Ca și dezvoltatori ai Comunității DPO din România ne propunem să venim în ajutorul tuturor celor care doresc să respecte și aplice corect Regulamentul GDPR prin abordarea a 12 subiecte importante unde vom oferi îndrumări, documente și sfaturi.

Al doilea dintre aceste subiecte, după cel legat de funcția de DPO, este cel al Aspectelor manageriale în implementarea GDPR.

În acest sens ne-am propus să dezbatem principalele puncte de interes și particularitățile pe care le-am întâlnit în România:

1. Principiul răspunderii operatorului pentru prelucrarea datelor cu caracter personal

În conformitate cu prevederile RGPD art. 24 art. 39 alin. (1) lit. (b)  operatorul ar trebui să adopte politici interne pentru a fi în măsură să demonstreze conformitatea cu RGPD. Conform tot acestui articol, Operatorul este cel responsabil pentru implementarea Regulamentului și pentru respectarea lui.

Întrucât managementul companiilor și instituțiilor publice stabilește strategia, acțiunile și măsurile ce trebuiesc a fi luate pentru conformarea cu prevederile RGPD, este în primul rând interesat să cunoască care sunt pașii de urmat.

Totodată, operatorul, prin managementul său este responsabil să se asigure că împuterniciții săi sunt competenți să prelucreze datele personale în conformitate cu cerințele RGPD. Pentru a evalua însă această situație, managementul trebuie să țină seama de natura prelucrării și de riscurile apărute pentru persoanele vizate.

Unul din înțelesurile apărute în această privință ar fi acela că DPO-ul, responsabilul cu protecția datelor astfel cum a fost tradus,este responsabil de implementarea și respectarea RGPD. Acest înțeles este cât se poate de greșit întrucât responsabilitatea îi revine strict operatorului de date cu caracter personal. DPO-ul face recomandări, informări și veghează la respectarea principiilor GPDR, dar operatorul este cel răspunzător direct.

Principiul responsabilității se răsfrânge și asupra modalității de alegere a persoanelor împuternicite de către operator, astfel cum este precizat în art. 28 al RGPD. Operatorul trebuie să își aleaă un colaborator care poate oferi „garanții suficiente” (în special din punct de vedere al cunoștințelor sale, resurselor și fiabilității) pentru a implementa măsuri tehnice și organizatorice adecvate pentru a se asigura că prelucrarea respectă RGPD și protejează drepturile persoanelor.

Exemple în acest sens ar fi:

  • Persoana împuternicită are suficientă expertiză pentru a duce la îndeplinire obligațiile asumate, prin: măsuri tehnice și organizatorice, proceduri, evaluări de risc sau evaluări de impact etc.
  • Persoana împuternicită oferă operatorului documentație relevantă, de exemplu politică de confidențialitate, politică de gestionare a înregistrărilor și politica de securitate a informațiilor, politică de supraveghere video etc.
  • Respectă unu cod de conduită aprobat sau are o certificare (atunci când acestea devin disponibile).

Aceasta nu este o listă exhaustivă și, în final, îi revine operatorului sarcina să determine dacă împuternicitul oferă garanții suficiente în contextul prelucrării datelor cu caracter personal.

Chiar dacă prelucrările neconforme de date cu caracter personal apar la nivelul împuterniciților, operatorul de date cu caracter personal, poate fi tras la răspundere și poate deveni responsabil pentru că nu a luat măsurile necesare în alegerea împuterniciților.

2. Politica de confidențialitate sau de prelucrare

Politica de confidențialitate sau de prelucrare a datelor cu caracter personal este un document sau o informare, născută din obligația de transparență aplicabilă operatorilor de date cu caracter personal care privește următoarele aspecte:

  • identitatea operatorului
  • definiții și principii aplicabile
  • datele prelucrate
  • scopurile prelucrării
  • temeiurile legale ale prelucrării
  • transferurile de date efectuate
  • măsurile tehnice și organizatorice luate pentru a asigura protecția datelor
  • dar și drepturile persoanei vizate
  • datele de contact ale responsabilului cu protecția datelor și ale ANSPDCP.

Acest conținut este unul cu caracter informativ și fiecare operator poate adăuga elementele pe care le consideră necesare, în funcție de natura prelucrărilor.

Cum însă ajungem să realizăm o astfel de politică? Care este primul pas?

