Conceptele de “privacy by design” și “privacy by default” au fost aduse în prim plan de Ann Cavoukian, Information & Privacy Commissioner în provincia Ontario, Canada. În anii ‘90, Ann Cavoukian a definit 7 principii fundamentale pe baza cărora ar trebui desfășurate toate activitățile de prelucrare.
GDPR a preluat, într-o formă destul de apropiată de originalul Annei Cavoukian, principiile enunțate de aceasta și le-a transpus în două reguli importante.
1. Privacy by Design implică faptul că orice organizație care dorește să respecte GDPR va trebui să elaboreze politici, proceduri și sisteme care respectă Regulamentul, chiar de la începutul dezvoltării produsului sau a proceselor sale de prelucrare. Cu alte cuvinte, ideea de respectare a principiilor GDPR trebuie inclusă în chiar planurile de arhitectură ale viitoarelor activități de prelucrare.
2. Privacy by Default implică faptul că operatorii de date trebuie să pună în aplicare măsuri adecvate, atât la nivel tehnic, cât și organizațional, pentru a se asigura că datele cu caracter personal colectate sunt utilizate numai pentru scopul specific menționat. Aceasta înseamnă că trebuie colectată cantitatea minimă necesară de date cu caracter personal, să se minimizeze prelucrarea și să se controleze stocarea și accesibilitatea acestora.
Atunci când se concepe un proces de prelucrare de date, se are în vedere includerea acestor principii în schema de proces care se realizează. De asemenea, e foarte importantā documentarea (să se poata proba în viitor) faptului ca s-a avut în vedere atât ideea de „privacy by desig”’, cât și ideea de „privacy by default” la momentul definirii unei activități de prelucrare.
Pregătirea prelucrării datelor personale
Operatorii vor întocmi un plan al prelucrării pe baza răspunsurilor la întrebările menționate la începutul capitolului:
Întrebarea 1: Care este scopul operațiunii de prelucrare?
Prin scop al prelucrării se înțelege acea finalitate pe care Operatorul o așteaptă de la prelucrarea în cauză. Plata salariilor este un scop al prelucrării. Realizarea auditului este un scop al prelucrării.
Întocmirea dosarului de salariat este un alt scop.
E foarte importantā definirea cât mai corect cu putință a scopului prelucrării, pentru că de această definire depind, apoi, mai multe consecințe. În primul rând, fiecare astfel de prelucrare va implica o serie de date personale, va trebui fundamentată pe unul dintre cele 6 variante de temeiuri legale și va implica o anumită perioadă de retenție a datelor.
Apoi, în cazul în care datele cu caracter personal sunt prelucrate într-un alt scop decât cel pentru care acestea au fost colectate, va trebui să se furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și alte informații necesare.
Întrebarea 2: Care sunt datele personale ce urmează sa fie prelucrate prin intermediul acestei operațiuni?
Imediat ce se definește scopul unei prelucrări, e relațiv usor să se definească și tipul de date cu caracter personal care vor fi incluse în prelucrarea în cauză. Cu alte cuvinte, să spunem că prelucrarea vizează întocmirea registrului general de evidență a salariaților (REVISAL).
Potrivit art. 3 al Hotararii Guvernului nr. 500 din 2011, privind registrul general de evidență a salariaților, registrul privat se completează în ordinea încheierii contractelor individuale de muncă și cuprinde o serie de elemente obligatorii, printre care amintim:
- elementele de identificare ale tuturor salariaților: numele, prenumele, codul numeric personal CNP, cetățenia și țara de proveniență,
- funcția/ocupația,
- datele din actele de studii de lungă durată ale persoanei, precum și datele privitoare la profilul/specializarea/calificarea, conform actelor/certificatelor de calificare,
- salariul de bază lunar brut și sporurile, astfel cum sunt prevăzute în contractul individual de muncă,
- Etc.
Prin urmare, dacă vorbim despre operațiunea de prelucrare al cărei scop este întocmirea registrului privat de evidență a salariaților, atunci scopul va fi “întocmirea registrului privat de evidență a salariaților”, iar datele prelucrate vor fi cele precizate în HG 500/2011.
Este important, ori de câte ori se stabilește o operațiune de prelucrare, să se specifice clar care este scopul acesteia și care sunt datele personale pe care le implică aceasta operațiune de prelucrare.
În cadrul mai multor operațiuni de prelucrare ar putea fi utilizate aceleași categorii de date cu caracter personal. Spre exemplu, în cadrul unei companii, numele persoanei vizate va fi utilizat atât în operațiunea care implică realizarea registrului privat de evidență a salariaților, cât și în operațiunea care implică plata salariilor, cât și în operațiunea care implică acordarea unor concedii medicale etc.
Întrebarea 3: Care sunt categoriile de persoane vizate pe care le implică operațiunea de prelucrare?
Persoanele vizate în operațiunile de prelucrare pe care le implică muncă unui contabil, expert contabil sau auditor financiar sunt reprezentate de angajații potențiali sau actuali ai unei companii, precum și clientii acelei companii. Într-o mai mică măsură, prelucrarea datelor de către contabil sau auditorul financiar implică și administratorul, acționarii sau asociații unor companii.
Întrebarea 4: Care este temeiul legal al prelucrării?
Potrivit GDPR (art. 6 alin (1)), prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Enumerarea de mai sus nu e un top și nici o prezentare prioritară a acestor condiții. Un operator trebuie să aibă la baza activității sale de prelucrare unul dintre punctele de mai sus. Pentru majoritatea operatorilor (excludem entitățile publice și alte tipuri de entități extrem de specifice), cele patru condiții de reținut (denumite și temeiuri ale prelucrării) sunt:
● Existența unei obligații legale a operatorului;
● Executarea unui contract / demersuri înainte de încheierea unui contract;
● Existența unui interes legitim al operatorului sau al unei terțe părți;
● Consimțământul persoanei vizate.
Întotdeauna, înainte de a începe o operațiune de prelucrare, trebuie analizat și documentat (analiza trebuie să poată fi probată ulterior) temeiul prelucrării ca fiind unul dintre punctele enumerate mai sus. Fără existența unui temei justificat, prelucrarea nu este legală.
Practic, trebuie să se parcurgă un șir logic de întrebări care ar putea să lămurească temeiul existent pentru un anumit tip de prelucrare.