avocatnet.ro 
Cadrul legal al prelucrărilor de date personale urmează să fie înlocuit complet la 25 mai 2018, dată de la care se va aplica Regulamentul general privind protecția datelor (GDPR). Deși este un act normativ european, acesta va fi obligatoriu direct în toate statele membre ale Uniunii Europene, deci și în România, fără să fie necesare reglementări interne suplimentare.
Practic, simpla prelucrare a datelor personale ale salariaților proprii transformă o companie, din punct de vedere legal, într-un operator de date personale. Prin urmare, firmele sunt obligate să respecte legislația prelucrărilor de date personale.
În acest context, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a elaborat un ghid referitor la GDPR, în care a inclus, printre altele, sfaturi de organizare a procedurilor interne pentru protejarea datelor personale prelucrate.
„Pentru a asigura permanent un nivel ridicat de protecție a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea protecției datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date”, scrie în ghidul ANSPDCP, făcându-se referire la evenimente cum sunt:
- breșele de securitate;
- solicitările de exercitare a drepturilor persoanelor vizate de prelucrări;
- modificarea datelor personale colectate;
- schimbarea prestatorului.
1. Un prim aspect important vizavi de organizarea procedurilor interne este, conform sursei citate, „luarea în considerare a protecției datelor cu caracter personal încă de la momentul conceperii («privacy by design») unei aplicații sau a unei prelucrări”. Concret, vorbim de minimalizarea colectării datelor în funcție de scop, „cookie”-uri, perioada de stocare, informațiile furnizate persoanelor vizate, obținerea consimțământului persoanelor vizate, securitatea și confidenţialitatea datelor personale, garantarea rolului și responsabilității părților implicate în prelucrarea datelor.
2. Apoi, trebuie aplicate măsurile tehnice și organizatorice adecvate pentru a asigura prelucrarea automată numai pentru datele necesare fiecărui scop specific al prelucrării („privacy by default”). Aici trebuie avute în vedere volumul de date colectate, gradul de prelucrare a acestora, perioada de stocare și accesibilitatea lor.
3. Sensibilizarea și organizarea diseminării informației, este un al treilea aspect important. Mai precis, reprezentanții ANSPDCP spun că trebuie stabilit un plan de pregătire și comunicare cu persoanele ce prelucrează date personale.
4. Un alt aspect relevant este soluționarea plângerilor și a cererilor adresate de persoanele vizate în exercitarea drepturilor lor. Trebuie stabilite părțile implicate și modalitățile de exercitare a drepturilor. Conform ghidului, exercitarea drepturilor trebuie să fie posibilă inclusiv online, dacă datele personale au fost colectate electronic.
5. Al cincilea aspect este anticiparea unei posibile încălcări a securității datelor personale prelucrate, „specificând, pentru anumite cazuri, obligativitatea notificării [ANSPDCD] în termen de 72 de ore și a persoanelor vizate în cel mai scurt timp”, așa cum scrie în documentul cu instrucțiunile autorităților.
6. În fine, ghidul mai punctează partea privind asigurarea confidențialității și a securității prelucrării prin adoptarea de măsuri tehnice și organizatorice adecvate. În principiu, este vorba de pseudonimizarea și criptarea datelor cu caracter personal, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, capacitatea de a restabili disponibilitatea datelor personale și accesul la acestea în timp util (în cazul în care are loc un incident) și un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru garantarea securității prelucrării.
Notă: Nu uita că, începând din 25 mai 2018, firmele (în special cele mari, dar nu numai) trebuie să țină o evidență a prelucrărilor de date personale, altfel riscă sancțiuni.
ttnkmn