Articol scris de Adriana Radu, partener și coordonator al practicii de dreptul muncii și protecția datelor cu caracter personal la Schoenherr și Asociații.
Potrivit GDPR, operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate a datelor proporțional cu riscurile.
Cum stabilim nivelul de risc? Prin raportare la tipul de date prelucrate (categoriile speciale de date, cum ar fi starea de sănatate, spre exemplu, prezentând prin natura lor un nivel mai ridicat de risc), gradul de probabilitate a materializării riscului și gravitatea sa.
Ca exemplu: Un angajator care stochează datele personale ale tuturor salariaților săi pe un server din Rusia are, cel puțin la nivel principial, un nivel de risc mai ridicat decât cel care le stochează în Romania. De ce? În primul rand, pentru că datele sunt transferate pe teritoriul unui stat căruia nu i-a fost recunoscut de către Comisia Europeană un nivel adecvat de proțectie a datelor.
Care ar fi instrumentul de utilizat pentru această analiză? GDPR stabilește, cu titlu de obligație pentru anumite operațiuni, necesitatea întocmirii unei evaluări a impactului asupra protecției datelor. Însă, chiar și pentru situațiile în care nu este obligatorie, evaluarea se poate dovedi extrem de utilă operatorilor pentru înțelegerea activităților de prelucrare derulate și a riscurilor derivate.
În ceea ce privește măsurile tehnice și organizatorice necesare pentru asigurarea securității prelucrării, GDPR se concentrează pe două mari direcții (detaliate, în principal, în articolul 32):
- Prevenirea incidentelor de natură să ducă, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date personale; și
- Dacă măsurile de prevenție au eșuat, o intervenție rapidă pentru reducerea potențialelor prejudicii și riscuri pentru drepturile si libertățile persoanelor vizate.
În acest sens, dacă apare o încălcare a securității datelor, GDPR instituie o obligație de notificare a autorității de supraveghere, pe care o vom discuta mai în detaliu în cadrul pasului numărul opt.
Consultă aici pașii anteriori de pregătire pentru GDPR.
Nota redacției: Acest articol face parte dintr-o serie referitoare la pregătirea angajatorilor pentru aplicarea GDPR, desfășurată de avocatnet.ro împreună cu Schoenherr și Asociații. Toate articolele din serie pot fi găsite aici.