Principiile prelucrării datelor personale și rolul auditului preliminar
Celebrul GDPR este deja în aplicare de mai bine de un an de zile, suficient pentru ca fiecare antreprenor conectat on-line sau la diverse centre de afaceri să fi auzit măcar o dată de existența acestei noi cerințe legale pe care o are de îndeplinit, aflându-se în postura de a prelucra în cadrul afacerii sale datele cu caracter personal dintr-o perspectivă coerent structurată, în responsabilitatea sa directă.
Articolul de față, Implementarea GDPR, își propune să decodifice pentru operatorii de date necesitatea stringentă de a analiza amănunțit și din perspectiva cunoscătorului, fluxurile de date care le structurează activitatea curentă, fluxuri ce conțin cu certitudine inclusiv date cu caracter personal. Acest lucru este posibil numai cu implicarea directă și activă a personalului relevant (mangementul de vârf, șefii de departamente/divizii, responsabilii de proces, ș.a.m.d.), împreună cu specialistul în protecția datelor, într-un efort comun și constant până la obținerea unei imagini de ansamblu al prelucrărilor de date, cât mai complet și conform cu prelucrările efective.
Esențială în activitățile specifice de protecție a datelor cu caracter personal este respectarea principiilor de prelucrare a acestor date (vezi figura alăturată), așa cum stabilește art. 5 din GDPR (Regulamentul (UE) 2016/679), indiferent de context.
Practic, este vorba despre a fi proactiv în crearea și menținerea unei sinergii sănătoase în cadrul activităților ce presupun prelucrări de date cu caracter personal, având permanent în atenție protejarea dreptului la intimitate și viață privată pentru personalele vizate. Acest lucru este cu atât mai important în zilele noastre, când caracteristicile unei ere tehnologice devin tot mai pregnante iar datele noastre personale ajung adesea să fie prelucrate automatizat, folosind inteligență artificială.
Scopul
Scopul efectuării auditului preliminar este obținerea datelor de intrare în analiza factorilor de risc pe care prelucrările de date îi comportă, clasificarea acestor riscuri și identificarea măsurilor tehnice și organizatorice adecvate pentru ca prelucrările de date cu caracter personal să fie conforme. Totodată, auditul preliminar relevă scopurile prelucrărilor de date și temeiurile prelucrărilor, pe fiecare tip de prelucrare în parte, astfel încât informarea persoanei vizate să poată fi făcută corect.
Măsurile tehnice și organizatorice
Măsurile tehnice și organizatorice identificate trebuie să vizeze asigurarea protecției datelor din momentul conceperii (by design) și în mod implicit (by default), având în vedere stadiul actual al tehnologiei, proporționalitatea costurilor implementării, natura datelor dar și domeniul de aplicare, pentru a proteja drepturile persoanelor vizate, în spiritul și litera Cap. III din Regulamentul General pentru Protecția Datelor nr. 679/2016 (GDPR). În etapa următoare auditului preliminar, aceste măsuri trebuiesc documentate corespunzător astfel încât operatorul de date să fie în măsură să dovedească respectarea principiilor de prelucrare și în acest mod.
Volumul datelor
Volumul datelor cu caracter personal constituie un pilon de bază în evaluarea de risc, cu referire mai ales la obligativitatea numirii unui responsabil cu protecția datelor (DPO) în temeiul art. 37 din Regulament. Aceasta deoarece, un volum mare de seturi de date prelucrate necesită cu certitudine desfășurarea unor activități specifice de monitorizare a respectării principiilor GDPR, chiar dacă aceste date nu fac parte din categoria datelor sensibile.
Tipul datelor prelucrate
Tipul datelor prelucrate de operatorul de date structurează cel de al doilea pilon în evaluarea de risc, analizând posibilele prejudicii la care este expusă persoana vizată. Datele de natură sensibilă sunt datele cu privire la sănătatea persoanei vizate, orientarea religioasă, politică, sexuală, și altele cu atingerea intimității profunde a acesteia, în timp ce datele de natură extrem de sensibile – cele mai protejate din perspectiva GDPR – sunt datele minorilor, indiferent de categoria în care sunt încadrate.
Pentru acuratețea identificării și interpretării corecte a prelucrărilor de date pe parcursul auditului inițial, specialistul în protecția datelor efectuează o scanare amănunțită a întregii organizații, inclusiv la nivel de parteneriate de afaceri – clienți & furnizori, resurse umane, marketing, IT, securitate fizică, astfel încât e necesară o comunicare sinceră și transparentă din partea reprezentantului operatorului de date.
Este important să reținem că GDPR se aplică doar datelor aparținând persoanelor fizice, iar ochiul antrenat al unui specialist în protecția datelor poate identifica și încadra corect prelucrările de date sub incidența GDPR, fără a îngreuna inutil activitatea curentă a operatorului de date, care ste direct responsabil de implementarea măsurilor tehnice și organizatorice de protecție a datelor cu caracter personal.
Ec. Cătălina LUNGU
CEO Proactiv Cons S.R.L.
+40 755 050 270
office@proactivcons.ro
Cătălina a absolvit Facultatea de Economie și Administrarea Afacerilor Iași, specializarea Managementul firmei. Ea este depozitara unei vaste experiențe manageriale și antreprenoriale, dobândind de la nivelul managementului de vârf o cunoaștere profundă a mecanismelor ce structurează o afacere și fiind și auditor intern – ISO 9001, ISO 14001, ISO 18001.
De la jumătatea anului 2017, Cătălina a decis să devină asistent în proprietate intelectuală și din același an își începe specializarea în prelucrarea datelor cu caracter personal, pentru implementarea prevederilor GDPR emis în aprilie 2016.
Este implicată în mod constant în variate activități de specializare, participând la cursuri, seminarii și alte evenimente naționale și europene, pentru a-și completa cunoștințele cu informații proaspete și bine documentate în domeniul protecției datelor cu caracter personal.
Începând din anul 2018, Cătălina este printre primii membri înscriși în Asociația Specialiștilor în Confidențialitate și Protecția Datelor (www.ascpdp.ro), iar începând cu anul 2019 este membru al IAPP – International Association of Privacy Professionals (www.iapp.org).