Sunt operator de date cu caracter personal, cum protejez datele persoanei vizate?
Spuneam intr-un material, pe care il gasesti AICI, ca a prelucra, inseamna orice operatiune sau set de operatiuni pe care o faci asupra datelor cu caracter personal. In acelasi articol, aratam ca simpla vanzare de servicii sau produse, genereaza o prelucrare, pentru ca minim o factura trebuie sa o emiti. Cam orice ai face cu datele, semnifica o prelucrare.
In prealabil prelucrarii, vei determina scopurile in care vei face prelucrarea, In discutia de mai sus, scopurile sunt vanzarea si facturarea. Stabilirea scopurilor in vederea prelucrarii te transforma in operator. Mai multe detalii despre cine este operator sau daca vrei sa verifici daca tu esti sau nu operator de date cu caracter personal, gasesti in materialul Cine poate fi considerat oprerator de date cu caracter personal in sensul regulamentului privind protectia datelor.
Date cu caracter personal sunt orice date ale persoanei vizate care o face sa fie identificata sau identificabila.
Stabilind ce inseamna prelucrare, care sunt datele cu caracter personal si ce anume te face sa devii operator si acum cred ca este lesne de inteles care sunt motivele pentru care GDPR-ul ti se adreseaza si tu trebuie sa incerci sa intri in legalitate.
Cu ce incep pentru o prelucrare legala
Pentru inceput, daca ai ajuns la concluzia ca esti operator, trebuie sa stabilesti scopurile prelucrarii, temeiurile, felurile prelucrarii, durata prelucrarii, tertii destinatari si masurile de protectie pe care le ai in societate.
Aceasta etapa este cea de Audit GDPR despre care poti citi mai multe AICI.
Cand ai cartografiat complet si corect datele, poti spune ca ai o viziune clara si amanuntita asupra tuturor categoriilor de date ce se prelucreaza in societate.
Auditul este esential si nu prea poti sari peste el, intrucat nu vei reusi sa intelegi procesele, fluxurile si iti va fi greu spre imposibil sa stabilesti toate lucrurile necesare in continuare.
Ulterior auditului, va trebui sa incerci sa iei masuri tehnice si organizatorice adecvate pentru a asigura un grad sporit de protectie prelucrarilor si in esenta datelor cu caracter personal prelucrate.
Acest lucru se pune in practica prin impementarea de politici si proceduri GDPR, interne, prin incheierea de acorduri de prelucrare a datelor cu partenerii, colaboratorii tai, astfel incat sa te asiguri ca totul e cat se poate de controlat si protejat.
Regulamentul (UE) 679/2016 lasa un termen amplu dar si ambiguu operatorilor, insa totodata si o larghete in stabilirea masurilor tehnice si organizatorice pe care operatorul le considera oportune, potrivite, adecvate.
Care sunt masurile tehnice si organizatorice la care se refera GDPR
Masurile tehnice pot consta in implementarea in site a unui certificat SSL, pot consta in parolarea laptopurilor, in asigurarea contra furtului a documentelor sau dispozitivelor de lucru, in montarea de camere de supraveghere in zone in care se impune acest lucru si asa mai departe.
Masurile organizatorice, tin de organizarea activitatii operatorului astfel incat datele sa ramana integre, disponibile si confidentiale, in toate procesele, in intreg fluxul organizational. Aici intervin politicile pe care operatorul le implementeaza, procedurile pe care le adopta si totodata le si implementeaza, auditurile ulterioare pentru a verifica daca lucrurile functioneaza astfel cum s-a dorit, preconizat, recomandat.
In urma auditarii operatorului vor iesi la lumina atat tipurile prelucrarilor, cat si categoriile de date prelucarate dar si categoriile de persoane vizate ale caror date sunt prelucrate.
De aici se vor analiza daca se prelucreaza date sensibile (medicale, date ale copiilor, date biometrice etc) vom prelucra date ale unor persoane ce fac parte din grupuri vulnerabile, vom analiza volumul de date si felul in care facem prelucrarea, prin mijloace automate sau nu, cu interventie umana sau nu.
In functie de acestea, care au conditii de prelucrare diferite regmementate in GDPR, vom intelege si determina si termenul “adecvat”.
