Introducere. Care sunt cele 7 principii ale GDPR? De ce sunt ele importante?

Articolul 5 din GDPR explică principiile care stau la baza GDPR. Pentru o aplicare corectă a Regulamentului General privind Protecția Datelor, trebuie să înțelegeți bine aceste 7 principii. Fără GDPR, nu ar exista o fundație pe care să se construiască legile. Deoarece datele cu caracter personal ale oamenilor sunt implicate în multe lucruri, va trebui să vă ocupați de ele în orice serviciu pe care îl furnizați, ceea ce vă pune în fața unei mari provocări în ceea ce privește păstrarea acestor date personale. Înțelegerea bună a celor 7 principii GDPR vă permite să vă cunoașteți rolul de operator de date și ce trebuie să faceți, ajutându-vă să evitați încălcările și sancțiunile GDPR. Textul Regulamentului este atât de lung și redactat într-un limbaj juridic, încât este posibil să aveți nevoie de cineva care să vi-l explice. Cu toate acestea, majoritatea legilor din GDPR se rezumă la aceste 7 principii, ceea ce înseamnă că, dacă le înțelegeți, puteți avea o idee generală despre această temă.

1. Principiul legalității. Legalitate, echitate și transparență

Cele trei componente ale acestui principiu GDPR (legalitate, echitate și transparență) sunt într-o strânsă legatură.

Ce înseamnă „legalitate” în GDPR?

Potrivit pricipiului “legalității” trebuie să existe un temei legal pentru prelucrarea datelor, în caz contrar, prelucrarea este nelegală. Există șase situații în care vi se permite să prelucrați date cu caracter personal. Dacă nu vă bazați pe unul dintre aceste șase cazuri atunci când prelucrați datele personale ale oamenilor, încălcați GDPR.

Cele șase temeiuri legale care stau la baza prelucrării datelor cu caracter personal sunt următoarele:

  1. Consimțământul; în acest caz, persoana vizată vă dă permisiunea de a prelucra datele.
  2. Contractul; în cazul în care există un contract între dumneavoastră și proprietarul datelor care este necesar pentru a prelucra datele cu caracter personal.
  3. Obligația legală; în acest caz există o lege care vă obligă să prelucrați unele date personale.
  4. Interesul vital; în acest caz, prelucrarea datelor este necesară pentru viața persoanei vizate, de exemplu, dacă un spital dorește să vadă istoricul medical al unui pacient pentru o intervenție chirurgicală urgentă.
  5. Interesul public; dacă prelucrarea datelor este necesară pentru o sarcină legată de interesul public.
  6. Interesul legitim; în cazul în care prelucrarea este necesară pentru a realiza un interes legitim.

Există, de asemenea, un alt sens al termenului „legalitate”, care înseamnă că nu faceți nimic ilegal prin prelucrarea datelor.

Care este semnificația termenului „echitate”?

Toate aspectele prelucrării datelor cu caracter personal trebuie să fie corecte, în sensul că trebuie să prelucrați datele cu caracter personal așa cum vă așteptați și cum ați convenit cu persoanele vizate. Pentru a vă asigura că tratați datele în mod echitabil, prelucrarea datelor trebuie să fie adaptată la interesele persoanelor vizate.

Echitatea (corectitudinea) presupune ca persoanele în cauză trebuie să fie informate că datele lor cu caracter personal sunt prelucrate, inclusiv modul în care acestea sunt colectate, stocate și utilizate, pentru a le permite să ia decizii în cunoștință de cauză cu privire la datele lor și să își exercite drepturile în materie de protecția datelor. În plus, operatorul prelucrează datele doar în modurile pe care persoana vizată în cauză le-ar aștepta în mod rezonabil şi nu utilizează datele într-un fel care ar putea afecta negativ persoana vizată.

Care este sensul cuvântului „transparență”?

Transparența poate avea aici un înțeles apropiat de „corectitudine” și înseamnă să fii sincer și clar cu proprietarii de date încă de la început, trebuie să le spui persoanelor ale căror date le prelucrezi cine ești, ce le oferi și ce faci cu datele lor. Acest punct este important, mai ales dacă persoana vizată intenționează să încheie cu dumneavoastră un acord pentru o perioadă lungă de timp. Pentru a obține transparență în serviciile dumneavoastră, politica dumneavoastră de confidențialitate trebuie să fie cuprinzătoare și clară.

