GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților

AU MAI RĂMAS 318 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Și iată-ne ajunși la partea de principii. Sub GDPR, principiile de protecție a datelor stabilesc principalele responsabilități pentru organizații. Principiile sunt similare cu cele din Legea 95/, cu detalii adăugate la  anumite puncte și o nouă cerință pentru responsabilitate. În fond, acest principiu al responsabilității este unul dintre vectorii cheie ai GDPR. Operatorii de date personale sunt obligați nu numai să respecte aceste principii, ci și să demonstreze modul în care sunt activitățile lor sunt conforme cu principiile prelucrării datelor personale.  Dar hai sa le vedem pe rând.

Care sunt principiile GDPR? Le găsim în Art.5: ”Principii legate de prelucrarea datelor cu caracter personal”:

a). Legalitate, echitate şi transparenţă – acesta este un principiu esențial, strâns asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate ”în mod legal, echitabil şi transparent faţă de persoana vizată.”

b). Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri. E important aici să reținem că prelucrarea publica prin arhivare, pentru cercetare ştiinţifică/ istorică sau pentru analize statistice nu se considera ca deviantă de la scopurile iniţiale – așa cum se arată în Art. 89, alin. 1.

c). Reducerea la minimum a datelor – prin acest principiu operatorii sunt avizați de faptul că orice colectare de date personale trebuie foarte bine analizată înainte de obținerea efectivă a datelor, care trebuie să fie cele mai relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate.

d). Exactitatea informațiilor – operatorii trebuie să se ia toate măsurile pentru a asigura validitatea datelor, iar cele dovedite inexacte trebuie actualizate rapid sau șterse.

e). Limitarea stocării – datele trebuie păstrate fix atâta timp cât sunt necesare pentru pelucrarea asumată. Perioadele mai lungi de stocare sunt excepții asociate cu activități publice de arhivare, cercetare sau statistica, conform Art. 89, alin. 1.

f). Integritate și confidențialitate – iarăși un principiu esențial. Prelucrarea datelor personale trebuie făcută în cele mai proprii condiții de siguranță, care să includă ”protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”.   Din punctul meu de vedere, acesta este un vortex al GDPR. Cine nu respectă acest principiu este direct expus la breșe de securitate și confidențialitate, fiind un candidat sigur pentru extrem de severele penalități.

Așa cum spuneam și puțin mai sus, în partea introductivă a acestui articol, aceste principii se regăsesc și în legislația actuală. Dacă luăm Directiva 95/ 46 EC la Art. 6 din Capitolul ”Principii legate de calitatea datelor” găsim că datele cu caracter personal trebuie să fie:

a). prelucrate cu bună-credință – conform dispozițiilor legale;

b). colectate în scopuri determinate, explicite şi legitime – cu același amendament legat de prelucrarea științifică și statistică, dar fără operațiunile de arhivare în interes public prezente în GDPR;

c). adecvate, pertinente şi neexcesive – prin raportare la scopul în care sunt colectate şi ulterior prelucrate;

d). exacte şi, dacă este cazul, actualizate –  cu recomandarea ca datele inexacte sau incomplete să fie şterse sau rectificate;

e). stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară – cu completarea legată de condițiile și garanțiile aferente stocării pe termen lung.

Marea diferență față de textul Directivei 95/ 47 apare la Aliniatul 2:

  • În Directiva Comisiei Europene (Art.6, Alin.2) se arată că: ”Operatorul trebuie să se asigure că se respectă alineatul (1)”
  • În GDPR (Art. 5, Alin.2) apare clar principiul responsabilității: ”Operatorul trebuie să fie responsabil de respectarea alineatului (1) şi să poată demonstra această respectare (“responsabilitate”).”

Cu alte cuvinte, cea mai importantă adăugare la GDPR este principiul responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Dar, în opinia mea, noțiunea de ”accountability”, introdusă în textul original al GDPR  înseamnă puțin mai mult decât o simplă ”responsabilitate”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

Mergând la textul legislației naționale, paragraful 2 din Art. 4 nu diferă forte mult de conținutul Art. 5 din GDPR. Astfel, în Legea 677/2001, Art.4, Alin 2. se specifică: Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare (“responsabilitate”).”

Concluzionând, iată ce am reținut ca extrem de important din capitolul despre Principii (a se vedea GDPR Considerentul 39):

  • Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă.
  • Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar.
  • Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea.
  • Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective.
  • Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate.
  • Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace.
  • Operatorul trebuie să stabilească termene pentru ștergere sau revizuirea periodică.
  • Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidențialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de Legalitatea prelucrării datelor cu caracter personal – Art. 6 din GDPR.

Articole anterioare:

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, freelancer, storyteller, events moderator & keynote speaker

8 Responses to GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților

  1. Pingback: GDPR explicitat: Verificați legalitatea prelucrării și obțineți Consimțământul | cloud☁mania

  2. Pingback: GDPR explicitat: Dreptul de a fi informat si Ce informații trebuie trimise | cloud☁mania

  3. Pingback: GDPR explicitat: Dreptul de acces, rectificare, ștergere sau restricționare | cloud☁mania

  4. Pingback: GDPR explicitat (7): Dreptul la portabilitatea datelor, obiecții și luarea automată a deciziilor | cloud☁mania

  5. Pingback: GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune GDPR | cloud☁mania

  6. Pingback: GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune | cloud☁mania

  7. Pingback: GDPR explicitat (9): Data protection by design and by default | cloud☁mania

  8. Pingback: GDPR explicitat (10): Importanța evaluărilor de impact (DPIA) | cloud☁mania

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: