GDPR: Ce principii trebuie să respecte firmele care prelucrează date personale

Principiile prevăzute de GDPR, astfel cum am menţionat anterior, sunt prevăzute cu scopul de a genera un cadru general în interiorul căruia să se facă activitatea de prelucrare a datelor cu caracter personal.

Mai mult, aceste principii reprezintă esenţa GDPR-ului. Înţelegerea lor poate să determine înţelegerea scopului final al GDPR-ului. De asemenea, respectarea acestor principii constituie elementul de bază pentru oricine vrea să se asigure că activitatea sa se desfăşoară în acord cu prevederile GDPR.

1. Legalitate, echitate şi transparenţă

Acest principiu presupune respectarea prevederilor privind protecţia datelor personale. În acest scop, o înţelegere efectivă a GDPR este necesară. Mai mult, transparenţa presupune o deschidere către persoanele vizate de prelucrarea datelor lor personale, în sensul prevederii politicii de prelucrare.

2. Limitări privind scopul

Orice colectare de date personale trebuie să aibă un scop clar şi predefinit. Mai mult, în continuarea principiului transparenţei, acest principiu presupune şi o informare a persoanelor, atunci când le sunt prelucrate datele, despre scopul prelucrării. 

3. Minimizarea prelucrării datelor

Doar minimul necesar de date cu caracter personal relevante pentru atingerea scopului prelucrării trebuie să fie prelucrat. Mai mult, datele trebuie prelucrate doar dacă această prelucrare este strict necesară atingerii scopului şi nu există alternative.

Astfel, în ipoteza în care o firmă prelucrează date în scopul comunicării unor informaţii, în cazul în care persoana vizată a optat pentru comunicarea prin intermediul e-mail-ului, nu i se va cere şi numărul de telefon.

4. Exactitate

Datele prelucrate trebuie să fie exacte, pentru a nu se crea riscuri pentru subiecţii vizaţi de datele prelucrate. În cazul unor date inexacte, rectificarea se va face „fără întârziere”.

Un exemplu privind importanţa exactităţii datelor prelucrate este dat de "Ghidul privind legislaţia europeană aferentă protecţiei datelor", redactat de către Oficiul UE privind drepturile fundamentale şi de către Consiliul Europei (pagina 128). La momentul contractării unui împrumut, băncile se ghidează în funcţie de istoria solicitantului privind contractarea creditelor bancare. În acest scop, există anumite baze de date cu informaţii despre solicitant. Dacă acestea nu sunt actualizate, solicitantul poate risca anumite dezavantaje. 

5. Limitări temporale privind stocarea

Conform preambulului GDPR (punctul 39), pentru respectarea acestui principiu, firmele ar trebui să prevadă termene pentru revizuire periodică şi, dacă este cazul, pentru ştergere. Astfel, în acest mod, se va verifica în mod constant dacă datele cu caracter personal care sunt stocate mai sunt necesare, evitându-se riscul stocării datelor peste perioada de timp necesară pentru stocare.

De exemplu, dacă o revistă online deţine adresa de e-mail a unei persoane, pentru a îi livra numerele nou-apărute, în baza unui abonament, odată ce persoana vizată nu mai este abonată, revista ar trebui să şteargă adresa de e-mail a persoanei respective din baza de date. O revizuire anuală sau chiar semestrială/ lunară, în baza acestui exemplu, ar eficientiza respectarea principiului privind limitarea stocării.

6. Integritate şi confidenţialitate

În acest caz, firmele care prelucrează date cu caracter personal trebuie să asigure, în mod activ, integritatea şi confidenţialitatea datelor stocate de către ei.

În acest scop, firmele trebuie să îşi ia măsuri de securitate care să protejeze atât cu privire la riscuri externe, cât şi cu privire la riscuri interne. Un exemplu de risc din ultima categorie îl reprezintă angajaţii nepregătiţi în scopul protecţiei datelor. 

În acest sens, pentru o serie de măsuri cu caracter general ce pot fi folosite în scopul garantării securităţii, a se vedea acest articol.

7. Responsabilitate

În final, acest principiu presupune că firma care prelucrează date cu caracter personal va fi responsabilă pentru efectivitatea protecţiei acelor date.

Totuşi, principiul mai presupune un aspect: firma trebuie să poată dovedi faptul că ia măsuri în scopul respectării efective a GDPR.

De exemplu, trimiterea de notificări ce vizează activitatea de operare cu date cu caracter personal reprezintă o măsură adecvată, în vederea demonstrării măsurilor luate.