Reținem la principiul legalității că datele sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată.

Citește mai multe despre datele cu caracter personal, ce categorii de date personale există precum și ce altceva trebuie să știi despre ele pentru a fi conform GDPR.

2. Principiul limitării legate de scop

Prelucrarea de către dumneavoastră a datelor cu caracter personal trebuie să aibă de la început un scop specific și explicit, iar acest scop trebuie să fie pe deplin clar de la început. Dacă aplicați primul principiu, în special partea de transparență, veți realiza o mare parte din principiul limitării la scop. Cu toate acestea, GDPR nu vă împiedică să prelucrați datele cu caracter personal în alt scop decât cel menționat în Politica de confidențialitate și convenit de la început, dar în anumite condiții. Puteți prelucra datele cu caracter personal pentru un nou scop care nu a fost convenit inițial în cazul în care există o relație între noul scop și scopul inițial sau în cazul în care ați obținut permisiunea persoanei vizate cu privire la noul scop.

Dacă veți prelucra datele în scopuri care sunt în concordanță cu scopul inițial convenit cu persoana vizată, nu trebuie să găsiți un temei juridic din cele 6 baze pe care le-am menționat în primul principiu al RGPD, în timp ce, dacă prelucrați datele pentru un nou scop, va trebui ca prelucrarea datelor să se bazeze pe un nou temei juridic și aveți nevoie de o nouă permisiune din partea proprietarului datelor.

Reținem la principiul limitării legate de scop ca datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță GDPR online.

  • Îți evaluăm riscurile în cel mai mic detaliu

  • Te asistăm pas cu pas în implementare

  • Îți instruim angajații care prelucrează date

  • Îți oferim proceduri și documente tipizate

3. Principiul minimizării datelor

Acest principiu prevede că cel care prelucrează datele trebuie să prelucreze cantitatea minimă de date care să îi atingă scopul, iar datele nu trebuie prelucrate mai mult decât ceea ce aveți nevoie. Acest lucru trebuie să fie documentat în timpul prelucrării datelor, astfel încât să puteți dovedi autorităților că ați folosit doar cantitatea de date de care aveați nevoie. Trebuie să fiți atenți în aplicarea acestui principiu, mai ales dacă datele pe care le prelucrați sunt date din categorii speciale.

Exemplu: O companie a anunțat că trebuie să angajeze o persoană ca programator, apoi, atunci când candidaților pentru acest loc de muncă li se dă formularul de angajare pentru a fi completat, compania solicită date precum dacă sunt căsătoriți sau nu, acest comportament este considerat o încălcare a principiului minimizării datelor, deoarece starea civilă a persoanei nu este necesară la angajarea unei persoane ca programator, ceea ce înseamnă că firma încearcă să prelucreze mai multe date decât are nevoie.

Puteți colecta date care nu sunt utile în acest moment, dar care pot fi necesare în viitor, de exemplu, dacă întreprinderea colectează informații despre grupele de sânge ale unor clienți care lucrează în activități periculoase, cum ar fi construcțiile, aceste informații nu sunt cu adevărat utile în acest moment, dar pot fi menționate în viitor, dacă unul dintre muncitori este rănit și are nevoie de o transfuzie de sânge. În acest caz, compania nu a încălcat principiul minimizării datelor, deoarece datele suplimentare pe care le-a colectat ar putea fi necesare în viitor.

Reținem la principiul minimizării datelor că vor fi prelucrate doar acele date care sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

4. Principiul exactității

Trebuie să vă asigurați că datele pe care le prelucrați sunt adevărate și exacte. În cazul în care ați colectat informații inexacte din greșeală, dar ați corectat eroarea, este de preferat ca acest incident să fie înregistrat. Nu este necesar ca toate datele să se refere la momentul actual. De exemplu, dacă o companie înregistrează faptul că unul dintre clienții săi locuiește în București, dar această persoană locuiește în prezent la Paris (anterior a locuit în București), acest lucru nu este considerat o inexactitate a companiei, deoarece persoana respectivă locuiește deja de ceva timp în București. Acest punct ne duce la un alt punct, și anume că nu este necesar ca datele cu caracter personal să fie întotdeauna actualizate, dar acest lucru depinde de scopul pentru care sunt prelucrate datele. Dacă folosiți datele într-un scop în prezent, trebuie să vă asigurați că acestea sunt întotdeauna actualizate. De exemplu, dacă sunteți un serviciu poștal care livrează unele scrisori la adresele clienților dumneavoastră, trebuie să verificați în mod constant dacă un client nu și-a schimbat adresa de domiciliu.

