Precizări privind pregătirea prelucrării datelor personale
Din perspectiva GDPR, prin prelucrare de date cu caracter personal se înțelege orice activitate care se încadrează între colectarea datelor și ștergerea/distrugerea acestora.Pornind de la aceste concluzii, o desfășurare logică privind procesul de proiectare a operațiunilor deprelucrare presupune ca operatorul să răspundă la următoarele întrebări:
1. Care este scopul operațiunii de prelucrare?
2. Care sunt datele personale ce urmează sa fie prelucrate prin intermediul acestei operațiuni?
3. Care sunt categoriile de persoane vizate pe care le implica operațiunea de prelucrare?
4. Care este temeiul legal al operațiunii de prelucrare?
5. Care este perioada de retenție (de păstrare) a datelor cu caracter personal și pe ce se fundamentează stabilirea acesteia?
6. Se va realiza operațiunea de prelucrare direct și doar de către Operator sau va fi implicat și un împuternicit?
7. Care sunt măsurile de securitate care asigură o diminuare a riscului asupra drepturilor și libertăților persoanelor vizate?
Doar operatorul răspunde la aceste întrebări, nu și împuternicitul. Împuternicitul realizează prelucrările operatorului, așa cum le-a definit acesta.
În cazul în care societatea care oferă servicii de contabilitate, salarizare sau audit financiar este o persoană împuternicită, aceasta nu va răspunde la întrebările de mai sus pentru prelucrările pe carele face în numele unui client operator. În acest caz, societatea va prelua răspunsurile pe care clientuloperator le dă cu privire la întrebările de mai sus. Cu alte cuvinte, prelucrarea operatorului va deveni,implicit, și prelucrarea persoanei împuternicite.
În lipsa instrucțiunilor primite de la operator, împuternicitul nu ar efectua acele operațiuni, prin urmare răspunsurile sunt cele definite de operator.
Împuternicitul îl poate asista, însă, pe operator, în definirea unora dintre răspunsuri (în special cele legate de mijloacele prelucrării, precum și de toate celelalte elemente de natura sa).
În cazul în care vorbim despre activități internalizate de contabilitate ori salarizare (cum ar fi, spre exemplu, cazul unor departamente in-house dedicate acestor activități), atunci operatorul va trebui să răspundă (iar departamentele specializate să îl ajute în formularea răspunsului) la toate întrebările de mai sus.
Înainte de a răspunde, însă, la aceste întrebări, operatorul va avea în vedere principiile de prelucrarea datelor cu caracter personal, așa cum sunt ele cuprinse în Regulament.
Principii de prelucrare a datelor cu caracter personal, conform GDPR
GDPR impune o serie de principii pentru prelucrarea datelor cu caracter personal. Art. 5 alin (1) al GDPR enumeră aceste principii și le transformă în piatra de temelie a oricărei operațiuni de prelucrare.
Aceste principii sunt extrem de importante, pentru că ele sunt asimilate unor adevărate reguli fundamentale pe care trebuie să se bazeze orice prelucrare de date cu caracter personal.
Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate,echitate și transparență”);
Cu alte cuvinte, în calitate de operator/ împuternicit trebuie să vă asigurați că:
- aveți temeiuri corecte pentru colectarea și utilizarea datelor cu caracter personal;
- nu utilizați datele în moduri care au efecte negative nejustificate asupra persoanelor în cauză;
- sunteți transparenți cu privire la modul în care intenționați să utilizați datele și să oferiți
- persoanelor respective o informare detaliată în momentul colectării datelor lor personale.
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri („limitări legate de scop”);
Cu alte cuvinte, în calitate de operator/ împuternicit trebuie să vă asigurați, că:
- oferiți persoanelor vizate, în informarea prezentată la momentul colectării datelor lorpersonale, o trecere în revistă a scopurilor pentru care colectați fiecare categorie de date;
- nu schimbați scopul pentru care au fost colectate datele, fără informarea prealabilă a persoanelor vizate și parcurgerea tuturor pașilor tranzitorii necesari, atunci când e cazul (spre exemplu, dacă e nevoie să obțineți consimțământul persoanei vizate pentru această nouă prelucrare).
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care suntprelucrate („reducerea la minimum a datelor”);
Cu alte cuvinte, e important să:
- colectați un număr de date nici mai mic și nici mai mare pentru atingerea scopului propus;
- nu colectați date pe principiul“nu se știe niciodată când vom avea nevoie de ele”.
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere(„exactitate”);
Cu alte cuvinte, atunci când prelucrați date:
- trebuie să verificați regulat exactitatea datelor prelucrate sau, dacă acest lucru nu e posibil,
- să puneți la dispoziția persoanelor vizate un mecanism prin intermediul căruia să își poată corecta, completa sau actualiza datele personale respective.
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nudepășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele („limitărilegate de stocare”), drept pentru care:
- nu stocați / prelucrați datele personale colectate pentru o perioadă mai mare de timp decâtaceea necesară îndeplinirii scopului (la momentul colectării, în informare, va trebui să spunețipersoanei vizate pentru ce perioadă de timp, identificată sau identificabilă, se va face prelucrarea -respectați acele reguli);
- revizuiți periodic datele prelucrate, pentru a identifica ce date sunt prelucrate, care nu mai respecta principiul limitării perioadei de stocare și vor trebui, prin urmare, șterse ori anonimizate.
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal,inclusiv
protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, adistrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatoricecorespunzătoare („integritate și confidențialitate”).
E important să:
- luați măsuri tehnice și organizatorice necesare pentru a defini un grad sporit de securitate aprelucrării datelor în organizația dumneavoastră (principii și proceduri interne de gestionarea regulilor de securitate și incidentelor de securitate);
- stabiliți cine este responsabil, în organizația dumneavoastră, de implementarea, urmărirea șiactualizarea politicilor de securitate și a proceselor de securitate;
- perfectați o serie de documente necesare pentru identificarea incidentelor de securitate, tratarea lor internă, notificarea acestora către Autoritatea de Supraveghere ori către persoanele vizate.