4ALL

GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune


Articol publicat pe siteul cloud☁mania în data de  15 Septembrie  2017. Autor: Radu Crahmaliuc

Noul regulament pe care îl discutam sub titulatura generica de GDPR vine cu o nouă viziune asupra responsabilității pe care trebuie să și-o asume operatorii de date personale. În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabiltatea pe care și-o asumă, dar trebie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate. 

Iată-ne ajunși la cel de-al 8-lea articol din seria GDPR Explicitat. După ce în articolul precedent am prezentat și comentat dreptul la portabilitatea datelor, dreptul la obiecție și drepturile legate de luarea automată a deciziilor și profilare,  continuăm cu prezentarea de informații privitoare la noul model de responsabilitate și guvernanță  în viziunea GDPR.

În esență, GDPR include prevederi care promovează responsabilitatea și guvernanța. Acestea completează cerințele de transparență ale GDPR discutate de noi încă din articolul: ”GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților” https://cloudmania2013.com/2017/07/10/gdpr-explicitat-respectati-principiile-si-demonstrati-va-conformitatea-activitatilor/

Am facut acolo un prim comentariu despre principiul responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Dar, în opinia mea, noțiunea de ”accountability”, introdusă în textul original al GDPR  înseamnă puțin mai mult decât o simplă ”responsabilitate”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabilitatea pe care și-o asumă, dar trebuie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate.  Se așteaptă să se instituie măsuri de guvernanță cuprinzătoare, dar proporționale.

Instrumentele de bună practică pe care organismele europene de reglementare le-au susținut de mult timp, cum ar fi evaluările impactului asupra vieții private și viața privată după proiectarea procesarii datelor, sunt acum cerute din punct de vedere legal în anumite circumstanțe.

În cele din urmă, aceste măsuri ar trebui să minimizeze riscul de încălcare și să susțină protecția datelor cu caracter personal. Practic, acest lucru ar însemna mai multe politici și proceduri pentru organizații, deși multe organizații vor avea deja măsuri de bună guvernanță.

În ce constă principiul responsabilității?

Noul principiu de responsabilitate prevăzut la Articolul 5, Alineatul (2) impune să demonstrați că respectați principiile și să menționați în mod explicit că aceasta este responsabilitatea dvs.

Cum pot să îmi demonstrez responsabilitatea? Lucrurile nu trebuie sa fie foarte complicate, atâta timp cât se respectă o serie de proceduri de implementare a măsurilor tehnice și organizatorice adecvate care să asigure și să demonstreze că vă conformați. Acestea pot include politici interne de protecție a datelor, cum ar fi formarea personalului, audituri interne ale activităților de prelucrare și revizuiri ale politicilor interne în materie de resurse umane.

Iată o serie de recomandări:

  • Mențineți o documentația relevantă privind activitățile de procesare a datelor cu caracter persoanal;
  • Dacă este cazul, numiți un ofițer de protecție a datelor – vom discuta într-un articol viitor despre situațiile în care se recomandă numirea unui DPO.
  • Implementați măsurile care respectă principiile protecției datelor prin proiectare și protecția datelor în mod implicit (data protection by design and by defaut)

Aceste măsuri ar trebui să includă:

  • Minimizarea datelor;
  • Pseudonimizarea;
  • Transparență;
  • Transparență în monitorizarea procesării;
  • Crearea și îmbunătățirea funcțiilor de securitate în mod continuu;
  • Evaluări de impact privind protecția datelor;
  • Respectarea codurilor de conduită aprobate și / sau sistemele de certificare.

 

Evidența activităților de prelucrare

Aceasta este prima procedură care trebuie inițiată, indiferent de profilul dvs de activitate sau natura datelor personale și scopul prelucrării acestora. În oricare dintre situații aveți obligația de a furniza politici de confidențialitate complete, clare și transparente. Dacă organizația dvs. are mai mult de 250 de angajați, trebuie să păstrați înregistrări interne suplimentare ale activităților de procesare.

În cazul în care organizația dvs. are mai puțin de 250 de angajați, sunteți obligat să păstrați doar evidența activităților legate de prelucrarea datelor cu risc sporit, cum ar fi:

  • prelucrarea datelor cu caracter personal care ar putea duce la un risc pentru drepturile și libertățile individului;
  • procesarea unor categorii speciale de date, precum condamnări și infracțiuni penale.

De ce trebuie să înregistrăm tot ceea ce prelucrăm?

Cea mai elementară procedură internă este  înregistrarea și păstrarea evidenței oricărei activități de procesare. Conform Articolului 30, Alineatul 1 trebuie să înregistrați și să aveți o evidență clară a următoarele informații:

  • numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
  • scopurile prelucrării;
  • descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
  • acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

După intrarea în vigoare a noului Regulament este posibil să vi se solicite ca aceste înregistrări să fie puse la dispoziția autorității de supraveghere competente în cazul unei investigații. În vederea demonstrării conformităţii cu prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate în responsabilitatea sa.

Fiecare operator şi fiecare persoană împuternicită de operator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective. Conform Articolului 30, Alineatul 2, aceste evidențe trebuie să includă:

  • numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane), precum şi ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
  • categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în format electronic. Operatorul sau persoana împuternicită de acesta, precum şi, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.

De reținut că obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau organizaţii cu mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la Articolul 9, Alineatul 1, sau date cu caracter personal referitoare la condamnări penale şi infracţiuni, cum se menţionează la Articolul 10.