GDPR. Primii pași pentru implementarea Regulamentului UE 2016/679 privind protecția datelor

Odată cu intrarea în vigoare a Regulamentului UE 2016/679 privind protecția datelor, inevitabil, se nasc o serie de întrebări cu privire la modul de implementare a normelor legale. Atenție însă, prevederile Regulamentului european își găsesc aplicabilitatea numai în cazul în care colectați date personale aparținând persoanelor fizice, nu și a persoanelor juridice!

Dacă sunteți un operator de date personale, în activitatea dvs. de implementare trebuie să răspundeți punctual la următoarele întrebări:

  • Ce categorii de date personale prelucrați? Printre acestea se pot număra: nume, prenume, stare civilă, date de identificare, adresă domiciliu/reședință, date de contact, date financiare, ip internet, imagine (captată prin fotografii înregistrări video,audio-video) sau chiar date sensibile precum datele medicale, religie, politică, rasă, etnie. Atragem atenția asupra faptului că termenul de prelucrare se interpretează in extenso, constituind orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea,dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, stocarea, blocarea, ştergerea sau distrugerea.
  • Cum colectați aceste date și mai ales de către cine din cadrul societății dvs. sunt prelucrate la momentul actual?
  • Cum colectați aceste date și mai ales de către cine din cadrul societății dvs. sunt prelucrate la momentul actual?
  • Care sunt scopurile pentru care prelucrați datele cu caracter personal? Printre aceste scopuri se pot număra încheierea și executarea convențiilor, pentru resurse umane sau în scop de marketing și publicitate.
  • Ați stabilit o durată de stocare a datelor personale? Esențial este să indicați un termen rezonabil în care aceste date să fie păstrate în sistemul dvs. de stocare, fără a stabili detalii mult prea generale. Spre exemplu, datele pot fi păstrate pe toată durata de timp cât se derulează convenţia juridică dintre părţi sau în termenul legal stabilit pentru arhivarea acestor documente.
  • Transmiteți aceste date personale și altor colaboratori, instituții publice sau private? În caz afirmativ, este necesară informarea persoanei vizate cu privire la identitatea fiecărui destinatar în parte.
  • Există un consimțământ expres din partea fiecărei persoane fizice vizate? În acest sens, se va redacta un formular tipizat în cuprinsul căruia se va menționa ce fel de date se preiau, pentru ce scop, cât timp se păstrează, drepturile persoanei vizavi de datele sale personale precum și semnătura celui informat.
  • V-ați îndeplinit obligația de informare a persoanelor vizate cu privire la drepturile deținute asupra datelor personale, respectiv dreptul de informare și acces la date cu caracter personal, dreptul la rectificare, dreptul la ștergerea datelor („dreptul de a fi uitat”), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție și procesul decizional individual automatizat?
  • Dețineți un sistem de stocare a datelor personale? Este necesar să întocmiți un Registru de prelucrare a datelor cu caracter personal în cadrul căruia să păstrați o evidență a activităților de prelucrare.
  • Cum asigurați securitatea datelor personale prelucrate? Recomandăm aplicarea unor măsuri tehnice și organizatorice adecvate ce includ limitarea numărului de persoane ce au acces la aceste date, criptarea, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemului
  • Aveți sau nu obligația desemnării unei persoane responsabile cu protecția datelor? Dacă societatea/instituția dvs. face parte din cele trei  categorii enumerate mai jos, este obligatorie numirea unei persoane responsabile cu protecția datelor:

a. Instituțiile publice (cu excepția instanțelor de judecată);

b. Societățile a căror activitate principală constă în operațiuni de prelucrare care necesită o monitorizare periodică si sistematică pe scară largă a persoanelor vizate;

c. Societățile care prelucrează, pe scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, date genetice, date biometrice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală) sau date referitoare la condamnări penale și infracțiuni. 

Pentru entitățile ce nu intră în aceste trei categorii, numirea unei persoane responsabile cu protecția datelor este deci, facultativă.

  • Cine poate avea calitatea de persoană responsabilă cu protecția datelor? Sub acest aspect, aveți posibilitatea de a opta între un salariat propriu (actual sau nou) sau un colaborator extern.

Avocat Teodora Groza, CĂRĂBAŞ, LUNGU – Societate Civilă de Avocaţi