Tehnic și organizatoric vorbind, anterior realizării politicii se realizează cartografierea datelor cu caracter personal. Mai precis se inventariază toate datele pentru a avea o imagine completă asupra a ceea ce se întâmplă în companie sau instituție. Fără aceasta, nu se poate face o informare corectă a persoanei vizate.

Odată ce avem cartografierea realizată, vom putea cu mare ușurință să transpunem datele culese, într-o politică ușor accesibilă, ușor de citit și înțeles.

Care este rolul politicii? Ei bine aceasta îndeplinește mai multe roluri:

  • obligația de transparență impusă de principiul transparenței al GDPR;
  • obligația de a informa persoanele vizate cu privire la datele care le sunt prelucrate;
  • creșterea nivelului de încredere în companie sau instituție ca urmare a afișării acestor informații.

Mai jos aveți un exemplu de Politică de confidențialitate în format editabil. Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO.

Politică de confidențialitate

3. Temeiul legal al prelucrării

Temeiurile legale ale prelucrării datelor cu caracter personal sunt prevăzute de art. 6 din Regulamentul General privind Protectia Datelor, astfel, în ordinea cea mai des întâlnită, menționăm:

  • Obliația legală – art. 6 alin. (1) lit. c;
  • Executarea unui contract – art. 6 alin. (1) lit. – art. 6 alin. (1) lit. b;
  • Interes vital – art. 6 alin. (1) lit. d.
  • Interes legitim – art. 6 alin. (1) lit. f;
  • Interes public – art. 6 alin. (1) lit. e;
  • Consimțământ – art. 6 alin. (1) lit. a;

Ce am putut constata este următoarea concepție greșită și foarte des întâlnită când vine vorba de RGPD: Regulamentul nu permite operatorilor să prelucreze date cu caracter personal sau că pentru fiecare procesare este nevoie de „consimțământ”. Această percepție greșită a lucrurilor a dus nu de puține ori la rele practici.

În acest sens dorim ca mai jos să prezentăm pe scurt fiecare dintre temeiuri:

Obligația legală

Datele cu caracter personal pot fi prelucrate dacă vi se solicită acest lucru pentru a respecta o obligație legală. Spre exemplu, legea ne obligă să ținem ca la întocmirea facturii să trecem anumite date cu caracter personal.

Încheierea sau executarea unui contract

Atunci când se prelucrează date în vederea încheierii sau executării unui contract, nu aveți nevoie de un consimțământ separat. Astfel că spre exemplu, atunci când încheiem un contract care va cuprinde nume, prenume, funcție, semnătură delegat și poate chiar date de contact cum ar fi email sau telefon, date folosite în vederea contractului, suntem acoperiți de acest temei legal al prelucrării.

Interesul legitim

Interesul legitim este unul din cele mai aparte temeiuri legale ale prelucrării deoarece poate fi folosit doar ca urmare a unei evaluări atente care să stabilească dacă o persoană preconiza în mod rezonabil că îi vor fi prelucrate datele cu caracter personal sau nu. O astfel de situație este atunci când există un istoric al operatorului cu persoana vizată în ceea ce privește oferirea de servicii, bunuri sau alte asemenea, este client sau se află în serviciul acestuia (a se vedea considerentul 47 din RGPD).

Evaluarea menționată mai sus va ține seama de interesele operatorului, datele prelucrate însă și de nivelul de intruziune în viața privată a persoanei vizate.

Interesul public

Această bază legală permite prelucrarea datele cu caracter personal de către operator care este de regulă autoritate publică și va prelucra datele în acest sens. Aceasta este o măsură proporțională într-o societate democratică pentru a apăra sau proteja obiective importante de interes public general. Spre exemplu se poate vorbi despre informări publice făcute de o primărie cu privire la anumiți cetățeni ai săi.

Interesul vital

Acest temei legal este aplicabil cazurilor în care viața sau sănătatea cuiva este pusă în pericol. Un exemplu bun ar fi acesta când prelucrarea este necesară în vederea monitorizării unei epidemii și a răspândirii acesteia sau a unei situații de urgențe umanitare, sau dezastre naturale ori provocate de om (ex. accident la o uzină de uraniu).

 

Consimțământul

Atunci când nu identificăm nici unul din celelalte temeiuri legale, pe care le putem folosi pentru prelucrarea datelor, vom cere consimțământul persoanei. Acesta trebuie să fie separat (nu poate fi la comun cu diverse alte prevederi contractuale), explicit, pe un limbaj simplu și de cele mai multe ori scris (pentru a putea fi documentat). Problema pe care acesta o ridică din perspectiva operatorilor de date este că poate fi retras la orice moment.

