În ultimul articol din seria despre GDPR am discutat despre noile drepturi ale cetățenilor europeni. Însă la fel de importante sunt și obligațiile operatorilor de date personale din Europa. Dacă te numeri printre operatorii vizați de regulile GDPR, este important să știi ce schimbări va aduce aplicarea Regulamentului în România.
Obligațiile operatorilor de date personale
Obligația privind transparența
Operatorii de date personale vor fi obligați să asigure transparența procesului de prelucrare a datelor. Asta înseamnă în primul rând că operatorii vor arăta în ce scop și în ce temei prelucrează date cu caracter personal.
Însă operatorii vor fi obligați să recunoască și ce tipuri date cu caracter personal prelucrează și să dezvăluie către cine divulgă datele respective, dacă este cazul.
Responsabilizarea operatorilor de date
Atunci când prelucrarea datelor personale presupune riscuri considerabile pentru viața privată a persoanelor vizate, datele sunt considerate sensibile.
În astfel de situații, operatorii au obligația să realizeze un studiu de impact. Rolul studiului este să identifice mai întâi riscurile specifice și apoi soluțiile posibile. Astfel se va împiedica producerea unor situații nedorite.
Printre obligațiile operatorilor de date personale se numără și obligația de a realiza o analiză de necesitate în cazul datelor sensibile. Asta înseamnă că înainte de a solicita date sensibile, operatorul trebuie să verifice cât de necesare sunt cu adevărat acele date. Firește, analiza de necesitate trebuie să aibă în vedere scopul urmărit prin prelucrarea datelor.
În cazul în care prelucrarea datelor sensibile nu poate fi evitată, operatorul trebuie să fie pregătit pentru riscurile ce pot apărea. Spre exemplu, operatorul trebuie să se asigure că datele sensibile nu vor fi dezvăluite în mod neautorizat, accidental sau ilicit către terți. Așadar operatorul nu se va limita să protejeze datele doar la nivel de principiu. Operatorul va trebui să ia măsuri tehnice concrete (proceduri interne) în acest scop.
Cu alte cuvinte, operatorul este obligat să se asigure că procesarea datelor cu caracter personal nu aduce atingere vieții private a persoanei în cauză.
Proceduri specifice referitoare la minori
Regulamentul stabliește reguli specifice privind viața privată a minorilor, mai ales privind activitatea lor în mediul online.
Prelucrarea datelor personale va fi permisă numai în cazul minorilor care au împlinit vârsta de 16 ani. Iar pentru minorii cu vârsta sub acest prag, va fi necesar consimțământul adultului. Este vorba despre consimțământul persoanei care are răspunderea părintească (poate fi vorba despre părintele copilului sau despre tutore).
Responsabilul pentru protecția datelor
Printre acțiunile pe care trebuie să le întreprindă operatorii de date personale se numără și numirea, obligatorie (în cazul companiilor mari, de exemplu) sau recomandată (în cazul companiilor mici, care nu procesează date sensibile), a unei persoane responsabile cu protecția datelor. Rolul DPO-ului (Data Proection Officer) este să ofere consultanță privind respectarea regulilor GDPR. În plus, DPO-ul se asigură că procedurile privind prelucrarea datelor personale se desfășoară în condiții de transparență.
Privacy by Design & Privacy by Default
Privacy by design se referă la dezvoltatorii de aplicații. Dacă aplicațiile aflate în curs de dezvoltare urmează să prelucreze în viitor date personale, proiectarea lor trebuie să țină cont de regulile GDPR.
Privacy by default se referă la furnizorii de aplicații. Setările inițiale ale aplicațiilor care prelucrează date cu caracter personal trebuie să le permită utilizatorilor un anumit grad de control. Aceștia trebuie să decidă singuri ce postează și ce informații împărtășesc cu ceillați utilizatori.
Astfel, utilizatorii sunt liberi să împărtășească mai multe informații decât li se solicită prin setările inițiale însă această alegere trebuie făcută în mod liber și în cunoștință de cauză. Utilizatorii nu trebuie să fie obligați să dezvăluie informații în plus doar ca să poată începe să folosească aplicația.
Proximitatea față de persoana vizată
Când operatorul se află într-un alt stat decât cel în care se află persoana vizată, autoritatea de supraveghere din statul persoanei vizate va funcționa ca punct de contact (numit și interlocutor).
Dacă prelucrarea datelor privește persoane din mai multe state membre UE, fiecare persoană se va putea adresa autorității de supraveghere din țara sa de domiciliu sau de reședință.
One Stop Shop
One Stop Shop reprezintă posibilitatea operatorilor care desfășoară activități în mai multe state europene de a opta pentru un interlocutor unic la nivelul UE.
Asta înseamnă că operatorii internaționali vor putea să trateze cu o singură autoritate de supraveghere – și anume, cea din statul membru în care se află sediul principal al operatorului.
Cooperarea consolidată a autorităților de supraveghere
În cazul prelucrării de date transnaționale (date privind persoane din mai multe state UE), autoritățile de supraveghere din statele respective vor coopera.
Scopul comun al tuturor autorităților existente la nivelul UE este respectărea dreptului la viață privată al tuturor cetățenilor europeni.
Transferul datelor în afara UE
Dacă operatorii transferă date în afara UE, obligațiile lor privind protecția datelor cu caracter rămân aceleași.
În cazul în care Comisia nu a decis că țara de destinație a transferului oferă un nivel de protecție adecvat, operatorul are câteva obligații în plus.
Astfel, operatorul va lua măsuri menite să compenseze lipsa protecției adecvate, cum ar fi:
- acorduri administrative cu autoritățile statului terț,
- reguli corporatiste obligatorii,
- clauze standard de protecție a datelor,
- coduri speciale de conduită,
- clauze contractuale între operator sau împuternicitul acestuia și destinatarul datelor.
Acestea sunt per ansamblu obligațiile operatorilor de date personale prevăzute în Regulamentul UE. În următorul articol vom discuta despre primele măsuri pe care operatorii le pot lua pentru a respecta prevederile GDPR. Află de aici ce pași ar fi bineveniți pentru a te conforma cu noile reguli.
Referinte:
- Comisia Europeană – despre Protecția Datelor cu Caracter Personal
- Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP
- Regulamentul UE 2016/679
Află mai mult despre GDPR
Motive pentru amenzi GDPR
Citește Mai Mult
Măsuri speciale de securitate GDPR
Citește Mai Mult
GDPR – efecte după intrarea în vigoare
Citește Mai Mult
Ce obligații prevede GDPR?
Citește Mai Mult
Ce drepturi prevede GDPR?
Citește Mai Mult
Ți se aplică regulile GDPR?
Citește Mai Mult
Ai auzit de GDPR?
Citește Mai Mult
Ce este și ce nu este o „breșă de securitate”
Citește Mai Mult
Schemă nemțească: plătești 977€/an pentru ceva ce probabil nu-ți trebuie
Citește Mai Mult
Ți se prelucrează ilegal datele personale?
Citește Mai Mult