Implementarea GDPR by Cătălina Lungu

Updated: Feb 25


Principii prelucrare date personale și rolul auditului preliminar










Articolul de față își propune să decodifice pentru operatorii de date necesitatea stringentă de a analiza amănunțit și din perspectiva cunoscătorului, fluxurile de date care le structurează activitatea curentă, fluxuri ce conțin cu certitudine inclusiv date cu caracter personal. Acest lucru este posibil numai cu implicarea directă și activă a personalului relevant (mangementul de vârf, șefii de departamente/divizii, responsabilii de proces, ș.a.m.d.), împreună cu specialistul în protecția datelor, într-un efort comun și constant până la obținerea unei imagini de ansamblu al prelucrărilor de date, cât mai complet și conform cu prelucrările efecive.

Esențială în activitățile specifice de protecție a datelor cu caracter personal este respectarea principiilor de prelucrare a acestor date (vezi figura alăturată), așa cum stabilește art. 5 din GDPR (Regulamentul (UE) 2016/679), indiferent de context. Practic, este vorba despre a fi proactiv în crearea și menținerea unei sinergii sănătoase în cadrul activităților ce presupun prelucrări de date cu caracter personal, având permanent în atenție protejarea dreptului la intimitate și viață privată pentru personalele vizate. Acest lucru este cu atât mai important în zilele noastre, când caracteristicile unei ere tehnologice devin tot mai pregnante iar datele noastre personale ajung adesea să fie prelucrate automatizat, folosind inteligență artificială.

Scopul efectuării auditului preliminar este obținerea datelor de intrare în analiza factorilor de risc pe care prelucrările dde date îi comportă, clasificarea acestor riscuri și identificarea măsurilor tehnice și organizatorice adecvate pentru ca prelucrările de date cu caracter personal să fie conforme. Totodată, auditul preliminar relevă scopurile prelucrărilor de date și temeiurile prelucrărilor, pe fiecare tip de prelucrare în parte, astfel încât informarea persoanei vizate să poată fi făcută corect.




Măsurile tehnice și organizatorice identificate trebuie să vizeze asigurarea protecției datelor din momentul conceperii (by design) și în mod implicit (by default), având în vedere stadiul actual al tehnologiei, proporționalitatea costurilor implementării, natura datelor dar și domeniul de aplicare, pentru a proteja drepturile persoanelor vizate, în spiritul și litera Cap. III din Regulamentul General pentru Protecția Datelor nr. 679/2016 (GDPR). În etapa următoare auditului preliminar, aceste măsuri trebuiesc documentate corespunzător astfel încât operatorul de date să fie în măsură să dovedească respectarea principiilor de prelucrare și în acest mod.

Volumul datelor cu caracter personal constituie un pilon de bază în evaluarea de risc, cu referire mai ales la obligativitatea numirii unui responsabil cu protecția datelor (DPO) în temeiul art. 37 din Regulament. Aceasta deoarece, un volum mare de seturi de date prelucrate necesită cu certitudine desfășurarea unor activități specifice de monitorizare a respectării principiilor GDPR, chiar dacă aceste date nu fac parte din categoria datelor sensibile.

Tipul datelor prelucrate de operatorul de date structurează cel de al doilea pilon în evaluarea de risc, analizând posibilele prejudicii la care este expusă persoana vizată. Datele de natură sensibilă sunt datele cu privire la sănătatea persoanei vizate, orientarea religioasă, politică, sexuală, și altele cu atingerea intimității profunde a acesteia, în timp ce datele de natură extrem de sensibile - cele mai protejate din perspectiva GDPR - sunt datele minorilor, indiferent de categoria în care sunt încadrate.

Pentru acuratețea identificării și interpretării corecte a prelucrărilor de date pe parcursul auditului inițial, specialistul în protecția datelor efectuează o scanare amănunțită a întregii organizații, inclusiv la nivel de parteneriate de afaceri – clienți & furnizori, resurse umane, marketing, IT, securitate fizică, astfel încât e necesară o comunicare sinceră și transparentă din partea reprezentantului operatorului de date.

Este important să reținem că GDPR se aplică doar datelor aparținând persoanelor fizice, iar ochiul antrenat al unui specialist în protecția datelor poate identifica și încadra corect prelucrările de date sub incidența GDPR, fără a îngreuna inutil activitatea curentă a operatorului de date, care ste direct responsabil de implementarea măsurilor tehnice și organizatorice de protecție a datelor cu caracter personal.



610004 – Strada Alexandru cel Bun, Nr. 28

Et. 2, Birou 17, Piatra Neamț, Neamț, România

Telefon: +40 755 050 270

office@proactivcons.ro




























Tel: 0745 592 452

Ai o afacere locală?

Ești un antreprenor local? Contactează-ne!

2020 Toate informațiile aparțin Asociației Pentru Localnici