În mai puțin de 10 zile, în data de 25 mai, Regulamentul UE 2016/679 al Parlamentului European și al Consiliului, noul Regulament general privind protecția datelor al Uniunii Europene („RGPD” sau „GDPR”) intră în vigoare. Acesta reglementează prelucrarea de către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.
Date cu caracter personal
Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane constituie și ele date cu caracter personal.
Exemple de date cu caracter personal: un nume și prenume; o adresă de domiciliu; o adresă de e-mail, cum ar fi [email protected]; un număr de act de identitate; date privind locația (de exemplu, funcția de date privind locația disponibilă pe un telefon mobil); o adresă de protocol de internet (IP); un identificator de modul cookie; identificatorul de publicitate al telefonului dvs.; date deținute de către un spital sau un medic, care ar putea fi un simbol ce identifică în mod unic o persoană.
Prelucrarea datelor
Tipul și cantitatea de date cu caracter personal pe care societatea/organizația are dreptul să le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic în cauză) și de scopul în care sunt prelucrare.
Măsuri tehnice și organizatorice
Conform art. 32 din RGPD și având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.
Principiul responsabilității reprezintă o piatră de temelie a Regulamentului general privind protecția datelor. Potrivit RGPD, o societate/organizație are responsabilitatea de a respecta toate principiile privind protecția datelor, precum și de a demonstra această respectare. RGPD pune la dispoziția societăților/organizațiilor un set de instrumente care să le ajute să demonstreze responsabilitatea, unele dintre acestea fiind obligatorii.
De exemplu, în anumite cazuri poate fi obligatorie numirea unui responsabil cu protecția datelor (RPD) sau efectuarea unor evaluări a impactului asupra protecției datelor (EIPD). Operatorii de date pot alege să utilizeze alte instrumente, cum ar fi coduri de conduită și mecanisme de certificare, pentru a demonstra conformitatea cu principiile de protecție a datelor.
De asemenea, pentru a fi în măsură să demonstreze conformitatea cu RGPD, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor.
Pentru informații suplimentare: RGPD