In concret, daca prelucram nume, prenume si adresa postala pentru emiterea facturilor, sistemul de securitate si organizarea prelucrarilor vor trebui sa fie suficient de puternice pentru a asigura un mecanism de protectie corespunzator, fara a exagera utilizand de exemplu, criptarea integrala.
Cu totul altfel vor sta lucrurile daca prelucrarea se face pe scara larga sau asupra unor date sensibile (atentie, aceste situatii sunt doar exemplificative, mai sunt multe alte situatii posibile de analizat), unde ca sistem de protectie, tehnic si organizatoric nu va fi suficient cel amintit anterior, ci vom adauga efectuarea unei DPIA, numirea unui DPO, acordarea de garantii adecvate, consimtamantul, criptarea si alte mijloace avansate de securizare a prelucrarilor si asa mai departe.
“Adecvat” in contextul aratat, poate fi inteles ca “proportional” cu datele, categoriile de persoane si cu prelucrarile efectuate asupra lor.
Cum fac o prelucrare de date personale legala
Pentru a intra in legalitate, va trebui sa implementezi GDPR in organizatie.
Nu este un proces foarte simplu dar nici foarte greu de implementat nu este.
Prin implementare, intelegem ca un operator trebuie in principal sa:
- isi auditeze societatea/ONG-ul/organizatia;
- sa stabileasca masurile tehnice adecvate: securizare, parolare, implementare SMSI-uri, acordare de acces autorizat determinat, separarea posturilor de lucru, montarea de sisteme suplimentare de securitate, instalare firewall-uri, aplicatii anti malware si asa mai departe, in functie de datele obtinute prin audit;
- sa stabileasca masuri organizatorice adecvate: stabilirea si implementarea de politici, proceduri, registre, autorizari de persoane doar pe anumite categorii de date, informarea personalului si a colaboratorilor asupra implicatiilor GDPR, responsabilizarea si constientizarea acestora asupra riscurilor generate de prelucrari in afara politicilor si procedurilor si in general in afara intregii documentatii GDPR implementate etc.;
- completarea si mentinerea Registrului Operatiunilor de Prelucrare;
- informarea tuturor persoanelor vizate asupra prelucrarilor (clienti, furnizori, salariati, parteneri, colaboratori);
- obtinerea consimtamantului doar in conditiile legii;
- respectarea tuturor principiilor si regulilor stabilite prin regulament (reducerea la minim a prelucrarilor, datele vor fi prelucrate transparent, datele nu vor fi prelucrate intr-un scop incompatibil cu scopul stabilit initial etc.);
- numirea unui DPO in conditiile legii;
- reducerea riscurilor prelucrarilor;
- raportarea incidentelor de securitate catre ANSPDCP;
- respectarea tuturor drepturilor persoanelor vizate (dreptul la informare, acces la date, la uitare, la rectificarea datelor, la portabilitate si asa mai departe)
Acestea sunt principalele obligatii ale operatorilor, ce pot fi duse la indeplinire si pot fi respectate doar prin implementarea GDPR.
Observam asadar ca GDPR nu inseamna formulare de informare facute pe fuga si nici asa numita “Politica de confidentialitate” de pe site care cel mai adesea este rezultatul unul copy-paste din alte zone.
Prelucrare legala in consecinta, inseamna ca operatorul a asigurat toate conditiile ca prelucrarea sa se faca in siguranta si ca poate dovedi acest lucru, ca prelucreaza date cu caracter personal doar potrivit scopurilor pe care le-a determinat, ca are implementate masuri adecvate pentru asigurarea prelucrarilor sigure, ca a obtinut consimtamantul acolo unde este cazul, ca a informat toate categoriile de persoane vizate si ca respecta drepturile persoanelor vizate.
Va incurajez asadar, sa fiti precauti in prelucrari de date cu caracter personal si pe cat de mult posibil sa asigurati conditii legale de prelucrare, respectandu-va clientii, angajatii, partenerii prin protejarea datelor lor, evitand in aceasta maniera o amenda ANSPDCP care poate depasi in majoritatea cazurilor cu mult, costurile unei implementari GDPR.