Bune practici Protecția datelor

Km 0 în implementarea GDPR.

Cătălina Lungu
51 de ani ago
PROACTIV CONS SRL > Bune practici Protecția datelor > Principii prelucrare date personale și rolul auditului preliminar

Principii prelucrare date personale și rolul auditului preliminar

Posted by: Cătălina Lungu
Category: Bune practici Protecția datelor

Celebrul GDPR este deja în aplicare de mai bine de un an de zile, suficient pentru ca fiecare antreprenor conectat on-line sau la diverse centre de afaceri să fi auzit măcar o dată de existența acestei noi cerințe legale pe care o are de îndeplinit, aflându-se în postura de a prelucra în cadrul afacerii sale datele cu caracter personal dintr-o perspectivă coerent structurată, în responsabilitatea sa directă.
Articolul de față își propune să decodifice pentru operatorii de date necesitatea stringentă de a analiza amănunțit și din perspectiva cunoscătorului, fluxurile de date care le structurează activitatea curentă, fluxuri ce conțin cu certitudine inclusiv date cu caracter personal. Acest lucru este posibil numai cu implicarea directă și activă a personalului relevant – mangementul de vârf, șefii de departamente/divizii, responsabilii de proces, ș.a.m.d. – împreună cu specialistul în protecția datelor, într-un efort comun și constant până la obținerea unei imagini de ansamblu al prelucrărilor de date, cât mai complet și conform cu prelucrările efective.

Care sunt principiile pe care trebuie să le respecte prelucrărie de date personale?

Esențială în activitățile specifice de protecție a datelor cu caracter personal este respectarea principiilor de prelucrare a acestor date (vezi figura alăturată), așa cum stabilește art. 5 din GDPR (Regulamentul (UE) 2016/679), indiferent de context.

Practic, este vorba despre a fi proactiv în crearea și menținerea unei sinergii sănătoase în cadrul activităților ce presupun prelucrări de date cu caracter personal, având permanent în atenție protejarea dreptului la intimitate și viață privată pentru personalele vizate. Acest lucru este cu atât mai important în zilele noastre, când caracteristicile unei ere tehnologice devin tot mai pregnante iar datele noastre personale ajung adesea să fie prelucrate automatizat, folosind inteligență artificială.

De ce să efectuăm acest audit preliminar?

Scopul efectuării auditului preliminar este obținerea datelor de intrare în analiza factorilor de risc pe care prelucrările de date îi comportă, clasificarea acestor riscuri și identificarea măsurilor tehnice și organizatorice adecvate pentru ca prelucrările de date cu caracter personal să fie conforme.

Totodată, auditul preliminar relevă scopurile prelucrărilor de date și temeiurile prelucrărilor, pe fiecare tip de prelucrare în parte, astfel încât informarea persoanei vizate să poată fi făcută corect.
Măsurile tehnice și organizatorice identificate trebuie să vizeze asigurarea protecției datelor din momentul conceperii (by design) și în mod implicit (by default), având în vedere stadiul actual al tehnologiei, proporționalitatea costurilor implementării, natura datelor dar și domeniul de aplicare, pentru a proteja drepturile persoanelor vizate, în spiritul și litera Cap. III din Regulamentul General pentru Protecția Datelor nr. 679/2016 (GDPR).

În etapa următoare auditului preliminar, aceste măsuri trebuiesc documentate corespunzător astfel încât operatorul de date să fie în măsură să dovedească respectarea principiilor de prelucrare și în acest mod.

Care sunt elementele principale de analizat?

Volumul datelor cu caracter personal constituie un pilon de bază în evaluarea de risc, cu referire mai ales la obligativitatea numirii unui responsabil cu protecția datelor (DPO) în temeiul art. 37 din Regulament. Aceasta deoarece, un volum mare de seturi de date prelucrate necesită cu certitudine desfășurarea unor activități specifice de monitorizare a respectării principiilor GDPR, chiar dacă aceste date nu fac parte din categoria datelor sensibile.
Tipul datelor prelucrate de operatorul de date structurează cel de al doilea pilon în evaluarea de risc, analizând posibilele prejudicii la care este expusă persoana vizată. Datele de natură sensibilă sunt datele cu privire la sănătatea persoanei vizate, orientarea religioasă, politică, sexuală. Cu alte cuvinte, datele cu atingerea intimității profunde a peroanei vizate, în timp ce datele de natură extrem de sensibile – cele mai protejate din perspectiva GDPR – sunt datele minorilor, indiferent de categoria în care sunt încadrate.

Este important să reținem că GDPR se aplică doar datelor aparținând persoanelor fizice, iar ochiul antrenat al unui specialist în protecția datelor poate identifica și încadra corect prelucrările de date sub incidența GDPR, fără a îngreuna inutil activitatea curentă a operatorului de date – direct responsabil de implementarea măsurilor tehnice și organizatorice de protecție a datelor cu caracter personal.

Pentru acuratețea identificării și interpretării corecte a prelucrărilor de date pe parcursul auditului inițial, specialistul în protecția datelor efectuează o scanare amănunțită a întregii organizații, inclusiv la nivel de parteneriate de afaceri – clienți & furnizori, resurse umane, marketing, IT, securitate fizică, astfel încât e necesară o comunicare sinceră și transparentă din partea reprezentantului operatorului de date.

Articol publicat și în ediția online a evenimentului de business Devos Suceava 1: http://revista.devos.ro/implementarea-gdpr-principiile-prelucrarii-datelor-personale-si-rolul-auditului-preliminar-articol-de-catalina-lungu/?fbclid=IwAR2h7oQbUSZ8UwyacTmm4NflQeZY1AqXQTkGij-MKVLntYc_M95FXtq0IOw

Vă mulțumim pentru interesul arătat serviciilor noastre și vă rugăm, în cele ce urmează, să ne ajutați să vă oferim un răspuns cât mai util prin cunoașterea detaliilor pe care vi le solicităm












Ce date cu caracter personal prelucrați?*

Cunoașteți datele a câtor persoane le prelucrați (inclusiv arhivare)?*

Lucrați într-un grup de firme? Luați în calcul și persoanele juridice non-profit.*

Firmele din grup ce tip de activitate desfășoară? (obligatoriu)

Author: Cătălina Lungu