Operare date cu caracter personal, RGPD, DPIA

∞ Viaţa îţi va plăti orice preţ îi vei cere. Trebuie să ştii să ceri inteligent ∞

Conform Regulamentului General privind Protecția Datelor (RGPD), operarea datelor cu caracter personal se referă la orice acțiune sau set de acțiuni efectuate asupra datelor personale, cum ar fi:

  • colectarea,
  • stocarea,
  • utilizarea,
  • transmiterea sau
  • ștergerea acestora.

Date cu caracter personal și GDPR

GDPR reglementează modul în care datele cu caracter personal sunt colectate, prelucrate și stocate. Datele cu caracter personal se referă la orice informație care poate duce la identificarea unei persoane, inclusiv nume, adrese, date biometrice, IP-uri, etc.

Pentru a opera astfel de date în conformitate cu GDPR, trebuie respectate câteva principii fundamentale:
  • Legalitate, echitate și transparență, datele trebuie prelucrate într-un mod transparent pentru persoana vizată.
  • Limitarea scopului întrucât datele trebuie colectate pentru scopuri bine definite și legitime.
  • Minimizarea datelor trebuind colectate doar acele date care sunt strict necesare.
  • Exactitate întrucât datele trebuie menținute corecte și actualizate.
  • Limitarea stocării, datele trebuie păstrate doar cât este necesar.
  • Integritate și confidențialitate, datele trebuie securizate împotriva accesului neautorizat și a scurgerilor.

DPIA (Data Protection Impact Assessment)

DPIA este o evaluare a impactului pe care anumite operațiuni de prelucrare a datelor îl pot avea asupra vieții private și protecției datelor. Aceasta este necesară în situații de prelucrare care pot prezenta riscuri ridicate pentru drepturile și libertățile persoanelor.

În cazul indexării metadatelor pentru motoarele de căutare, se recomandă să fie efectuată o DPIA, deoarece:
  • se poate ajunge la o expunere publică a datelor;
  • poate exista o prelucrare automatizată sau o creare de profiluri care implică riscuri legate de utilizarea ulterioară a acestor date,
  • se impune o evaluare a măsurilor de securitate și de confidențialitate implementate.
DPIA trebuie să abordeze mai multe aspecte cheie:
  • Scopul prelucrării datelor stabilind care sunt obiectivele și finalitățile utilizării datelor (de exemplu, indexarea pentru SEO sau pentru servicii publice).
  • Descrierea fluxului de date, mai precis ce tipuri de date sunt procesate, cum sunt colectate, prelucrate și stocate.
  • Identificarea riscurilor prin analiza acestora pentru confidențialitatea și securitatea datelor.
  • Măsurile de atenuare a riscurilor prin găsirea de soluțiile tehnice și organizatorice care reduc riscurile la un nivel acceptabil (de exemplu, pseudonimizarea, criptarea datelor).

Protecția acestor date este esențială, iar RGPD impune organizațiilor să implementeze măsuri stricte de securitate și confidențialitate.

Un instrument cheie pentru gestionarea riscurilor este Evaluarea Impactului asupra Protecției Datelor (DPIA), care este obligatorie în cazurile în care o activitate de prelucrare a datelor poate genera un risc ridicat pentru drepturile și libertățile persoanelor.

DPIA este un proces sistematic care:

  • identifică și minimizează riscurile asociate prelucrării datelor,
  • evaluând măsurile de protecție existente și recomandând soluții suplimentare dacă este necesar.

Acesta se aplică de obicei în cazurile de prelucrare automatizată, profilare pe scară largă sau monitorizarea pe scară largă a spațiilor publice.

Scopul principal al DPIA este de a asigura conformitatea cu cerințele RGPD și de a proteja drepturile persoanelor vizate, oferind transparență și încredere în gestionarea datelor.

Art. 4 din Regulamentul UE nr. 679/2016

Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal;

  • Procesarea datelor personale în conformitate cu RGPD asigură protecția confidențialității și drepturilor indivizilor.
  • DPIA (Evaluarea Impactului asupra Protecției Datelor) este un instrument esențial pentru evaluarea riscurilor asociate cu prelucrarea datelor și asigurarea conformității legale.
Operatorul decide să prelucreze date cu caracter personal prin anumite operaţiuni efectuate:
  • prin mijloace automate și
  • prin alte mijloace decât cele automate
Persoana fizică sau juridică poate fi desemnată ca operator:
  • printr-un act normativ sau
  • în baza unui act normativ

Respectivul act normativ determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o prelucrare să intre sub incidenţa prevederilor Legii nr.190/2018 este necesar ca ea să se desfăşoare în cadrul unui sistem de evidenţă.

Prin sistem de evidenţă se înţelege o bază de date, structurată potrivit unor criterii pe baza cărora datele pot fi accesate (criteriul alfabetic, etc).

Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
  •     (a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
  •     (b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
  •     (c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
  •     (d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  •     (e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
  •     (f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

RGPD – Registrul de Evidenţă a Prelucărilor de Date cu Caracter Personal

Registrul de Evidenţă a Prelucărilor de Date cu Caracter Personal:
  • conţine evidenţa notificărilor efectuate de operatorii de date cu caracter personal
  • este public,
  • are rolul de a asigura transparenţa privind activitatea operatorilor de prelucrare a datelor
  • poate fi consultat de orice persoană interesată
Operatorii trebuie să implementeze măsuri adecvate pentru:
  • a asigura conformitatea cu RGPD și
  • a demonstra conformitatea cu RGPD,
  • să ia în considerare riscurile de variație a probabilității și gravității asupra drepturilor și libertăților persoanelor fizice

Un risc reprezintă un scenariu care descrie un eveniment și consecințele acestuia, estimat în termeni de severitate și probabilitate. Managementul riscului reprezintă activitățile coordonate pentru a conduce și controla o organizație cu privire la un risc.