O altă dificultate a operatorilor este de a obține consimțământul părinților pentru copiii acestora atunci când sunt oferite servicii copiilor (a se vedea art. 8 din RGPD).

Mai jos aveți un exemplu de Consimțământ în format editabil. Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO.

Model de consimțământ.

4. Drepturile persoanei vizate (acces, rectificare, ștergere, restricționarea prelucrării, opoziție, portabilitate)

Drepturile persoanelor vizate sunt unul dintre elementele cheie ale schimbărilor în temeiul Regulamentului General privind Protecția Datelor (RGPD). Începând cu 25 mai 2018, persoanele vizate beneficiază de un set mai mare de drepturi.

Astfel vorbim despre:

Dreptul de a fi informat – Persoanele fizice au dreptul să fie informate cu privire la colectarea și utilizarea datelor lor personale.

  • Pentru a fi conformi cu RGPD, trebuie să oferiți persoanelor de date informații specifice privind confidențialitatea despre:
  • activitățile de prelucrare a datelor pe care le desfășurați
  • temeiul legal al acestora
  • durata de păstrare a datelor
  • drepturile peroanelor vizate

În funcție de tipul de procesare pe care îl efectuați, poate fi necesar să furnizați și alte categorii de informații. De exemplu, dacă obțineți date de la un terț, va trebui să informați persoanele vizate ce categorii de date personale ați obținut și din ce sursă.

Dreptul de acces – persoanele vizate au dreptul de acces la datele cu caracter personal prelucrate de operator.

Operatorii trebuie să ofere persoanelor vizate următoarele informații:

  • confirmarea prelucrării datelor
  • o copie a datelor cu caracter personal prelucrate, dacă aceasta este cerută
  • alte informații suplimentare (inclusiv informații obligatorii privind confidențialitatea)

Operatorul trebuie să răspundă la o solicitare de acces a subiectului în termen de o lună de la primirea solicitării, cu excepția cazului în circumstanțe specifice.

Dreptul de rectificare – Persoanele vizate pot cere operatorilor de date rectifice datele inexacte sau incomplete pe care le prelucrează. Spre exemplu pe certificatul de naștere s-a greșit o literă, sau pe un document oficial s-a scris greșit un nume sau s-a uitat să se scrie un alt nume.

Dreptul la ștergere (cunoscut și ca drept de a fi uitat) – persoanele vizate au dreptul de a le fi șterse datele dacă:

  • acestea sunt prelucrate în mod ilegal
  • scopul inițial a fost atins și nu se mai justifică retenția datelor
  • s-a retras consimțământul, pentru cazurile specifice unde este posibil aceasta
  • ștergerea este necesară pentru respectarea altor legi

Ce este foarte important de reținut, este că nu se poate da curs unei astfel de solicitări atunci când prelucrarea datelor este impusă: obligativitatea legii, executarea contractului, interesul public etc.

Dreptul la restricționarea prelucrării – Persoanele pot solicita operatorilor restricționarea prelucrării datelor lor dacă:

  • persoana vizată a contestat exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice aceasta;
  • prelucrarea este ilegală iar persoana vizată s-a opus ștergerii datelor;
  • datele nu mai sunt necesare pentru a fi prelucrate în schimb persoana transmite o solicitare pentr constatarea, exercitarea sau apărarea unui drept în instanță
  • până când se fac verificări cu privire la prevalarea interesului legitim asupra drepturilor persoanei vizate.

Rețineți că, în cazul rectificării, ștergerii sau restricției, trebuie să notificați oricare terță parte către care ați trimis datele relevante că persoana vizată a exercitat aceste drepturi.

Dreptul la portabilitate – este dreptul persoanei vizate de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent, care poate fi citit automat și de a le transmite altui operator de date fără obstacole din partea operatorului.

Spre exemplu datele înregistrate la organele fiscale dintr-o anumită circumscripție, la momentul schimbării domiciliului persoanei vizate vor fi date organelor din noua circumscripție.

