În conformitate cu art. 24 din RGPD, ţinând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea datelor cu caracter personal se efectuează astfel cum se dispune prin acelaşi regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.
În respectarea obligațiilor ce revin operatorului, acesta poate să adere la coduri de conduită aprobate sau la un mecanism de certificare aprobat, astfel cum sunt menţionate la art. 40 şi 42 din RGPD.
Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit
Operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.
Menţionăm că, prin „pseudonimizare” în accepţiunea RGPD se înţelege prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.
Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de aceștia să își îndeplinească obligațiile de protecție a datelor.
Operatorul economic trebuie să se asigure ca ia măsurile tehnice și organizatorice adecvate pentru a asigura prelucrarea numai a datelor cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Această obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.
Operatorii asociați
Potrivit art. 26 din RGPD, în cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul RGPD, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la art.13 și 14 din RGPD referitoare la informaţiile care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată şi informațiile care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.