GDPR Arad

Protejarea datelor cu caracter personal

Prelucrarea datelor se referă la orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea lor.

Prelucrarea datelor trebuie făcută pe baza unui consimțământ al persoanei vizate și pe bază unui temei solid.

Regulamentul GDPR introduce elementele de amendă asociate nerespectării normelor de procesare a datelor personale, iar acestea nu sunt deloc de neglijat: discutăm de sancțiuni administrative de până la 4% din cifra de afaceri corespunzătoare exercițiului financiar anterior, sau de 20.000.000  euro!

În consecință, trebuie analizat orice risc plauzibil care poate să apară atunci când sunt prelucrate date cu caracter personal și luate măsurile de prevenire.

Din start, cel mai evident risc este acela de a prelucra date fără consimțământ.

Lipsa consimțământului

Consimțământul trebuie cerut oricăror persoane vizate, dar într-un mod clar, prin care acesta să înțeleagă natura datelor procesate, scopul procesării, temeiul legal și perioada în care aceste date sunt procesate. Persoana vizată trebuie informată despre drepturile pe care le are precum și de posibilitatea de a-și retrage consimțământul ori de câte ori aceasta dorește.

De exemplu: în cazul unui contract, se procesează un set de date care cuprinde numele clientului și datele lui de contact (adresă, telefon, adresă de email). Clientul trebuie informat că scopul procesării este de natura fiscală, că temeiul legal este existența unui contract de prestări servicii și că acest contract nu poate să fie pus în practică fară acceptul lui, iar perioada de stocare a acestor date este reglementată prin lege pentru un anumit număr de exerciții fiscale. După această perioadă, informațiile cu caracter personal se vor șterge.

În cazul inexistenței acestui consimțământ, clientul poate să reclame că datele lui sunt în baza de date a firmei sau instituției și că sunt procesate în mod abuziv (de exemplu primește informări cu promoții).

Colectarea și stocarea datelor sunt alte procese care implică numeroase riscuri și măsuri de protecție.

În cazul colectării pe hârtie, trebuie urmărit circuitul documentelor și accesul la ele: există formulare care se rătăcesc, sunt lăsate documentele la întamplare prin birouri, etc. Documentele primesc numere de înregistrare? Unde sunt stocate/arhivate documentele? Există o formă de acces controlat la ele (de exemplu sunt ținute într-o camera încuiată, iar cheia este doar la secretară)?

Se pune întrebarea: cine are acces la aceste documente?

Limitarea accesului la date

De exemplu, în cazul unei firme de asigurări, dosarele se păstrează în hotel, în dulapuri nesecurizate. Pentru a verifica situația unui client, este suficient să intri în hol și să cauți dosarul lui.

În cazul datelor digitale, riscurile sunt mult mai mari, deoarece mai multă lume poate să aibe acces la ele și să le folosească în mai multe scopuri.

Trebuiesc urmărite terminale de unde se colectează și seprocesează datele și acestea trebuiesc securizate pe baza unui acces de utilizator/parolă.

Trebuiesc urmărite nivelele de acces ale personalului la diversele tipuri de date: poate un departament se ocupă doar de colectarea de date, alt departament procesează datele legate de adrese, iar alt departament face analiza pe tot setul de date colectat. În mod evident nu tot personalul trebuie să aibe acces la toate datele.

Stocarea datelor digitale (care în unele cazuri ocupă un spațiu foarte mic pentru un volum mare de date) prezintă numeroase riscuri. Un server de stocare poate să fie chiar un calculator din biroul secretarei. Dacă biroul nu este climatizat de exemplu, se poate ca acel calculator să se strice și urmează o pierdere totală a tuturor datelor.

Cine are acces la acel birou? Poate să vină un intrus care să fure pur și simplu serverul cu toate informațiile de pe el necriptate?

Pentru evitarea situațiilor de pierderi de date se pot face back-upuri zilnice sau periodice. Unde se stochează la rândul lor aceste date? Pe DVD-uri care se pot pierde ușor? Există o evidență a lor?

Accesarea datelor și retragerea consimțământului.

Pentru fiecare set de date ar trebui să existe o jurnalizare a prelucrării lor, adică un registru cu tipul de operațiune efectuat, data operațiunii și persoana care a făcut operațiunea.

Cu ajutorul registrului se pot demonstra toate accesările datelor într-o perioadă determinată.

De asemenea, dacă persoana vizată își retrage acceptul de prelucrare, toate operațiunile pe baza setului ei de date se pot opri și monitoriza folosind acel registru.

Instituția sau firma trebuie să poată demonstra oricând situația reală, cu toate operațiunile făcute cu datele personale pe care le are în gestiune și, de asemenea, să demonstreze că procesările au fost făcute respectând consimțământul dat de persoanele vizate.

Fiecare firmă sau instituție are propriile caracteristici și probleme, însă ele, în calitate de operatori de date cu caracter personal trebuie să fie responsabile vizavi de datele procesate, să dovedească că au fost de bună credință și că au luat toate măsurile (raportate la riscurile identificate) care să garanteze securitatea acestora.

Paul Stoica, Responsabil cu protecția datelor
Str. Calimanesti, nr. 14
Arad, Romania
0748-309-925
0742-022-586
office@gdprarad.ro
24 X 7 online suport
TOP