GDPR. Prelucrezi datele personale legal, corect si transparent?
10 minute • Redactia • 08 noiembrie 2017
GDPR – Regulamentul general privind protecția datelor, care se va aplica în România începând cu 25 mai 2018 prevede că încălcarea „principiilor pentru prelucrarea datelor” este sancționată cu amendă de până la 20.000.000 € sau 4% din cifra de afaceri anuală globală.
Așadar, pentru a începe procesul de conformare cu GDPR și a evita sancțiunile, ne-am propus să explicăm cele 6 mari principii GDPR.
GDPR stabilește un set de principii de protecție a datelor pentru a ghida modul în care organizațiile prelucrează datele personale.
Cele șase principii privind protecția datelor se regăsesc în articolul 5 din Regulament:
„Art. 5 Datele cu caracter personal sunt
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”); PRINCIPIUL LEGALITĂȚII, ECHITĂȚII ȘI TRANSPARENȚEI
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerateincompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) („limitări legate de scop”); – PRINCIPIUL PROPORȚIONALITĂȚII (LIMITĂRII SCOPULUI)
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”); PRINCIPIUL MINIMIZĂRII DATELOR
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”); PRINCIPIUL EXACTITĂȚII
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”); – PRINCIPIUL LIMITĂRII
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”). PRINCIPIUL INTEGRITĂȚII ȘI CONFIDENȚIALITĂȚII
În prezentul articol, vom explica primul principiu, respectiv PRINCIPIUL LEGALITĂȚII, ECHITĂȚII ȘI TRANSPARENȚEI.
„Legalitate, echitate și transparență în prelucrarea datelor”
Cele trei componente ale acestui principiu (legalitate, echitate și transparență) sunt, în mod clar, indisolubil legate: persoana vizată trebuie să fi fost informată cu privire la prelucrare, prelucrarea trebuie să fie conform indicațiilor oferite persoanei vizate, iar prelucrarea trebuie să aibă un scop legal.
Echitatea (corectitudinea) presupune că operatorul:
• Este deschis și onest despre identitatea sa;
• obține date în mod legal dintr-o sursă autorizată;
• prelucrează datele doar în modalitățile pe care persoana în cauză le-ar aștepta în mod rezonabil;
• Nu utilizează datele prin metode care ar putea avea, în mod nejustificat, un efect negativ asupra persoanei vizate.
Transparenţă
„Transparența” impune operatorului să spună oamenilor în mod clar și deschis cum (cu excepția cazului în care este evident) intenționează să utilizeze datele cu caracter personal care au fost utilizate.
ICO din Marea Britanie oferă un exemplu relevant de prelucrare corectă și transparentă:
Atunci când o persoană intră într-un contract de telefon mobil, cunoaște scopul prelucrării datelor personale, acestea fiind prelucrate în scopuri de facturare. Acest lucru nu trebuie adus la cunoștința persoanei vizate, întrucât este evident. Cu toate acestea, dacă societatea dorește să utilizeze informațiile pentru alt scop, de exemplu, pentru a permite unei alte companii să facă o ofertă de vacanță, atunci acest lucru trebuie adus la cunoștința persoanei vizate.
Legalitate
Aceasta este o zonă complexă, iar majoritatea organizațiilor au nevoie de sfaturi juridice specifice în ceea ce privește legile în temeiul cărora prelucrează datele. Potrivit principiului, dacă nu există o lege care să îți permită să prelucrezi, atunci prelucrarea este ilegală.
Potrivit art. 6 din GDPR, prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.
Punctul (a) – că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; – înseamnă că persoana vizată și-a dat consimțământul în cunoștință de cauză, ca urmare a informării cu privire la scopurile prelucrării.
Acest lucru este în concordanță cu declarația Regulamentului din considerentul 50, conform căreia: „Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal.”
Modalitatea de obținere legală a consimțământul reprezintă o provocare pentru companii, întrucât legislația este foarte strictă. De exemplu:
„Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. ”
„Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.”
„Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.”
De asemenea, consimțământul este însoțit de dreptul de retragere a consimțământului și de drepturile de a rectifica, bloca și șterge datele. De aceea, pot exista circumstanțe în care organizațiile doresc să identifice baze legale alternative pentru prelucrare, iar acestea sunt enumerate la articolul 6.
Simpla includere a unui link la „termeni și condiții” nu este suficientă. Organizațiile ar trebui să utilizeze acorduri de confidențialitate transparente, clare și accesibile.
Regulamentul prevede în mod explicit că „Principiul transparenței prevede că orice informații care se adresează publicului sau persoanei vizate să fie concise, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj simplu și clar, precum și vizualizare acolo unde este cazul. Aceste informații ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site”
Clauza 4 din articolul 6 aplică cerințe suplimentare pentru a determina dacă datele personale pot fi procesate fără consimțământul persoanei vizate. În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:
„(a) orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;
(b) contextul în care datele cu caracter personal au fost colectate, în special în ceea ce privește relația dintre persoanele vizate și operator;
(c) natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale și infracțiuni, în conformitate cu articolul 10;
(d) posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
(e) existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.”
Deși astfel de măsuri de siguranță pot face prelucrarea mai oneroasă sau mai dificilă, trebuie să iei întotdeauna în considerare un nivel minim de securitate pentru datele cu caracter personal. Deciziile cu privire la acest apect al prelucrării în alt scop ar trebui să se bazeze pe evaluarile impactului asupra protecției datelor(DPIA).
La prelucrarea datelor fără consimțământ, organizația ar trebui să stabilească mai departe considerațiile adecvate prelucrării, inclusiv tipurile de date cu caracter personale implicate, motivele specifice pentru care consimțământul nu a putut fi obținut s.a.m.d.
Marea Britanie ICO oferă următorul exemplu:
Datele personale vor fi obținute corect de către autoritățile fiscale dacă sunt obținute de la un angajator care are obligația legală de a furniza detalii privind salariul unui angajat, indiferent dacă salariatul consimte sau nu este de acord cu acest lucru. În acest caz, datele cu caracter personal au fost obținute fără consimțământul subiectului și fără ca acesta să fie conștient. Cu toate acestea, chiar în lipsa consimțământului, această prelucrare este corectă și legală, deoarece se facilitează plata impozitului.
Demonstrarea faptului că prelucrarea datelor cu caracter personal este corectă, legală și transparentă nu va fi o sarcină ușoară pentru organizații. Cu toate acestea, primul pas în procesul de conformare cu GDPR este să te documentezi cum să descrii cât mai bine operațiunea de prelucrare, astfel încât aceasta să fie transparentă, clară și previzibilă. Dacă prelucrezi datele conform informărilor și nu te abați (și poți dovedi acest lucru, întrucât ai obligația de a păstra înregistrările și probele corespunzătoare) și nu încalci altă cerință a GDPR sau a altei legi, poți avea încredere că prelucrarea ta este corectă, transparentă și legală.