GDPR: Ce am învățat despre complexitățile prelucrării corecte de date, în 2019

Vi le prezentăm pe cele mai importante, mai jos:

1) Cadrul de securitate adecvat este fundamentul conformării. O firmă devine cel mai expusă la breșe de securitate atunci când cadrul de securitate privind protecția datelor este slab asigurat. De asemenea, lipsa cadrului de securitate este una din cele mai comune cauze pentru sancționarea firmei care nu l-a implementat (puteți găsi, aici, o prezentare detaliată a unor amenzi date, până acum, pentru nerespectarea GDPR). Însă cel mai important lucru de reținut, aici, este că, pentru a fi adecvat, cadrul de securitate trebuie actualizat continuu.

2) „Data protection by design” și „data protection by default”. Acestea sunt două concepte esențiale ale Regulamentului, care presupun faptul că procesele de prelucrare de date trebuie setate, din start, astfel încât să asigure respectarea principiilor GDPR, iar setările de bază trebuie să fie în acord cu respectarea confidențialității datelor și asigurării drepturilor persoanelor vizate.

3) Cei care au un site web folosesc, aproape inevitabil, „cookies”. Acestea sunt instrumente care monitorizează activitatea vizitatorului unui „site web”, pentru diverse motive: fie pentru a îi facilita navigarea, fie pentru a îi face reclame specifice, fie pentru motive de funcționalitate a unui site. Dacă cele din urmă sunt absolut necesare, celălalte trebuie văzute ca o formă de prelucrare de date care nu e de neînlocuit. Astfel, trebuie să existe o conformare cu GDPR, când sunt folosite astfel de instrumente. O chestiune specifică, aici, e că, atunci când trebuie să existe consimțământ pentru plasarea de „cookies”, acesta trebuie să fie activ și expres, nu prebifat.

4) În același context al activităților online, deținătorii de „site”-uri trebuie să aibă grijă la ce instrumente incorporează pe „site”-ul propriu. Un exemplu relevant este folosirea butonului „îmi place”, din cadrul Facebook și încorporat pe „site”-ul personal. Persoanele care au încorporat un astfel de instrument devin operatori de date, alături de Facebook, în ceea ce privește colectarea și transmiterea către acea rețea a datelor vizitatorilor „site”-ului propriu.

5) Pentru că activitatea de prelucrare de date este una complexă, unii s-ar putea hotărî să o externalizeze. Aici apare o relație operator (cel care externalizează și stabilește scopurile prelucrării) și împuternicit (cel care face prelucrarea propriu-zisă, pentru primul; deși trebuie menționat că și împuternicitul are o anume libertate în stabilirea anumitor procese). Este necesară stabilirea unei relații contractuale care să prevadă cadrul prelucrării, modalitatea și felul cum vor fi duse la îndeplinirile solicitările persoanelor vizate de prelucrare. De aceea, ar putea fi de ajutor consultarea primelor clauze standard redactate pentru a-i ajuta pe cei implicați în astfel de relații.

6) Monitorizarea video este un exemplu perfect unde apar o multitudine de nuanțe. De exemplu, angajatorii nu pot folosi camere video pentru a face pontajul. În alt context, deținătorii de magazine pot să utilizeze camere video pentru a supraveghea zonă din jurul magazinului doar dacă se asigură, mai întâi, că există pericole reale în apropiere.

7) Firmele, când sunt puse în situația de a respecta drepturile persoanelor vizate de prelucrări, trebuie să se asigure că solicitările sunt făcute, cu adevărat, de persoana declarată în solicitare. Un exemplu a fost dat de un cercetător care a demonstrat că este ușoară abuzarea dreptului de acces la date personale, prin colectarea informațiilor care sunt făcute publice (pe internet, de exemplu) și, apoi, prin trimiterea unei solicitări unei firme, în baza acestor informații. Firmele trebuie să se protejeze împotriva unor asemenea încercări frauduloase de obținere de date ale altor persoane.

8) Printre toate complexitățile GDPR, firmele beneficiază și de un temei de prelucrare specific lor, care ține cont de interesele acestora. E vorba, mai exact, de interesul legitim de a prelucra date personale, care îi permite unei firme să justifice prelucrarea în baza scopurilor acesteia. Găsiți, aici, o serie de materiale care explică în ce context poate fi folosit interesul legitim, când, care sunt condițiile pentru a putea fi utilizat, care sunt limitele acestuia, precum și alte aspecte relevante.

9) În final, complexitatea GDPR este dată și de faptul că aplicarea acestuia poate să aibă loc și în situații când date personale nu sunt implicate. Am prezentat, aici, o serie de exemple relevante: cum e cazul „cookies”, de pildă.