentru orice agent economic efectuarea acestui audit intern este esențială pentru a vedea în concret care sunt datele cu caracter personal pe care le prelucrează precum și modalitatea de prelucrare (automată sau nu), cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Astfel, operatorii de date cu caracter personal ar trebui să fie mult mai atenți în relația cu salariații, clienții, furnizorii de produse și servicii, colaboratorii, consultanții, vizitatorii site-ului, vizitatorii sediului sau locațiilor sau chiar la metodele folosite privind marketing-ul direct.

STABILIREA TEMEIULUI LEGAL și a SCOPULUI PRELUCRĂRII DATELOR CU CARACTER PERSONAL

După ce operatorul a efectuat procedura map & audit, următorul pas este stabilirea temeiului legal, precum și a scopului în baza căruia se efectuează prelucrarea datelor cu caracter personal.

GDPR, prin dispozițiile art. 6, reglementează șase temeiuri pentru prelucrarea datelor cu caracter personal:

(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Prin urmare, oricărei prelucrări de date cu caracter personal trebuie să îi fie atribuite un scop și un temei legal. În funcție de acest aspect operatorul va ști ce proceduri va avea de urmat. De exemplu, în cazul în care operatorul încheie un contract individual de muncă, va informa noul salariat cu privire la scopul prelucrării datelor sale cu caracter personal, precum și temeiul legal , respectiv prevederile art. 6 alin. 1 lit. b) din GDPR : ”prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”.

INFORMAREA PERSOANELOR VIZATE

Conform GDPR, procedura de informare a persoanelor vizate referitor la prelucrarea datelor cu caracter personal este o procedură obligatorie. Astfel, în momentul obținerii datelor cu caracter personal de la persoanele vizate, operatorul furnizează acestor persoane toate informațiile următoare:

(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecția datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

(d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terță;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională.

(g) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(h) drepturile persoanelor vizate;

(i) atunci când prelucrarea se bazează pe consimțământ, existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;

(j) dreptul de a depune o plângere în fața unei autorități de supraveghere;

(k) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;

(l) existența unui proces decizional automatizat incluzând crearea de profiluri, precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

ADOPTAREA UNOR MĂSURI ORGANIZATORICE

În scopul asigurării confidențialității și securității datelor cu caracter personal prelucrate, operatorul ar trebui să ia în considerare implementarea următoarelor măsuri organizatorice:

  • adoptarea unei politici de prelucrare a datelor cu caracter personal și de securitate a prelucrării datelor cu caracter personal (procedura de prelucrare a datelor personale);
  • informarea persoanelor vizate cu privire la informațiile impuse de art. 13 și 14 din GDPR;
  • obținerea consimțământului persoanelor vizate, în situațiile în care consimțământul constituie temeiul legal pentru prelucrarea datelor cu caracter personal (mai mult detalii aici);
  • asigurarea confidențialității datelor cu caracter personal prin inserarea unor clauze de confidențialitate în contractele de muncă ale salariaților și în contractele cu furnizorii, clienții și colaboratorii;
  • actualizarea regulamentului de ordine interioară cu clauze specifice în materia prelucrării datelor cu caracter personal;
  • actualizarea fișelor de post ale persoanelor care au atribuții specifice în materia prelucrării datelor cu caracter personal;
  • realizarea instructajului salariaților în materia prelucrării datelor cu caracter personal;
  • păstrarea evidenței activităților de prelucrare a datelor cu caracter personal;
  • revizuirea contractelor cu persoanele împuternicite pentru a asigura implementarea cerințelor Regulamentului.

IMPLEMENTAREA UNOR MĂSURI TEHNICE

În scopul asigurării confidențialității și securității datelor cu caracter personal prelucrate, Operatorul poate  implementa măsuri tehnice precum:

  • pseudonimizarea datelor,
  • criptarea datelor,
  • securizarea fișierelor și documentelor care conțin date personale prin parole de acces,
  • instalarea unor sisteme antivirus pe dispozitivele electronice,
  • instalarea unor sisteme de alarmă în locațiile unde sunt stocate date cu caracter personal,
  • utilizarea unor servere centralizate,
  • montarea unor elemente de protecție mecano-fizice, respectiv seifuri, dulapuri metalice, uși și încuietori,
  • păstrarea ahivelor fizice care conțin date cu caracter personal în condiții de siguranță, cu acces limitat pe bază de cheie/ parolă,
  • efectuarea unor back-uri periodice.

Măsurile tehnice necesare se vor implementa în funcție de activitatea fiecărui operator în parte, de modalitatea de prelucrare a datelor cu caracter personal, în funcție de efectuarea unei prelucări la scară largă sau nu, precum și în funcție de riscurile la care operatorul este expus.

EVALUAREA IMPACTULUI ASUPRA PRELUCRĂRII DATELOR

În cazul în care un activitatea de prelucrare a datelor cu caracter personal, în special cea bazată pe utilizarea noilor tehnologii, este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal.

Aflați mai multe multe informații despre impactul pe care GDPR îl poate avea în cazul dvs., prin stabilirea unei întâlniri cu un avocat specializat in protectia datelor din cadrul biroului nostru.

Av. Ruxandra SIMIONESCU | Senior Partner BRANCOV SIMIONESCU TODOR S.C.A.