Avocat Dr. Constantin Neacșu –
Baroul București
Tel.: 0744244852
„Datele cu caracter personal” sunt definite ca fiind orice informație privind o persoană fizică identificată sau identificabilă – „persoană vizată”. Adică „o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul /mai multe elemente proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.”
Adresele de e-mail din bazele de date pentru newslettere, numele și adresa din formularele de feedback completate de clienți, fotografii de la diferite evenimente organizate de către societate, materiale filmate, înregistrări de programe de loialitate în baza de date a angajaților ( REVISAL) constituie exemple de date cu caracter personal.
O cartografiere completă a acestor date este absolut necesară, fiind foarte important a se stabili pentru fiecare categorie riscul de a întâmpina o breșă de securitate.
La nivel formal, administratorul fiecărei societăți trebuie să se asigure că noile concepte introduse de Regulament sunt corect reflectate raportat la documentele interne care guvernează atribuţiile şi responsabilităţile angajaţilor. Este recomandat să se realizeze un inventar atât al tuturor datelor cu caracter personal pe care societatea le colectează cât și al tuturor fluxurilor de date și al proceselor de prelucrare. În acest sens sunt importante caracteristicile acestor date: ale cui sunt datele, care este scopul și temeiul legal pentru această procesare, unde sunt stocate, măsurile și procedurile de securitate, cine le operează și cine are acces la ele etc.
Din acest punct de vedere, administratorul trebuie să stabilească împreună cu echipa juridică diverse aspecte, cum ar fi:
• inventarierea categoriilor de date prelucrate și a operațiunilor de prelucrare și realizarea evidenței activităților de prelucrare
• asigurarea existenței și folosirii politicilor și procedurilor corecte și adecvate
• verificarea modalității de solicitare a consimțământului privind prelucrarea datelor cu caracter personal
• descoperirea scurgerii de informații sau a potențialelor violări cibernetice în aplicarea procedurilor.
În mod concret, fiecare societate ar trebui să:
– inventarieze informația pe care o deține în așa fel încât să arate un profil coerent al clientului său
– șteargă datele personale pe care nu le folosește și să adune cât mai puține date personale
– stocheze în siguranță datele personale folosite, astfel încât să le poată folosi cu ușurință la cererea utilizatorilor
– revizuiască procedura prin care obține acordul utilizatorilor pentru utilizarea datelor personale
– creeze proceduri pentru a administra eventualele scurgeri de date
– schimbe politica de cookie, termenii și condițiile website-urilor și politica de confidențialitate
– anunțe utilizatorii despre dreptul lor a-și verifica datele personale, de a cere ștergerea sau rectificarea lor.
Această evidență devine cu atât mai importantă cu cât volumul datelor prelucrate este mai mare, deși e mai greu de ținut în lipsa unei soluții performante în acest sens. De aceea, apelarea la un avocat și numirea unui resposabil de protecția datelor în cadrul companiei sunt nu doar binevenite, ci și obligatorii în anumite cazuri.
Mai ales că amenzile pentru încălcarea principiilor de bază privind prelucrarea datelor ajung până la 4% din cifra de afaceri.