Dreptul de opoziție – atunci când prelucrarea se face conform unei legi sau a unui interes public sau conform unui interes legitim, în scop de marketing direct sau profilare, persoanele fizice pot avea dreptul să se opună acestei prelucrări. Obiecția ridicată trebuie justificată și poate fi formulată verbal sau în scris. Operatorul nu este nevoit să înceteze prelucrarea dacă:

  • există motive obligatorii de prelucrare care depășesc interesele, drepturile și libertățile persoanei;
  • prelucrarea este necesară pentru respectarea drepturilor legale

Dreptul de a nu fi supus unei procesării automate

În conformitate cu RGPD, persoanele fizice au dreptul să nu fie supuse unei decizii care se bazează exclusiv pe prelucrarea automată și care le afectează în mod semnificativ (de exemplu, profilarea la locurile de muncă, profilarea pentru a da primele de asigurare etc.).

Operatorii trebuie să solicite persoanelor vizate consimțământul dacă doresc să le prelucreze datele lor cu caracter personal prin mijloace automate.

Mai jos aveți un exemplu de Model de cerere exercitare drepturi persoana vizată în format editabil. Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO

Model de cerere exercitare drepturi persoana vizată

5. Termenul de stocare a datelor și criteriile luate în considerare pentru stabilirea termenului

Pentru a trata cu seriozitate termenul de stocare privind categoriile de date cu caracter personal, operatorii ar trebui să aibă în vedere următoarele:

  • Datele cu caracter personal nu ar trebui stocate mai mult decât este necesar.
  • Limitarea stocării este o formă de standardizare a datelor, similară cu principiile de minimizare și acuratețe a datelor.
  • Operatorii trebuie să facă verificări periodice pentru a identifica datele cu caracter personal stocate mai mult decât este necesar.
  • Stocarea datelor personale în afara scopului declarat inițial este permisă dacă se păstrează pentru arhivare de interes public, cercetare științifică sau istorică sau în scopuri statistice.
  • Stocarea de date cu caracter personal în afara scopului inițial, în scopuri compatibile sau altele, ar trebui ar trebui făcută doar prin anonimizarea sau pseudonimizarea, pentru a proteja drepturile persoanelor vizate.

6. Informarea persoanei vizate

Informarea persoanei vizate cu privire la prelucrarea datelor cu caracter personal se face ori de câte ori legea o cere. Această informare se poate face pe mai multe căi: scrisă dată spre luare la cunoștință, afișată într-un spațiu destinat informărilor sau char în format digital.

Câteva din rațiunile informării persoanei vizate ar fi următoarele:

Având în vedere considerentul 61 și potrivit art. 13 alin. 3 RGPD – în cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, acesta furnizează persoanei vizate, înainte de prelucrarea ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, pentru a asigura o prelucrare echitabilă şi transparentă.

În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul, furnizează persoanei vizate toate informaţiile legate despre identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia, datele de contact ale responsabilului cu protecţia datelor, după caz, scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării, interesele legitime urmărite de operator sau de o parte terță, destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internatională.

Potrivit Art. 13 alin. 1) RGPD, în cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate informațiile privind interesele legitime urmărite de operator sau de o parte terță [în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f)] De reținut că articolul citat nu se aplică în cazul autorităților publice, aspect firesc, deoarece principiul general în materie este că prelucrarea datelor în domeniul autorităților publice este o chestiune de obligație prevăzută de lege.

Potrivit Art. 14, alin. 1) RGPD – În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, operatorul furnizează persoanei vizate informaţii despre identitatea şi datele de contact ale operatorului, responsabilului cu protecţia datelor, scopurilor în care sunt prelucrate datele cu caracter personal, temeiul juridic al prelucrării, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz, intenţia operatorului de a transfera date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională.

Mai jos aveți un exemplu de Infomare a persoanei vizate în format editabil. Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO.

Model informare persoană vizată.

7. Concluzie

Sperăm că aceste informații au fost cu mare folos pentru fiecare dintre voi și mai ales pentru aceia care fac parte din echipa de management a unei companii sau a unei instituții publice. După cum am putut observa, implementarea acestui standard reprezintă un proces continuu, adeseori de lungă durată, care necesită atenție și supraveghere continuă. Cu toate acestea, respectarea principiilor RGPD, ridicarea nivelului de transparență prin afișarea politicilor realizate, prelucrarea datelor doar având la bază un temei legal concret, informarea despre drepturile persoanei vizate și respectarea termenelor de stocare, sunt cele mai bune măsuri care pot fi luate de management pentru conformarea cu cerințele RGPD.