Treceți la conținutul principal

Principii privind confidențialitatea prelucrării datelor personale


Principii privind confidențialitatea prelucrării datelor personale

  1. Cu excepția situațiilor în care legea (în sensul sau larg) dă dreptul la prelucrarea datelor personale în lipsa consimțământului prelucrarea datelor trebuie realizata pe baza consimțământului provenit de la persoana vizată (persoana ale cărei date sunt prelucrate).

Consimțământul persoanei vizate trebuie sa fie:

  • Liber, informat și specific,
  • Precedat de informarea asupra drepturilor pe care persoana vizată le are privind prelucrarea datelor,
  • Precedat de informare completa asupra prelucrărilor,
  • Precedat de explicarea consecințelor consimțământului sau ale refuzului/retragerii consimțământului,
  • dat pe baza unor posibilități de opțiune asupra modului cum datele vor fi prelucrate,
  • Însoțit de posibilitatea de a retrage consimțământul, facil și fără costuri,
  • În cazul minorilor, însoțit de consimțământul celui care exercita autoritatea părintească.

2. Prelucrarea trebuie sa fie justificată de un scop legitim, specificat.

În acest scop operatorul de date personale trebuie să se asigure că:

  • A identificat corect pentru fiecare categorie de date normele aplicabile și scopurile legitime ale prelucrării, corespunzător,
  • A informat persoana vizată asupra scopului prelucrării înaintea colectării datelor sau unui nou tip de prelucrare,
  • A explicat scopul prelucrării într-un limbaj clar, adaptat circumstanțelor,
  • Dacă e vorba de prelucrarea datelor speciale, sa ofere explicații suplimentare privind necesitatea prelucrării.

3. Limitarea colectării

Datele personale trebuie colectate numai în măsura în care sunt necesare realizării scopului (legitim) care a fost declarat.
Operatorii de date personale trebuie să analizeze care sunt datele care sunt efectiv necesare pentru realizarea scopului și sa limiteze colectarea de date la acestea.

4. Minimizarea cantității de date prelucrate

Acest principiu completează pe cel anterior. Nu numai colectarea dar și prelucrările ulterioare trebuie sa se limiteze la ceea ce este necesar scopului.

Astfel

  • Trebuie menținut la minim numărul celor care au acces la date, pe baza principiului "need to know", anume numai cei care au imperativ nevoie de aceste date pentru realizarea obiectivelor trebuie sa aibă acces,
  • De oricâte ori este posibil, interacțiunile și tranzacțiile cu date trebuie făcute astfel încât sa nu refere la o persoana identificabilă,
  • Trebuie redusă posibilitatea de a se putea stabili un model de comportament privind o anume persoană, precum și trebuie redusa posibilitatea de se stabili relații între datele prelucrate,
  • Datele trebuie șterse de câte ori nu mai sunt necesare scopului, cu excepția situației când exista o obligație legala a se proceda altfel.

5. Limitarea utilizării, păstrării și dezvăluiri datelor personale

Acestea trebuie limitate la scopul specific, legitim și explicit al prelucrării asa cum a fost acesta asumat fata de persoana vizată.

Aceasta implica și:

  • Ștergerea datelor sau anonimizarea lor după ce datele nu mai sunt necesare scopului,
  • Arhivarea și securizarea datelor fata de alte prelucrări dacă scopul prelucrării a fost realizat dar păstrarea datelor este impusa de norme legale.

6. Acuratețea

Acest principiul descrie necesitatea ca datele sa fie corecte, complete, la zi, adecvate și relevante pentru scopul prelucrării.