În acest sens, e necesară o procedură de editare/modificare a datelor atunci când este necesar. De exemplu, un client ne anunță că și-a schimbat adresa de e-mail, întrucât vechea adresă de e-mail a fost compromisă. Ca atare, această schimbare trebuie să se reflecte imediat la noi in system, altfel riscăm să divulgăm datele personale ale persoanei în cauză unor alte persoane, încălcând astfel securitatea datelor.

Reținem la principiul exactității că datele pe care le prelucrăm trebuie să fie exacte și, în cazul în care este necesar, să fie actualizate fără întârziere.

5. Principiul limitării legate de stocare

GDPR garantează că datele cu caracter personal nu sunt stocate pentru o perioadă mai lungă decât cea necesară pentru îndeplinirea scopurilor în care sunt prelucrate. Regulamentul nu stabilește o limită de timp specifică pe care operatorul de date trebuie să o respecte, deoarece această perioadă depinde de timpul de care aveți nevoie pentru a vă atinge scopul. Angajamentul dumneavoastră față de principiul limitării stocării vă va ajuta să atingeți principiul exactității, deoarece faptul că nu păstrați datele de care nu mai aveți nevoie vă va face să scăpați de datele învechite care nu au legătură cu scopul pentru care sunt prelucrate datele.

Dacă există un termen legal de pastrare, e necesar să fie respectat acel termen, cum este cazul  termenului de păstrare al facturilor, 10 ani și al statelor de salarii, 50 de ani, conform legii contabilității.

Pentru a nu încălca legile de documentare aplicate de GDPR, va trebui să stabiliți o politică de păstrare a datelor. Politica de retenție le spune oamenilor cât timp veți păstra fiecare categorie de date. S-ar putea să nu fie necesară în cazul întreprinderilor mici, dar cu toate acestea, aceste companii trebuie să monitorizeze în mod constant datele stocate și să se asigure că datele personale care nu mai sunt necesare sunt șterse.

În unele cazuri, principiul limitării legate de stocare nu ar trebui să fie aplicat, cum sunt cazurile ce se referă la datele de care guvernul ar putea avea nevoie în scopuri de securitate. De exemplu, dacă o persoană deschide un cont la o bancă, apoi, dacă această persoană închide contul, banca trebuie să păstreze datele acestui cont, deoarece ar putea fi necesare din motive de securitate.

După ce v-ați îndeplinit scopul de prelucrare a datelor cu caracter personal, le puteți șterge sau cripta. Trebuie să știți că, desi ștergeți datele personale de pe internet, dar le păstrați în continuare online, acest lucru este tot prelucrare de date. Prin urmare, dacă doriți să aplicați correct principiul limitării datelor, trebuie să ștergeți definitiv datele, fie că sunt online sau offline. O altă metodă în loc de ștergere este criptarea datelor. Datele criptate în contextul GDPR sunt în continuare date cu caracter personal și trebuie tratate la fel de bine.

Există un alt caz, decât date necesare în viitor, care permite persoanei împuternicite de către operator să le păstreze pentru o perioadă mai lungă de timp după atingerea scopului prelucrării lor. Acesta este cazul în care scopul prelucrării datelor cu caracter personal este statistic sau vizează realizarea unor interese publice. Acesta ar trebui să fie singurul scop pentru a nu încălca legea GDPR. Dacă aveți și alte scopuri în afară de cele anterioare, aceasta reprezintă o încălcare a legilor.

Reținem la principiul limitării legate de stocare că datele nu vor fi stocate pentru o perioadă mai lungă decât cea necesară pentru îndeplinirea scopurilor în care sunt prelucrate, iar în cazul în care legislația nu prevede un termen de păstrare, vom stabili noi, printr-o procedură internă, un termen cât mai mic posibil.

