Date personale. Responsabilități în procesare

Importanța conformării la cerințele privind protecția datelor cu caracter personal nu a fost niciodată mai evidentă ca astăzi. La un an după dezvăluirea inițiativei de reformare a legislației UE privind protecția datelor cu caracter personal, subiectul constituie în continuare obiectul unor dezbateri intense. Aparent, ajungerea la un acord nu va fi ușoară.

“Uniunea Europeană are nevoie de uniformizarea și modernizarea legislației privind protecția datelor personale pentru a asigura încrederea și creșterea economică în cadrul pieței unice digitale”, a declarat la începutul acestui an comisarul european pentru justiție Viviane Reding, exprimându-și speranța că acest obiectiv va fi atins până anul viitor, de ziua europeană a protecției datelor personale[1] (n.n. 28 ianuarie).

Printre obiectivele-cheie se numără acela de a oferi persoanelor mai mult control asupra informațiilor private utilizate în mediul online, dar și combaterea altor probleme care iau din ce în ce mai mult amploare, cum ar fi furtul identității.

Multe dintre companiile de pe piața locală nu conștientizează responsabilitatea pe care și-o asumă prin colectarea, stocarea, procesarea și distrugerea datelor cu caracter personal, ceea ce le poate expune mai multor riscuri, începând cu amenzi consistente aplicate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), acțiuni în instanță din partea clienților nemulțumiți sau angajați, și terminând cu deteriorarea reputației pe termen lung.

Unul din cazurile notabile din România este acela în care Primăria sectorului 1 a fost condamnată la plata sumei de 10.000 Euro cu titlu de daune morale[2] unei persoane fizice ale cărei date personale au fost publicate pe site-ul instituției.

În timp ce labirintul protecției datelor cu caracter personal se poate dovedi foarte complex (motiv pentru care sunt necesare întotdeauna recomandările unui specialist), există unele măsuri aplicabile tuturor categoriilor de instituții publice sau private, mici sau mari, de la comercianții cu amănuntul și până la call-center-uri sau companii farmaceutice, prin care să poată fi evaluată conformitatea cu prevederile legale aplicabile, dar și descoperirea viciilor care afectează procesul de conformare.

Pentru început – când este necesară notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)?

În principiu, dacă instituția procesează orice informație referitoare la persoane în viață și poate decide în privința informațiilor care sunt stocate, atunci probabil că instituția este un operator de date cu caracter personal, fapt pentru care legislația în vigoare impune notificarea ANSPDCP.

Presupunând că instituția a notificat deja ANSPDCP, este important să luați în considerare câțiva factori, inclusiv:

  • Persoanele (denumite în general „Persoane Vizate”) de la care sunt colectate date sunt informate în privința activității de colectare a datelor?
  • Li s-au explicat acestor persoane scopurile în care le sunt procesate datele?
  • Toate informațiile colectate sunt relevante scopului pentru care sunt procesate?

Citim adesea despre instituții publice sau private naționale sau internaționale care pierd datele clienților. Legea română prevede că este responsabilitatea operatorului să asigure protecția datelor, iar în caz de eșec prevăzând aplicarea de amenzi, ceea ce nu exclude și acordarea unor despăgubiri persoanelor vizate.

Printre măsurile pe care orice întreprindere, indiferent de statutul pe care îl are pe piață, ar trebui să le ia în vedere pentru asigurarea unei protecții mai sigure pentru datele personale, sunt incluse:

  • Utilizarea unor paravane de protecție securizate (firewall-uri) și a unor programe de criptare pentru toate dispozitivele electronice care conțin datele clienților și angajaților;
  • Dublarea datelor deținute și stocarea lor în medii sigure. Această măsură nu se conformează doar cerințelor legale, dar este utilă și bunei gestionări a activității companiei. Fie că informația este stocată pe suport electronic sau tipărit, este important să existe un duplicat al datelor colectate de la fiecare Persoană Vizată;
  • În plus, față de stocarea datelor unei persoane, operatorii sunt responsabili și în ceea ce privește eliberarea informațiilor, la cerere, în timp util. Operatorii sunt obligați, pe de o parte, să se asigure că toate fișierele clienților sunt actualizate și, pe de altă parte, să adopte proceduri interne pentru tratarea imediată a solicitărilor Persoanelor Vizate privind accesul la propriile date operate.

De asemenea, distrugerea securizată a datelor personale este la fel de importantă ca procesarea și colectarea informațiilor. Din momentul în care datele nu mai servesc scopului pentru care au fost colectate, de exemplu la împlinirea termenului convenit după executarea obligațiilor dintr-un contract, operatorul este obligat să distrugă datele într-un mod sigur.

Punerea în aplicare a prevederilor legale privind protecția datelor cu caracter personal este din ce în ce mai strictă, având în vedere și practica recentă a instanțelor care se pronunță în favoarea celor ale căror drepturi au fost încălcate.

Sfătuim întreprinzătorii să-și evalueze politicile și procedurile referitoare la protecția datelor cu caracter personal acum, dacă doresc să evite amenzi, plata de daune și cheltuielile de judecată în viitor.


[1] http://ec.europa.eu

[2] http://www.juridice.ro/100724/judecatoria-sectorului-1-daune-morale-pentru-publicarea-pe-internet-a-datelor-personale.html

Articole asemănătoare

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *