Protectia datelor personale conform GDPR se aplica doar online sau si altor activitati?
“Protectia persoanelor fizice ar trebui sa se aplice prelucrarii datelor cu caracter personal prin mijloace automatizate, precum si prelucrarii manuale, in cazul in care datele cu caracter personal sunt cuprinse sau destinate sa fie cuprinse intr-un sistem de evidenta.”
Aceste prevederi ale punctului 15 din motivatiile Regulamentului General de Protectie a Datelor (GDPR) arata cu claritate ca sfera de acoperire cuprinde si documentele, dosarele, registrele si evidentele fizice, prelucrate manual, pe hartie sau orice alt suport, in afara de cele electronice.
Mai mult, conform prevederilor de la punctul 40, “pentru ca prelucrarea datelor cu caracter personal sa fie legala, aceasta ar trebui efectuata pe baza consimtamantului persoanei vizate sau in temeiul unui alt motiv legitim, prevazut de lege, fie in prezentul regulament, fie in alt act din dreptul Uniunii sau din dreptul intern, dupa cum se prevede in prezentul regulament, inclusiv necesitatea respectarii obligatiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizata este parte sau pentru a parcurge etapele premergatoare incheierii unui contract, la solicitarea persoanei vizate.”
Asadar, facturile, chitantele, contractele si documentele similare, inclusiv in format fizic, pe hartie, se intocmesc respectand atat prevederile GDPR, cat si cele specifice reglementarilor fiscale, contabile si din alte legi speciale. Datele personale din aceste documente se prelucreaza conform legilor speciale, respectand cerintele de protectie, de securizare, de informare privind drepturile persoanelor ale caror date se prelucreaza.
Cum se modifica aplicarea legilor speciale dupa aparitia GDPR?
Printre problemele de interpretare a cerintelor GDPR se afla si aceea de a evita colectarea unor date personale si inscrierea lor pe documente fiscale, declaratii si formulare desi aceste informatii sunt necesare, chiar obligatorii, conform legilor speciale.
Regulamentul UE 679/2016 nu interzice prelucrarea CNP, ci doar insista asupra protectiei datelor personale, pastrarea pentru perioada de timp strict necesara si prelucrarea restrictionata, din punct de vedere al utilizarii in alte scopuri fata de cele determinate, din punct de vedere al unui eventual transfer al acestor informatii catre terti.
De altfel, numele si prenumele, adresa, precum si celelalte informatii prevazute de Codul Fiscal (Legea 227/2015) la art. 319, alineatul 20, punctele d, e, f si g, privind facturarea, reprezinta tot date personale, conform definitiilor GDPR (articolul 4), in cazul persoanelor fizice, participante la tranzactii, atat cand se afla in calitate de furnizori, cat si ca beneficiari.
Oricine interpreteaza in alt mod, ar trebui sa aiba in vedere textul explicit al punctului 44 din GDPR “Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contract sau în vederea încheierii unui contract” si textul articolului 6 privind legalitatea prelucrarii, punctul b si punctul c.
Preocuparile pentru protectia datelor personale au facut subiectul dezbaterilor privind securitatea cibernetica, pusa in fata unor provocari tot mai frecvente, de o complexitate in continua evolutie si de o anvergura tot mai mare. Accesul neautorizat la datele personale, mai ales cand este initiat de la distanta, poate fi contracarat eficient numai daca se aplica masuri tehnice preventive corect implementate.
Cat de necesara este implementarea solutiilor tehnice pentru protectia datelor personale?
Este imposibila rezolvarea acestor provocari prin simpla afisare a unor anunturi privind obtinerea consimtamantului, fara a adauga si actualizarile de rigoare ale sistemelor utilizate in activitatile de prelucrare a datelor personale. Conformarea cu GDPR inseamna mult mai mult decat un vraf suplimentar de clauze si precizari noi, inserate in contracte, pe website si in comunicarile obisnuite cu partenerii.
