Atât raportul de activitate al ANSPDCP, în general, cât și solicitările prezentate în cadrul acestuia, în particular, sunt relevante pentru firme. Practic, din cauza că ele arată care au fost principalele probleme cu care s-au confruntat operatorii de date personale, imediat după data de la care se aplică GDPR (25 mai 2018). Consultându-le, firmele pot afla despre problemele practice ce țin de aplicarea GDPR și cum trebuie abordate acestea.
1. Prima problemă ridicată de operatori a fost legată de necesitatea notificării prelucrărilor de date după aplicarea GDPR (lucru obligatoriu, înainte). Astfel cum a confirmat și ANSPDCP, acest lucru nu mai este necesar.
2. O altă problemă s-a referit la măsurile de securitate cibernetică pe care firmele cu activitate online trebuie să le implementeze. ANSPDCP a făcut referire la o serie de măsuri concrete, prin care se poate asigura confidenţialitatea și securitatea prelucrării datelor:
- pseudonimizarea și criptarea datelor cu caracter personal;
- capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și rezistenţa continue ale sistemelor și serviciilor de prelucrare;
- capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util, în cazul în care are loc un incident de natură fizică sau tehnică;
- un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Atenție! Este foarte greu să se facă o ierarhizare între importanța măsurilor ce trebuie implementate în baza GDPR, însă asigurarea securității prelucrării datelor este, fără discuție, de importanță fundamentală. O dovadă este faptul că foarte multe amenzi, până acum, s-au dat din cauza unui cadru de securitate inadecvat. Puteți vedea câteva exemple, aici, aici sau aici. În acest context, puteți citi mai multe despre importanța unui cadru de securitate actualizat, aici.
3. ANSPDCP a făcut referire, printre exemplele acesteia, și la problema consimțământului, ca temei pentru prelucrarea de date personale. Practic, autoritatea s-a referit la cum trebuie să fie consimțământul, pentru a fi valid; ce se întâmpla, odată cu retragerea consimțământului; și, în final, când poate fi continuată prelucrarea, chiar și ulterior retragerii consimțământului.
În ceea ce privește validatatea consimțământului și efectele retragerii acestuia:
- firma care prelucrează date trebuie să poată demonstra că persoana vizată de prelucrarea datelor și-a dat consimțământul;
- „în cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu”;
- „persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca acordarea acestuia”;
- pentru a fi valid și considerat ca fiind dat în mod liber, consimțământul nu trebuie să fie condiționat. De exemplu, de prestarea unui serviciu;
- dacă persoana vizată și-a retras consimțământul și și-a exercitat dreptul la ștergerea datelor, firma trebuie să îi șteargă, fără întârzieri nejustificate, toate datele personale.
Există, totuși, și situații când datele pot fi păstrate și după retragerea consimțământului:
- pentru valorificarea dreptului la liberă exprimare și la informare;
- pentru respectarea unei obligații legale (fie în temeiul dreptului Uniunii Europene, fie în temeiul dreptului intern);
- „din motive de interes public în domeniul sănătății publice”;
- „în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice”;
- „pentru constatarea, exercitarea sau apărarea unui drept în instanță”.
În acest context, este important de menționat că firmele mai trebuie să fie atente la un aspect: ele nu au libertatea de a justifica prelucrarea de date personale, în baza oricărui temei care ar putea fi, în teorie, aplicabil. Firmele trebuie să depună diligențe pentru a înțelege care este temeiul obiectiv aplicabil într-o situație și să recurgă la acesta.