6. Principiul integrității și confidențialității

Acest principiu din GDPR asigură securitatea informațiilor cu caracter personal. Atunci când prelucrați date cu caracter personal, nimeni nu ar trebui să le poată vedea, inclusiv persoanele care lucrează în cadrul companiei dumneavoastră. Trebuie să dispuneți de un nivel adecvat de securitate cibernetică, care să fie capabil să protejeze datele. Trebuie să știți că securitatea datelor cu caracter personal este unul dintre lucrurile esențiale în cadrul companiei dumneavoastră, deoarece scurgerea oricăror date personale aparținând cetățenilor îi poate expune pe aceștia la un pericol real, iar uneori acest risc echivalează cu un atac.

Ce anume trebuie să fie protejat?

Fiecare aspect al procesului de prelucrare a datelor trebuie să fie protejat. Acest lucru înseamnă că trebuie să vă asigurați de mai multe lucruri, cum ar fi:

  • nimeni nu are acces la datele cu caracter personal (inclusiv angajații din cadrul companiei, cu excepția celor care sunt autorizați),
  • trebuie să puteți proteja datele împotriva deteriorării și
  • trebuie să le puteți recupera în caz de deteriorare.

GDPR ne obligă să ne asigurăm că măsurile noastre de securitate funcționează bine.

GDPR impune operatorilor de date să efectueze teste periodice pentru a asigura nivelul de protecție în cadrul companiei, dar nu se specifică modul în care sunt realizate aceste teste, deoarece depinde de mediul dumneavoastră de afaceri. Este foarte important să testați tot personalul și să vă asigurați că acesta are suficientă înțelegere și conștientizare a principiilor GDPR. Instruirea periodică a angajaților printr-un training GDPR este foarte utilă în acest sens.

Reținem la principiul integrității și confidențialității că datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

Citește mai multe despre cele mai bune practici în materie de securitate cibernetică (infographic inclus)

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

7. Principiul responsabilității

Trebuie să puteți dovedi că aplicați GDPR în toate aspectele sale, nu numai în fața autorităților, ci și a persoanelor vizate. Persoanele vizate au dreptul de a se asigura că respectați legile GDPR. De asemenea, dacă folosiți date cu caracter personal în mijloace moderne, cum ar fi inteligența artificială, trebuie să informați proprietarii datelor. Răspunderea include explicarea detaliilor implementării de către dumneavoastră a Regulamentului și a măsurilor pe care le luați pentru a proteja datele cu caracter personal. GDPR nu stabilește cerințe specifice pentru responsabilitate, dar stabilește anumite proceduri care trebuie urmate, stabilind politicile de protecție a datelor printre măsurile recomandate de GDPR. Acestea includ măsurile care vor fi luate pentru a proteja datele cu caracter personal și măsurile luate în cazul unei încălcări.

De exemplu, dacă prelucrați date pe o bază legală, să spunem, interesul vital sau consimțământul, trebuie să puteți dovedi că aveți acest consimțământ sau că obiectivul dumneavoastră este de fapt un interes vital. Pentru a putea dovedi acest lucru, trebuie să fi înregistrat cu exactitate reluarea și detaliile consimțământului obținut de la persoana vizată.

Concluzii

Datele cu caracter personal sunt peste tot în jurul vostru, astfel că va trebui să vă ocupați de ele în orice serviciu pe care îl furnizați. Acest lucru vă pune în fața unei mari provocări în ceea ce privește păstrarea acestor date personale. De aceea, o bună înțelegere a celor 7 principii GDPR vă permite să vă cunoașteți rolul de operator de date și ce anume trebuie să faceți pentru a respecta Regulamentul General privind Protecția Datelor și pentru a evita încălcările și sancțiunile GDPR.

Dacă ai nevoie de ajutor în ceea ce privește conformarea activității companiei tale la GDPR, fie prin consultanță GDPR, fie prin servicii de DPO externalizat, contactează-ne pe contact@gdprcomplet.ro și programează o întâlnire cu unul dintre experții GDPR din cadrul echipei GDPR Complet.