Aceasta presupune și:

  • Verificarea datelor care sunt obținute din alte surse decât de la persoana vizata,
  • Atunci când este cazul, verificarea, prin mijloace adecvate, a solicitărilor făcute de persoana vizată privind modificarea datelor, în sensul ca cererea este într-adevăr făcută de către persoana vizată sau de o persoană autorizata de către aceasta,
  • Instituirea de mecanisme de control periodic care sa sigure corectitudinea datelor.
7. Transparenta și informarea

Prin aceasta se asigură că:

  • Persoana vizată a primit informații clare și ușor accesibile asupra politicilor, procedurilor și practicilor operatorului privind prelucrarea datelor personale,
  • Persoana vizată a fost notificată asupra faptului ca datele personale vor fi prelucrate, asupra scopului prelucrării, categoriile de persoane către care aceste date vor fi dezvăluite, asupra identității operatorului de date precum și asupra modului cum acesta poate fi contactat,
  • Persoana vizată a fost informată asupra opțiunilor și mijloacelor prin care aceasta poate limita prelucrarea datelor, precum și pentru exercitarea dreptului de acces, rectificare și ștergere a datelor,
  • Persoana vizată a fost informată a asupra modificărilor intervenite în modul de prelucrare a datelor,
  • In cazul în care prelucrarea datelor implica luarea unei decizii cu impact asupra drepturilor și intereselor persoanei vizate, trebuie oferite detalii privind logica acestui proces de decizie,
  • Obligațiile contractuale cu impact în prelucrarea datelor personale trebuie făcute cunoscute, în măsura în care nu au fost declarate de părți confidențiale.

Nivelul de detaliu al informării trebuie sa tina seama de :

  • Specificarea categoriilor de date necesare pentru un anumit scop,
  • Specificarea scopului pentru colectarea de date,
  • Specificarea procesării (colectare, comunicare, păstrare),
  • Categoriile de persoane fizicecare vor avea acces la date și către cine acestea vor fi dezvăluite,
  • Specificarea termenului de păstrare precum și precizări privind Ștergerea datelor.
8. Accesul

Prin aceasta se asigură exercitarea dreptului la acces de către persoana vizată prin oferirea de mijloace prin care aceasta poate să acceseze și sa revizuiască datele pe baza unei proceduri adecvate de identificare a persoanei vizate, cu excepția situațiilor când un astfel de acces este interzis prin lege. Aceasta presupune că:

  • persoana vizată sa poată verificata dacă datele sunt corecte și complete și sa poată obține completarea, modificarea, rectificarea sau Ștergerea lor în măsura în care aceasta este posibil în context,
  • Operatorul trebuie sa asigure completarea, modificarea, rectificarea sau ștergerea și de către persoanele împuternicite sau  de către terți față de care a dezvăluit datele,
  • Operatorul trebuie să asigure proceduri care sa facă posibile cele de mai sus într-un mod simplu, rapid și eficient, fără întârziere si fară costuri.
În realizarea acestora operatorul trebuie sa se asigure ca persoana vizată are acces numai la datele sale personale. Dacă o cerere nu a putut fi soluționată conform solicitării persoanei vizate, trebuie înregistrata solicitarea precum și motivele pentru care acea cerere nu a putut fi soluționată în conformitate cu cererea. Dacă este potrivit circumstanțelor trebuie informați în consecință și cei fata d e are datele personale au fost dezvăluite.

9. Responsabilitatea

Acest principiu se traduce prin:

  • Documentarea și comunicarea tuturor politicilor, procedurilor și practicilor privind prelucrarea datelor personale.
  • Desemnarea unei persoane responsabile de implementarea acestor politici, proceduri și practici,
  • Atunci când datele sunt transferate către persoane terțe asigurarea ca acestea au un nivel echivalent de protecție a datelor personale,
  • Instruirea personalului implicat în prelucrarea de date personale,
  • Instituirea de proceduri eficiente de răspuns la cererile persoanelor vizate,
  • Informarea persoanelor vizate de spre bresle de securitate care le pot afecta în mos emnificativ drepturile și interesele, precum și asupra masurilor luate,
  • Informarea autorităților, precum și a altor persoane implicate privind bresle de securitate precum și asupra masurilor luate,
  • Oferirea de măsuri reparatorii pentru persoanele vizate, începând cu recuperarea datelor, rectificarea datelor sau ștergerea lor, în funcție de circumstanțe,
  • Oferirea de compensații persoanelor vizate în măsura în care măsurile reparatorii nu sunt satisfăcătoare.

