Zilele trecute, citeam că un om de afaceri suedez a fost declarat falimentar după ce un hacker i-a furat identitatea, a luat un credit în numele lui și ulterior a depus o cerere de faliment. Este un caz ilustrativ pentru riscurile tot mai mari pe care le au atât persoanele private, cât și operatorii de date într-o lume și o economie tot mai digitalizate.
Exemplul este cu atât mai semnificativ cu cât întâmplarea a avut loc în Suedia, țară în care tranzacțiile și interacțiunea cu autoritățile se realizează mai ales electronic. Evident că incidente și fraude vor apărea mereu, dar în aceeași măsură crește preocuparea pentru protecția datelor personale atât din partea autorităților, cât și a companiilor și a persoanelor fizice.
Uniunea Europeană a adus, în acest sens, modificări prin noul regulament UE (679/2016) privind protecția acestor date (GDPR – General Data Protection Regulation) care va fi obligatoriu de la 25 mai 2018. Chiar dacă termenul pare generos, în practică s-ar putea dovedi insuficient deoarece complexitatea regulamentului necesită o perioadă consistentă pentru analiză și implementare.
Mai jos, voi analiza câteva dintre aspectele relevante ale acestui nou regulament pentru societățile care folosesc date personale în activitatea lor. Le-am selectat și le-am detaliat pe acestea pentru a conștientiza atât impactul prevederilor pentru organizații, cât și importanța prevenției.
Întrebările pe care trebuie să și le pună companiile
Un prim pas este analiza activității de prelucrare a datelor cu caracter personal. Companiile ar trebui să își facă o auto-evaluare a conformării cu regulamentul, o radiografie a tuturor activităților de prelucrare de date personale la nivelul societății și să răspundă totodată la următoarele întrebări:
l Care sunt categoriile de date cu caracter personal prelucrate de către societate?
l Pentru ce scopuri și în ce context se folosesc aceste date?
l Sunt aceste date cu caracter personal transferate şi dacă da, către ce state?
l Prelucrarea şi/sau transferul datelor respectă principiile şi regulile impuse de Regulament?
l Are societatea implementat un sistem de notificare/informare a persoanelor vizate, precum şi de preluare a consimțământului acestora?
l Există proceduri la nivelul societății pentru cazurile în care securitatea datelor cu caracter personal ar fi compromisă?
l Este societatea în situația în care trebuie să numească un responsabil cu protecția datelor?
l Care este mediul ITC utilizat de organizație pentru prelucrarea datelor cu caracter personal?
l Care sunt măsurile tehnice și organizatorice luate deja de organizație pentru a respecta cerințele de confidențialitate, e.g. documentație de confidențialitate, politici, ghiduri, declarații de confidențialitate, clauze contractuale, măsuri luate cu privire la transferul internațional de date etc?
Auto-evaluarea dă o viziune clară asupra gradului de respectare a confidențialității și protecției datelor cu caracter personal în cadrul societății. Apoi, poate fi utilizată pentru a stabili pașii care trebuie urmați pentru a deveni conformă din perspectiva confidențialității.
Scopul nu este identificarea în detaliu a tuturor fluxurilor de date și a riscurilor de confidențialitate din cadrul organizației, ci, mai degrabă, de a avea o imagine generală a proceselor de business care implică date cu caracter personal și a zonelor unde trebuie luate măsuri.
Condițiile în care prelucrarea datelor este legală
După auto-evaluare, societățile trec la implementarea măsurilor pentru asigurarea conformității cu prevederile Regulamentului.
Este o etapă care presupune măsuri organizatorice (de exemplu, prin crearea cadrului pentru funcționarea responsabilului cu protecția datelor sau prin implementarea procedurilor în cazul în care securitatea datelor cu caracter personal ar fi compromisă) și tehnice.
Un alt aspect esențial al noului Regulament este temeiul legal al prelucrării datelor. Astfel, doar dacă este îndeplinită una dintre următoarele condiții, prelucrarea este legală:
l persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
l prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
l prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
l prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
l prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
l prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, mai ales atunci când persoana vizată este un copil.
Totuși, consimțământul este doar una dinte condițiile de legalitate a prelucrării și trebuie să aibă: formă accesibilă și inteligibilă, limbaj clar și simplu, acțiune concretă și să fie acordat în cunoștință de cauză, cu informare prealabilă.
Dacă societatea s-a bazat pe consimțământ, iar acesta este invalidat (spre exemplu, acesta este viciat sau retras), este discutabil dacă poate să se bazeze ulterior pe un alt temei legal de prelucrare (spre exemplu, interesul legitim).
În cazul în care consimțământul a fost obținut anterior, el rămâne valabil dacă este în conformitate cu noul Regulament. Totuși, chiar și într-o asemenea situație, trebuie analizat dacă este necesară o revenire către persoana vizată, în scopul completării informării acesteia, întrucât conținutul obligației de informare este extins în viziunea Regulamentului.
Mai multe drepturi și control mai mare pentru persoanele fizice
Totodată, Regulamentul aduce persoanelor fizice un control mai mare cu privire la datele lor cu caracter personal și noi drepturi care pot fi exercitate față de operatori, în încercarea de echilibrare a raportului de poziție dintre aceștia.
Printre aceste noi drepturi, se numără dreptul la portabilitate, care permite practic persoanelor vizate să mute, copieze, transmită datele lor dintr-o platformă către o alta sau dreptul de a fi uitat, care presupune că operatorul va șterge datele personale care privesc persoana în cauză, cu excepția situațiilor în care prelucrarea este necesară din motive care țin de exercitarea dreptului la liberă exprimare și informare, respectarea unei obligații legale sau scopuri de arhivare în interes public.
