Toţi suntem în vizor: Cum vor prelucra întreprinderile datele cu caracter personal începând cu 2018 ?

23-05-16 Ligia Seceleanu 0 comment





Datele personale sunt piatra filozofală a discursului unionistic recent. Dacă piatra filozofală transmută metalele inferioare în aur, datele personale transmută informaţia în armă juridică.

 

Cu adoptarea de către Parlamentul European a Regulamentului referitor la protecţia datelor cu caracter personal, în 14 aprilie 2016, măsurile introduse care vor trebui să fie adoptate de întreprindere se înăspresc (vorbim de amenzi de 20.000.000 de euro sau de până la 4% din cifra de afaceri mondială_.

Deși Regulamentul se situează temporal la o distanţă de 2 ani (până când încep controalele), măsurile care trebuie implementate se întind ca dificultate și efort de reportoriere pe întreaga durată. În continuare vă vom prezenta un scurt ghid al acţiunilor ce trebuie întreprinse pentru conformarea cu acesta.

 

1.  Ce trebuie să faci potrivit Regulamentului?

 

La Articolul 22 din Regulament, sunt stipulate o serie de măsuri care vor deveni oblgiatorii începând din 2018.

Prezentate pe scurt acestea sunt :

  • Stabilirea și mantenanţa continuă a unei documentaţii referitoare la date ;
  • Executarea obligaţiilor în domeniul securităţii datelor, care includ : garan ţii contractuale, fizice (un rack securizat) și informatice (sistem de back-up, plan de continuitate, sisteme de antivirus si firewall)
  • Evaluarea riscurilor referitoare la securitatea datelor și deciderea unei strategii de securizare
  • Pentru anumite date, va fi necesară efectuarea unei analize de impact referitoare la protecţia datelor (în special în ceea ce privește predicţia comportamentului, a situaţiei economice, localizarea persoanei, starea de sănătate, preferinţele, supravegherea video, originea rasială și etnică, date genetice sau biometrice). Analiza de impact are în vedere obligatoriu o descriere a prelucrării de date, o evaluare a riscurilor în privinţa drepturilor și libertăţilor, măsurile de prevenţie a riscurilor, garanţiile și măsurile de securitate prevăzute.
  • Obţinerea autorizaţiei sau avizului autorităţii naţionale de control înainte de efectuarea prelucrării de date în cazul unui transfer de date către o organizaţie sau o ţară care nu este membră a UE, în cazul în care autoritatea prevede că este necesar, sau în cazul în care sunt prelucrate date personale sensibile.
  • Desemnarea unui delegat care să răspundă de protecţia datelor.

 

Având în vedere toate aceste măsuri, primul pas care trebuie deja întreprins la nivelul actual este identificarea în cadrul întreprinderii  a tuturor prelucărilor de date cu caracter personal.

Acesta fiind primul pas din punct de vedere logic, ne confortăm la ideea că între timp putem să îndeplinim și obligaţia din Regulament referitoare la documentaţie.

 

2.  Ce cuprinde documentarea prelucrării de date ?

Orice formă ar lua documentarea prelucrării de date, este important de menţionat că nu servește la nimic dacă nu conţine un anumit număr minim de date.

Astfel, o documentaţie completă ar trebui să cuprindă următoarele informaţii :

  • Identitatea (numele și adresa) celor care efectuează prelucrarea (un operator, mai mulţi operatori sau împuterniciţii acestora și a reprezentanţilor)
  • Identitatea (numele și adresa) delegatului care răspunde de protecţia datelor
  • Scopul și mijloacele prelucrării, precum și, dacă este cazul, a intereselor legitime susţinute de operator
  • descriere a categoriilor de persoane și de date care sunt prelucrate
  • Destinatarii și categoriile de destinatari a datelor, incluzând alţi operatori
  • Transferurile de date către ţări sau organizaţii (acestea trebuind să fie numite), alături de documentele care atestă existenţa garanţiilor luate de operator
  • indicaţie generic a termenelor date pentru conservarea datelor
  • descriere a mecanismelor prevăzute pentru a asigura în întregime respectarea obligaţiilor din Regulament.

Prin urmare, este clar că procesul de definitivare a documentaţiei este unul circular. În acest sens, documentarea iniţiala este primul pas care trebuie întreprins, și care, ulterior, trebuie completată pe măsură ce se execută restul de analize necesare potrivit Regulalamentului.



Leave a reply