Sari direct la conținut

Datele personale: Cine si cum ar trebui sa ne protejeze identitatea in economia digitala

Reff & Asociații
Silvia Axinescu, Foto: Reff & Asociații
Silvia Axinescu, Foto: Reff & Asociații

Zilele trecute, citeam ca un om de afaceri suedez a fost declarat falimentar dupa ce un hacker i-a furat identitatea, a luat un credit in numele lui si ulterior a depus o cerere de faliment. Este un caz ilustrativ pentru riscurile tot mai mari pe care le au atat persoanele private, cat si operatorii de date intr-o lume si o economie tot mai digitalizate.

Exemplul este cu atat mai semnificativ cu cat intamplarea a avut loc in Suedia, tara in care tranzactiile si interactiunea cu autoritatile se realizeaza mai ales electronic. Evident ca incidente si fraude vor aparea mereu, dar in aceeasi masura creste preocuparea pentru protectia datelor personale atat din partea autoritatilor, cat si a companiilor si a persoanelor fizice.

Uniunea Europeana a adus, in acest sens, modificari prin noul regulament UE (679/2016) privind protectia acestor date (GDPR – General Data Protection Regulation) care va fi obligatoriu de la 25 mai 2018. Chiar daca termenul pare generos, in practica s-ar putea dovedi insuficient deoarece complexitatea regulamentului necesita o perioada consistenta pentru analiza si implementare.

Mai jos, voi analiza cateva dintre aspectele relevante ale acestui nou regulament pentru societatile care folosesc date personale in activitatea lor. Le-am selectat si le-am detaliat pe acestea pentru a constientiza atat impactul prevederilor pentru organizatii, cat si importanta preventiei.

Intrebarile pe care trebuie sa si le puna companiile

Un prim pas este analiza activitatii de prelucrare a datelor cu caracter personal. Companiile ar trebui sa isi faca o auto-evaluare a conformarii cu regulamentul, o radiografie a tuturor activitatilor de prelucrare de date personale la nivelul societatii si sa raspunda totodata la urmatoarele intrebari:

  • Care sunt categoriile de date cu caracter personal prelucrate de catre societate?
  • Pentru ce scopuri si in ce context se folosesc aceste date?
  • Sunt aceste date cu caracter personal transferate si daca da, catre ce state?
  • Prelucrarea si/sau transferul datelor respecta principiile si regulile impuse de Regulament?
  • Are societatea implementat un sistem de notificare/informare a persoanelor vizate, precum si de preluare a consimtamantului acestora?
  • Exista proceduri la nivelul societatii pentru cazurile in care securitatea datelor cu caracter personal ar fi compromisa?
  • Este societatea in situatia in care trebuie sa numeasca un responsabil cu protectia datelor?
  • Care este mediul ITC utilizat de organizatie pentru prelucrarea datelor cu caracter personal?
  • Care sunt masurile tehnice si organizatorice luate deja de organizatie pentru a respecta cerintele de confidentialitate, e.g. documentatie de confidentialitate, politici, ghiduri, declaratii de confidentialitate, clauze contractuale, masuri luate cu privire la transferul international de date etc?

Auto-evaluarea da o viziune clara asupra gradului de respectare a confidentialitatii si protectiei datelor cu caracter personal in cadrul societatii. Apoi, poate fi utilizata pentru a stabili pasii care trebuie urmati pentru a deveni conforma din perspectiva confidentialitatii.

Scopul nu este identificarea in detaliu a tuturor fluxurilor de date si a riscurilor de confidentialitate din cadrul organizatiei, ci, mai degraba, de a avea o imagine generala a proceselor de business care implica date cu caracter personal si a zonelor unde trebuie luate masuri.

Conditiile in care prelucrarea datelor este legala

Dupa auto-evaluare, societatile trec la implementarea masurilor pentru asigurarea conformitatii cu prevederile Regulamentului.

Este o etapa care presupune masuri organizatorice (de exemplu, prin crearea cadrului pentru functionarea responsabilului cu protectia datelor sau prin implementarea procedurilor in cazul in care securitatea datelor cu caracter personal ar fi compromisa) si tehnice.

Un alt aspect esential al noului Regulament este temeiul legal al prelucrarii datelor. Astfel, doar daca este indeplinita una dintre urmatoarele conditii, prelucrarea este legala:

  • persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; 
  • prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract; 
  • prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului; 
  • prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; 
  • prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul; 
  • prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, mai ales atunci cand persoana vizata este un copil. 

Totusi, consimtamantul este doar una dinte conditiile de legalitate a prelucrarii si trebuie sa aiba: forma accesibila si inteligibila, limbaj clar si simplu, actiune concreta si sa fie acordat in cunostinta de cauza, cu informare prealabila. Daca societatea s-a bazat pe consimtamant, iar acesta este invalidat (spre exemplu, acesta este viciat sau retras), este discutabil daca poate sa se bazeze ulterior pe un alt temei legal de prelucrare (spre exemplu, interesul legitim).

In cazul in care consimtamantul a fost obtinut anterior, el ramane valabil daca este in conformitate cu noul Regulament. Totusi, chiar si intr-o asemenea situatie, trebuie analizat daca este necesara o revenire catre persoana vizata, in scopul completarii informarii acesteia, intrucat continutul obligatiei de informare este extins in viziunea Regulamentului.

Mai multe drepturi si control mai mare pentru persoanele fizice

Totodata, Regulamentul aduce persoanelor fizice un control mai mare cu privire la datele lor cu caracter personal si noi drepturi care pot fi exercitate fata de operatori, in incercarea de echilibrare a raportului de pozitie dintre acestia.

Printre aceste noi drepturi, se numara dreptul la portabilitate, care permite practic persoanelor vizate sa mute, copieze, transmita datele lor dintr-o platforma catre o alta sau dreptul de a fi uitat, care presupune ca operatorul va sterge datele personale care privesc persoana in cauza, cu exceptia situatiilor in care prelucrarea este necesara din motive care tin de exercitarea dreptului la libera exprimare si informare, respectarea unei obligatii legale sau scopuri de arhivare in interes public.

Un articol semnat de Silvia Axinescu, avocat Reff si Asociatii

ARHIVĂ COMENTARII