Avocat Dr. Constantin Neacșu –
Baroul București
Tel.: 0744244852
Acest lucru poate fi interpretat și în sensul în care toate contractele semnate ulterior datei de 25 mai 2018, atât cele de muncă precum și cele cu partenerii comerciali, vor trebui să cuprindă paragrafe referitoare strict la prelucrarea datelor cu caracter personal.
Societățile sunt astfel obligate să revizuiască mecanismele de informare a persoanelor vizate și de obținere a consimțământului acestora pentru a se asigura că, astfel cum au fost implementate, acestea sunt valabile inclusiv pe terenul noii reglementări (incluzând, dar fără a ne rezuma la revizuirea politicilor de confidențialitate, a contractelor cu angajații implicați în activitățile de prelucrare, cu eventualii parteneri comerciali, persoane împuternicite sau la revizuirea eficacității sistemelor I.T. și de securitate).
Necesitatea de revizuire a contractelor poate să evidențieze probleme severe în derularea raporturilor contractuale.
Noutatea pe care o impune G.D.P.R. constă în faptul că obligă părțile să includă o serie de prevederi importante, care ar trebui menționate în contractele semnate:
• operațiunea de prelucrare vizată și durata prelucrării;
• natura și scopul prelucrării;
• categoriile de date personale care vor fi implicate și tipurile de persoane vizate implicate;
• drepturile și obligațiile operatorului;
• asigurarea că cei care prelucrează datele au inserate în contractele lor de muncă prevederi specifice privind clauze de confidențialitate;
• luarea măsurilor necesare pentru a asigura securitatea prelucrării;
• asistența mutuală în îndeplinirea obligațiilor referitoare la securitatea prelucrărilor, notificarea incidentelor de securitate și realizarea evaluărilor de impact asupra protecției datelor.
Acestea, cu atât mai mult cu cât – în sensul Regulamentului – se pune accentul pe consimțământul explicit, tradus printr-o acțiune neechivocă din partea persoanei ale cărei date cu caracter personal urmează a fi prelucrate. Această acțiune poate consta într-o declarație scrisă (semnarea acestei declarații de către persoana vizată nu este obligatorie, dar va constitui o dovadă în plus) sau orice altă acțiune fără echivoc: completarea unui formular electronic, bifarea unei casete, trimiterea unui e-mail, transmiterea unui document scanat și semnat de persoana vizată prin e-mail sau fax, încărcarea pe platforma operatorului a declarației purtând semnătura electronică a persoanei vizate etc.
În scopul asigurării confidențialității și a securității datelor cu caracter personal prelucrate, orice societate va trebui să implementeze măsuri tehnice precum:
• revizuirea completă a politicilor și procedurilor, inclusiv modul în care este gestionată și monitorizată respectarea legislației;
• pseudonimizarea și criptarea datelor;
• securizarea fișierelor și a documentelor care conțin date personale prin parole de acces;
• instalarea unor sisteme antivirus pe dispozitivele electronice;
• instalarea unor sisteme de alarmă în locațiile unde sunt stocate date cu caracter personal;
• utilizarea unor servere centralizate;
• montarea unor elemente de protecție mecano-fizice, respectiv seifuri, dulapuri metalice, uși și încuietori;
• păstrarea arhivelor fizice care conțin date cu caracter personal în condiții de siguranță, cu acces limitat pe bază de cheie/ parolă;
• efectuarea periodică a unor back-up-uri.
Astfel, orice persoană trebuie să conștientizeze că datele sale personale sunt proprietatea sa, că nu se face abuz de ele, să știe că toate firmele sau autoritățile care i le solicită trebuie să aibă acordul său explicit pentru a le folosi, că trebuie să îl informeze într-un limbaj clar și pe înțelesul său în ce scop le vor stoca sau prelucra și pe ce perioadă, că perioada trebuie să fie rezonabilă față de scopul acestei prelucrări și că după îndeplinirea contractului – după trecerea perioadei menționate sau la simpla sa cerere – datele sale trebuie șterse.