Solutiile tehnice necesare depind de fiecare caz in parte, iar simpla copiere declarativa de la alti utilizatori poate fi lipsita de relevanta, insuficienta si chiar costisitoare. Prevenirea incidentelor devine foarte importanta, avand in vedere termenul obligatoriu de 72 de ore pentru raportarea acestora, atat catre ANSPDCP, cat si catre toate persoanele vizate de incident.
Mai mult, in cazul breselor de securitate, este necesara detalierea unui volum considerabil de informatii, privind natura incidentului, amploarea, circumstantele, aspectele transfrontaliere si, mai ales, masurile tehnice si organizatorice aplicate pentru recuperarea datelor personale afectate si solutiile de atenuare a efectelor negative.
Recomandarile expertilor au in vedere solutii pe termen lung, verificate periodic, actualizate permanent, intr-o abordare sistemica, profesionista si integrata in specificul activitatilor de prelucrare ale clientului. Pregatirea si prevenirea incidentelor vor fi intotdeauna mai eficiente decat reactia ulterioara unei situatii neplacute.
Efectele negative si impactul asupra unei organizatii pot fi mult diminuate sau chiar eliminate, urmand cativa pasi simpli, incepand cu intelegerea corecta a cerintelor si asumarea responsabilitatilor ce decurg din rolurile definite de GDPR si obligatiile aferente operatorilor si procesatorilor de date personale.
In acest sens, este vitala instruirea persoanelor care vor participa la prelucrarea datelor personale si ale celor care vor raspunde pentru mentinerea riguroasa a standardelor de protectie impuse.
Ce riscuri pot aparea cel mai frecvent, afectand protectia datelor personale?
Incidentele de securitate cele mai frecvente pot aparea in lipsa unor masuri elementare de precautie. Astfel, de exemplu, deschiderea unui mesaj din corespondenta electronica poate compromite informatii si date stocate pe sistemele afectate, fie prin deteriorarea lor, fie prin accesul neautorizat la acestea. Lipsa unor solutii tehnice poate expune vulnerabilitati de acces in fata unor atacuri din exterior asupra sistemelor informatice utilizate.
Necesitatea solutiilor tehnice este evidenta, pentru a impiedica furturile, tentativele de copiere si transmitere in mod necontrolat catre destinatii necunoscute in astfel de situatii. Mai mult, astfel de solutii tehnice pot fi singurele care sa recupereze datele compromise, sterse sau deteriorate de erori in programele instalate si rulate de sistemele informatice.
De asemenea, pentru a raspunde solicitarilor unor persoane privind accesul, rectificarea, restrictionarea prelucrarii, portarea sau stergerea datelor personale care le apartin, doar solutiile tehnice au capacitatea de a asigura rapid si eficient rezolvarea unor astfel de cereri in conformitate cu cerintele art. 15-22 din GDPR.
De altfel, masurile tehnice si organizatorice apar expres printre prevederile art. 25 referitoare la asigurarea protectiei datelor incepand cu momentul conceperii si in mod implicit de catre operator. Conform aliniatului 2 al art. 25, “Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenţia persoanei, de un număr nelimitat de persoane.”
Din perspectiva necesitatii masurilor tehnice de securitate, art. 30 si 32 ale Regulamentului UE 679/2016 exprima extrem de clar si detaliat pasii pentru atingerea “nivelului adecvat de securitate” privind “confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare”.
O sesiune de training GDPR poate reduce semnificativ riscurile aparitiei unor incidente care sa afecteze protectia datelor personale, cauzate de lipsa de informare sau de neglijenta, de prelucrarea incorecta sau de aplicarea incompleta a unor masuri tehnice. Desemnarea unui Responsabil cu Protectia Datelor (DPO) pregatit corespunzator poate fi solutia salvatoare pentru multe organizatii, avand in vedere monitorizarea conformarii continue cu cerintele GDPR.