Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date prevede că nu este suficient ca operatorul să implementeze măsurile tehnice și organizatorice care asigură securitatea adecvată a datelor cu caracter personal. Regulamentul prevede obligația operatorului de a demonstra responsabilitatea în implementarea acestor măsuri.
Art. 5 alin. (2) din Regulamentul 679/2016 impune operatorului demonstrarea principiilor prelucrării datelor cu caracter personal.
Art. 5 [Principii legate de prelucrarea datelor cu caracter personal]
(1) Datele cu caracter personal sunt:
a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată (“legalitate, echitate şi transparenţă”);
b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile iniţiale, în conformitate cu articolul 89 alineatul (1) (“limitări legate de scop”);
c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (“reducerea la minimum a datelor”);
d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere (“exactitate”);
e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor şi libertăţilor persoanei vizate (“limitări legate de stocare”);
f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate şi confidenţialitate”).
(2) Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare (“responsabilitate”).
Într-o manieră schematică, o astfel de dispoziție generală urmează doua direcții principale:
(i) necesitatea ca un operator să ia măsuri adecvate și eficiente pentru implementarea principiilor de protecție a datelor cu caracter personal;
(ii) necesitatea de a demonstra, la cerere, măsurile adecvate și eficiente care au fost luate. Astfel, operatorul trebuie să furnizeze dovezi atât despre măsurile efectiv implementate cât și despre eficiența lor.
Astfel WP 173 – Opinion 3/2010 on the principle of accountability prezintă o listă cu exemple de măsuri prin care se poate demonstra responsabilitatea (respectarea principiilor prelucrării).
Grupul de lucru pentru articolul 29 consideră că măsurile comune de responsabilitate pot include următoarea listă neexhaustivă:
- Stabilirea procedurilor interne înainte de crearea unui nou personal operațiuni de prelucrare a datelor (revizuire internă, evaluare etc.);
- Stabilirea politicilor scrise și obligatorii de protecție a datelor (de exemplu, conformitatea cu datele calitate, notificare, principii de securitate, acces etc.), care trebuie să fie disponibile pentru persoanele vizate;
- Cartografierea procedurilor pentru a asigura identificarea corectă a tuturor prelucrărilor de date operațiuni și menținerea unui inventar al operațiunilor de prelucrare a datelor;
- Numirea unui responsabil cu protecția datelor;
- Oferirea de protecție adecvată a datelor, instruirea și educația membrilor personalului. Aceasta ar trebui să includă persoanele care prelucrează (sau răspund) pentru datele cu caracter personal (cum ar fi directorii de resurse umane, dar și managerii IT, dezvoltatorii, directorii unităților de afaceri). Se impune alocarea de resurse suficiente pentru gestionarea confidențialității etc.
- Stabilirea procedurilor pentru gestionarea cererilor de acces, corectare și ștergere care trebuie să asigure transparență pentru persoanele vizate;
- Stabilirea unui mecanism intern de tratare a reclamațiilor;
- Stabilirea procedurilor interne pentru gestionarea și raportarea eficientă a breșelor de securitate;
- Efectuarea evaluărilor impactului asupra confidențialității în circumstanțe specifice;
- Implementarea și supravegherea procedurilor de verificare pentru a se asigura că toate măsurile există nu doar pe hârtie, ci sunt implementate și funcționează în practică (audituri interne sau externe etc.).
Mai mult, art. 32 alin. (2) din Regulamentul 679/2016 prevede obligativitatea unui proces de testare, apreciere și evaluare periodică a măsurilor tehnice și administrative.
Art. 32: Securitatea prelucrării
(2)La evaluarea nivelului adecvat de securitate, se ţine seamă în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
În concluzie, operatorul trebuie să privească protecția datelor cu caracter personal ca fiind un proces continuu ce impune o diligență sporită din partea acestuia de a asigura eficiența măsurilor implementate.
Avocat Catălina Nichita
