Zilele trecute, citeam că un om de afaceri suedez a fost declarat falimentar după ce un hacker i-a furat identitatea, a luat un credit în numele lui şi ulterior a depus o cerere de faliment. Este un caz ilustrativ pentru riscurile tot mai mari pe care le au atât persoanele private, cât şi operatorii de date într-o lume şi o economie tot mai digitalizate.
Exemplul este cu atât mai semnificativ cu cât întâmplarea a avut loc în Suedia, ţară în care tranzacţiile şi interacţiunea cu autorităţile se realizează mai ales electronic. Evident că incidente şi fraude vor apărea mereu, dar în aceeaşi măsură creşte preocuparea pentru protecţia datelor personale atât din partea autorităţilor, cât şi a companiilor şi a persoanelor fizice.
Uniunea Europeană a adus, în acest sens, modificări prin noul regulament UE (679/2016) privind protecţia acestor date (GDPR – General Dată Protection Regulation) care va fi obligatoriu de la 25 mai 2018. Chiar dacă termenul pare generos, în practică s-ar putea dovedi insuficient deoarece complexitatea regulamentului necesită o perioadă consistentă pentru analiză şi implementare.
Mai jos, voi analiza câteva dintre aspectele relevante ale acestui nou regulament pentru societăţile care folosesc date personale în activitatea lor. Le-am selectat şi le-am detaliat pe acestea pentru a conştientiza atât impactul prevederilor pentru organizaţii, cât şi importanța prevenţiei.
Întrebările pe care trebuie să şi le pună companiile
Un prim pas este analiza activităţii de prelucrare a datelor cu caracter personal. Companiile ar trebui să îşi facă o autoevaluare a conformării cu regulamentul, o radiografie a tuturor activităţilor de prelucrare de date personale la nivelul societăţii şi să răspundă totodată la următoarele întrebări:
Care sunt categoriile de date cu caracter personal prelucrate de către societate?
Pentru ce scopuri şi în ce context se folosesc aceste date?
Sunt aceste date cu caracter personal transferate şi dacă da, către ce state?
Prelucrarea şi/sau transferul datelor respectă principiile şi regulile impuse de Regulament?
Are societatea implementat un sistem de notificare/informare a persoanelor vizate, precum şi de preluare a consimțământului acestora?
Există proceduri la nivelul societăţii pentru cazurile în care securitatea datelor cu caracter personal ar fi compromisă?
Este societatea în situaţia în care trebuie să numească un responsabil cu protecţia datelor?
Care este mediul ITC utilizat de organizaţie pentru prelucrarea datelor cu caracter personal?
Care sunt măsurile tehnice şi organizatorice luate deja de organizaţie pentru a respecta cerinţele de confidenţialitate, documentaţie de confidenţialitate, politici, ghiduri, declaraţii de confidenţialitate, clauze contractuale, măsuri luate cu privire la transferul internaţional de date etc.?
Autoevaluarea dă o viziune clară asupra gradului de respectare a confidenţialităţii şi protecţiei datelor cu caracter personal în cadrul societăţii. Apoi, poate fi utilizată pentru a stabili paşii care trebuie urmaţi pentru a deveni conformă din perspectiva confidenţialităţii.
Scopul nu este identificarea în detaliu a tuturor fluxurilor de date şi a riscurilor de confidenţialitate din cadrul organizaţiei, ci, mai degrabă, de a avea o imagine generală a proceselor de business care implică date cu caracter personal şi a zonelor unde trebuie luate măsuri.
Condiţiile în care prelucrarea datelor este legală
După autoevaluare, societăţile trec la implementarea măsurilor pentru asigurarea conformităţii cu prevederile Regulamentului.
Este o etapă care presupune măsuri organizatorice (de exemplu, prin crearea cadrului pentru funcţionarea responsabilului cu protecţia datelor sau prin implementarea procedurilor în cazul în care securitatea datelor cu caracter personal ar fi compromisă) şi tehnice.
Alt aspect esenţial al noului Regulament este temeiul legal al prelucrării datelor. Doar dacă este îndeplinită una dintre următoarele condiţii, prelucrarea este legală: persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului; prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, mai ales atunci când persoana vizată este un copil.
Totuşi, consimţământul este doar una dintre condiţiile de legalitate a prelucrării şi trebuie să aibă: formă accesibilă şi inteligibilă, limbaj clar şi simplu, acţiune concretă şi să fie acordat în cunoştinţă de cauză, cu informare prealabilă. Dacă societatea s-a bazat pe consimţământ, iar acesta este invalidat (spre exemplu, acesta este viciat sau retras), este discutabil dacă poate să se bazeze ulterior pe alt temei legal de prelucrare (spre exemplu, interesul legitim).
În cazul în care consimţământul a fost obţinut anterior, el rămâne valabil dacă este în conformitate cu noul Regulament. Totuşi, chiar şi într-o asemenea situaţie, trebuie analizat dacă este necesară o revenire către persoana vizată, în scopul completării informării acesteia, întrucât conţinutul obligaţiei de informare este extins în viziunea Regulamentului.
Mai multe drepturi şi control mai mare pentru persoanele fizice
Totodată, Regulamentul aduce persoanelor fizice un control mai mare cu privire la datele lor cu caracter personal şi noi drepturi care pot fi exercitate faţă de operatori, în încercarea de echilibrare a raportului de poziţie dintre aceştia.
Printre aceste noi drepturi se numără dreptul la portabilitate, care permite practic persoanelor vizate să mute, copieze, transmită datele lor dintr-o platformă către o alta sau dreptul de a fi uitat, care presupune că operatorul va şterge datele personale care privesc persoana în cauză, cu excepţia situaţiilor în care prelucrarea este necesară din motive care ţin de exercitarea dreptului la liberă exprimare şi informare, respectarea unei obligaţii legale sau scopuri de arhivare în interes public.
Silvia Axinescu,
avocat Reff şi Asociaţii
