Ghidul CEPD stabilește care sunt măsurile pe care operatorii de date personale trebuie să le ia, atunci când stabilesc mijloacele de prelucrare a datelor - încă din momentul conceperii acelor mijloace - și ce garanții trebuie asigurate implicit. Cum spuneam și mai sus, discutăm de „data protection by design” (adică existența unor măsuri tehnice și organizatorice care să asigure protecția datelor, încă de la momentul conceperii mijloacelor de prelucrare) și „data protection by default” (implementarea de garanții implicite - tot de ordin tehnic și organizatoric, cum e limitarea accesului la date la persoanele care chiar au nevoie să lucreze cu ele), în privința mijloacelor de prelucrare. Aceste două concepte au rolul de a asigura existența unui cadru permanent care să țină cont de principiile GDPR, în fiecare moment, și nu doar la momentul propriu-zis al prelucrării.
1) Transparență - de la început, trebuie să se asigure faptul că persoanele vizate de prelucrare (sau potențialele persoane vizate de prelucrare) trebuie să știe clar ce date le vor fi colectate, cum vor fi folosite aceste date și dacă și cu cine vor fi partajate aceste date. Discutăm, aici, de o informare relevantă, la momentul oportun, care să fie făcută într-un limbaj simplu și clar, care să fie ușor accesibilă (pe mai multe canale, deci nu doar text scris) și care să fie completă. Aceste lucruri ar trebui să se reflecte, de exemplu, în politica de confidențialitate, care să fie ușor de înțeles, să nu fie încărcată cu termeni tehnici și care, printre altele, să fie ușor accesibilă.
2) Legalitatea - procesele de prelucrare și însăși conceperea lor trebuie să se facă prin luarea în considerare a temeiului legal pentru prelucrare - pentru firme, discutăm mai des de consimțământ, interes legitim sau îndeplinirea obligațiilor contractuale, fără să fie exclusă posibilitatea reținerii datelor pentru îndeplinirea unei obligații legale, de exemplu. Ce este important, însă, este identificarea temeiului obiectiv aplicabil și anticiparea relevanței lui, în timp, pentru a justifica prelucrarea continuă. De asemenea, trebuie identificat clar scopul prelucrării, pentru a se vedea dacă aceasta este necesară.
3) Prinicipiul prelucrării în mod echitabil - practic, prelucrarea nu trebuie să aibă scop discriminatoriu și nici să inducă în eroare persoanele vizate. De asemenea, trebuie să se urmărească previzibilitatea prelucrării, în ceea ce privește persoanele vizate, și evitarea consecințelor negative față de acestea. Acest lucru implică inclusiv o anticipare a efectelor prelucrării asupra stării generale a persoanei vizate. De exemplu, nu se poate încerca influențarea persoanelor în vederea acceptării prelucrării, în special dacă discutăm de activități online.
4) Limitarea clară a scopurilor pentru care sunt prelucrate datele și alegerea mijloacelor necesare pentru atingerea lor - aici contează foarte mult stabilirea clară a scopurilor pentru care sunt prelucrate date, identificarea mijloacelor necesare pentru atingerea lor și determinarea compatibilității prelucrărilor ulterioare cu scopurile stabilite inițial. Concret, se mai poate discuta și de limitarea tehnică a refolosirii datelor, odată colectate, și de implementarea unor mecanisme de reanalizare continuă. De exemplu, ghidul face referire la prelucrarea de date, de către un comerciant, pentru îndeplinirea obligațiilor contractuale (adresă, de exemplu). Ulterior, comerciantul achiziționează un soft care folosește datele colectate, pentru a stabili puterea de cumpărare a clienților și pentru a facilita procesul de marketing. Prelucrarea ulterioară nu este compatibilă cu scopul inițial.
5) Reducerea la minimum a datelor prelucrate - acest principiu implică faptul că doar datele care sunt necesare, relevante și potrivite atingerii scopului pentru care se face prelucrarea vor fi colectate. Astfel, sistemele de prelucrare trebuie adecvate la scopul prelucrării. De exemplu, când sunt cumpărate produse electronice (precum programe sau cărți în format electronic), nu va fi necesară adresa cumpărătorului, pentru vânzarea propriu-zisă a acelor produse, este menționat în ghidul CEPD. Astfel, inserarea căsuțelor obligatorii cu privire la adresa cumpărătorului, atunci când acesta completează un formular online pentru a finaliza comanda, nu este justificată. De asemenea, trebuie verificat constant dacă datele prelucrate își mențin necesitatea, în timp.
6) Datele prelucrate trebuie să fie relevante și să reflecte realitatea - este importantă asigurarea măsurilor tehnice prin care să fie posibil menținerea unor date relevante și în acord cu realitatea. De exemplu, dacă un diagnostic medical este pus în mod greșit, din cauză că datele nu au fost actualizate sau nu vorbim de date relevante, drepturile și interesele persoanei vizate de prelucrare pot fi afectate.
7) Limitarea stocării - practic, datele trebuie stocate atât timp cât este necesară identificarea persoanei în vederea atingerii unui anumit scop. Pentru aceasta, e nevoie o înțelegere adecvată a datelor prelucrate și a motivului pentru care sunt stocate acestea. Un exemplu concret este implementarea unor soft-uri care șterg automat datele, la momentul în care acestea nu mai sunt necesare.
8) Asigurarea integrității datelor și a confidențialității lor - asigurarea acestora permite prevenirea unor breșe de securitate, însă și asigură respectarea celorlalte principii. Acest lucru implică, mai ales, actualizarea constantă a cadrului de securitate - puteți citi mai multe, aici.
În concluzie, atât din momentul conceperii, cât și în timpul implementării lor, măsurile de prelucrare trebuie să integreze elemente de protecție a datelor. Cu alte cuvinte, ele nu trebuie să fie neutre din punct de vedere al garantării integrității și protecției datelor, lăsând protecția propriu-zisă pentru momentul prelucrării. Astfel, se creează o piață de produse și soluții de prelucrare de date care au deja integrate principiile de protecție a datelor, ceea ce, teoretic, ar trebui să facă mai ușoară și activitatea operatorilor.
Atenție! Ghidul încă se află în consultare publică, deci nu reprezintă versiunea finală.