DPIA – Evaluarea impactului asupra protecției datelor

Evaluarea impactului asupra protecției datelor (DPIA), așa cum prevede și Directiva UE 6803/2016,  este un proces destinat:

  • să descrie prelucrarea,
  • să evalueze necesitatea și proporționalitatea acesteia și
  • să contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate rezultate din prelucrarea datelor cu caracter personal, prin evaluarea acestora și stabilirea de măsuri pentru atenuarea lor
  • să demonstreze conformitatea
DPIA reprezintă un instrument important pentru responsabilizare deoarece ajută operatorii de date:
  • să respecte cerințele RGPD,
  • să demonstreze că au fost luate măsuri adecvate pentru a asigura conformitatea cu Regulamentul

Potrivit RGPD, nerespectarea cerințelor DPIA poate conduce la aplicarea de amenzi de către autoritatea de supraveghere.

Se poate aplica o amendă administrativă de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală pentru:

  • nerealizarea unei DPIA atunci când prelucrarea face obiectul unei DPIA
  • realizarea unei DPIA într-un mod incorect
  • neconsultarea cu autoritatea de supraveghere competentă, dacă este cazul

Obligația operatorilor de a realiza DPIA în anumite situații ar trebui înțeleasă în contextul obligației lor generale de a gestiona în mod corespunzător riscurile prezentate de prelucrarea datelor cu caracter personal. Operatorii şi persoanele împuternicite de operator desemnează un responsabil cu protecţia datelor.

În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor, unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.

Realizarea unei DPIA nu este obligatorie pentru fiecare operațiune de prelucrare. DPIA este necesară numai atunci când prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.

Consultarea prealabilă a autorității de supraveghere

Operatorul consultă autoritatea de supraveghere înainte de prelucrarea datelor atunci când evaluarea impactului asupra protecţiei datelor indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.

Operatorul furnizează autorității de supraveghere informații privind:
  1. responsabilităţile operatorului, ale operatorilor asociaţi şi ale persoanelor împuternicite de operator implicate în activităţile de prelucrare, în special pentru prelucrarea în cadrul unui grup de întreprinderi;
  2. scopurile şi mijloacele prelucrării preconizate;
  3. măsurile şi garanţiile prevăzute pentru protecţia drepturilor şi libertăţilor persoanelor vizate,
  4. datele de contact ale responsabilului cu protecţia datelor;
  5. evaluarea impactului asupra protecţiei datelor
  6. orice alte informaţii solicitate de autoritatea de supraveghere

Obligațiile operatorului de date

Operatorul de date are ca obligații:
  • punerea în aplicare a măsurilor tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.
  • punerea în aplicare a politicii adecvate de protecţie a datelor
  • aderarea la coduri de conduită aprobate
  • aderarea la un mecanism de certificare aprobat

Operatorul și persoana împuternicită de operator identifică acţiunile care trebuie întreprinse pentru conformarea la cerinţele impuse de RGPD. Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertăţile persoanelor vizate.

După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de RGPD.

Indiferent de prelucrările efectuate, se vor avea în vedere, în principal, următoarele aspecte:
  • colectarea și prelucrarea datelor strict necesare pentru realizarea scopurilor;
  • identificarea temeiului legal în baza căruia se efectuează prelucrarea (ex consimţământul persoanelor vizate, contract, obligaţie legală);
  • revizuirea/completarea informaţiilor furnizate persoanelor vizate, astfel încât să respecte cerinţele impuse de RGPD
  • asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;
  • verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate;
  • stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
  • verificarea măsurilor de securitate implementate
Măsurile speciale ce se pot aplica sunt:
  • evaluarea impactului asupra protecţiei datelor,
  • extinderea dreptului la informare al persoanelor vizate,
  • obţinerea consimţământului persoanelor vizate (după caz),
  • obţinerea autorizării pentru transferurile de date în state terţe (dacă este cazul)
Aplicarea măsurilor speciale se face dacă prelucrările de date cu caracter personal îndeplinesc următoarele caracteristici:

1)Prelucrarea efectuată vizează și categorii de date precum:

  • date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau religioase, apartenenţa sindicală;
  • date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
  • date referitoare la infracţiuni sau condamnări penale;
  • date referitoare la minori;

2)Prelucrarea efectuată are ca scop și ca efect:

  • monitorizarea permanentă pe scară largă a unei zone accesibile publicului;
  • evaluarea sistematică și aprofundată a unor aspecte personale, inclusiv profilarea, pe baza căreia sunt luate decizii ce produc efecte juridice referitoare la o persoană fizică sau ce o afectează pe aceasta în mod semnificativ.

3)Prelucrarea efectuată implică transferuri de date:

  • în afara Uniunii Europene,
  • către state care nu asigură un nivel de protecţie adecvat recunoscut de Comisia Europeană
Stabilirea măsurilor care trebuie aplicate la nivelul fiecărui operator se face:
  • după o analiză aprofundată a legislaţiei privind protecţia datelor și a cerinţelor impuse de RGPD
  • în funcţie de sectorul de activitate
  • în funcție de specificul prelucrărilor efectuate

Notificarea autorității de supraveghere potrivit RGPD

A fost eliminată obligația notificării autorității de supraveghere de către operatorii de date, dar aceștia nu sunt exonerați  de îndeplinirea obligaţiilor care le revin potrivit RGPD în privința:

  • prelucrării datelor cu caracter personal și
  • libera circulație a acestor date

Similar Posts

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.