10. Securitatea informațiilor

Aderarea la acest principiu înseamnă:

  • Protejarea datelor prin chei de control stabilite la nivel operațional, funcțional și strategic, pentru a asigura integritatea, confidențialitatea și disponibilitatea datelor personale, fata de riscurile de acces neautorizat, distrugere, utilizare, modificare, dezvăluire sau pierdere pe întreg ciclul de viata al acestora,
  • Alegerea unor persoane împuternicite care oferă suficiente garanții organizaționale, fizice și tehnice pentru atingerea obiectivului de mai sus,
  • Aceste măsuri trebuie fundamentate de cerințe legale, standarde, rezultate ale unor evaluări de risc, precum și pe baza unei evaluări cost/beneficii,
  • Implementarea acestor măsuri proporțional cu gravitatea consecințelor, tipul de date (date sensibile), numărul de persoane ce ar putea fi afectate,
  • Limitarea accesului,
  • Rezolvarea vulnerabilitatilor descoperite,
  • Revizuirea periodica a măsurilor luate pe baza unor analiza de risc actualizate.

11. Demonstrarea conformității

Aceasta înseamnă:

  • Demonstrarea ca măsurile privind confidențialitatea corespund cerințelor de protecția a datelor și asigurare a confidențialității pe baza auditului periodic,
  • Măsuri de control intern și mecanisme de control independent implementate care asigura respectarea regulilor de protecția a datelor, confidențialitatea datelor precum și respectarea politicilor și procedurilor asumate,
  • Dezvoltarea și menținerea unor evaluări de risc pentru a asigura ca inițiativele cu impact în de meniul datelor personale respecta regulile în domeniu.
Cooperarea cu autoritățile în domeniul protecției datelor face parte respectarea regulilor privind respectarea  confidențialității și este un argument important că operatorul de date se conformează acestor reguli.








Etichete

Etichete:

Comentarii

Trimiteți un comentariu

Postări populare de pe acest blog

Big Mac... dar nu cu carne de pui

 Ținând seama de notorietatea mărcii este interesant cazul  T-58/23 soluționat recent de instanțele europene, după parcurgerea tuturor etapelor de jurisdicție. O companie irlandeză    Supermac’s, a cerut înregistrarea mărcii Big Mac inclusiv pentru produse de tip hamburger. Cum e ușor de presupus,  McDonald’s International Property Company, Ltd., deținătorul mărcii Big Mac, s-a opus la această cerere. În final, însă, instanțele europene au reținut că opoziția nu este întemeiată în ce privește produsele conținând carne de pui, pentru că, deținătorul mărcii nu a făcut dovada că ar fi utilizat această marcă pentru produse din carne de pui. Iată că până și o marcă extrem de cunoscută precum Big Mac trebuie să treacă testul utilizării efective pentru a putea fi invocată protecția legală. 
Trimiteți un comentariu
Citiți mai multe

Studiu de caz: GDPR si acuzele aduse d-lui Simion și AUR

  Legat de campania cu casele la preț abordabil făcute de partidul AUR, campanie în care se folosește intensiv imaginea d-lui George Simion, liderul partidului, au apărut din cei care acuză că această campanie ar avea aspecte ilegale din punct de vedere al GDPR. Ne place sau nu ne place legislația din România, ne place sau nu ne place partidul AUR (sau liderul acestuia), trebuie să fim atenți la ce spun textele legale. Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)  a fost făcute de politicieni astfel încât să fie permisivă cu partidele politice raportat la prelucrarea datelor.  „Art. 9. -   (1) În vederea asigurării proporţionalităţii ...
Trimiteți un comentariu
Citiți mai multe

Convocare cercetare disciplinară- model

Antet                                                                                                             Nr.______/__________________ Către, Salariat Adresa: ______________________             Prin prezenta va informam ca sunteti convocat la ________________, situat în _________________ , în data de   __________ , ora   _____ în vederea efectuării cerce...
Trimiteți un comentariu
Citiți mai multe