Treceți la conținutul principal

Principii privind confidențialitatea prelucrării datelor personale


Principii privind confidențialitatea prelucrării datelor personale

  1. Cu excepția situațiilor în care legea (în sensul sau larg) dă dreptul la prelucrarea datelor personale în lipsa consimțământului prelucrarea datelor trebuie realizata pe baza consimțământului provenit de la persoana vizată (persoana ale cărei date sunt prelucrate).

Consimțământul persoanei vizate trebuie sa fie:

  • Liber, informat și specific,
  • Precedat de informarea asupra drepturilor pe care persoana vizată le are privind prelucrarea datelor,
  • Precedat de informare completa asupra prelucrărilor,
  • Precedat de explicarea consecințelor consimțământului sau ale refuzului/retragerii consimțământului,
  • dat pe baza unor posibilități de opțiune asupra modului cum datele vor fi prelucrate,
  • Însoțit de posibilitatea de a retrage consimțământul, facil și fără costuri,
  • În cazul minorilor, însoțit de consimțământul celui care exercita autoritatea părintească.

2. Prelucrarea trebuie sa fie justificată de un scop legitim, specificat.

În acest scop operatorul de date personale trebuie să se asigure că:

  • A identificat corect pentru fiecare categorie de date normele aplicabile și scopurile legitime ale prelucrării, corespunzător,
  • A informat persoana vizată asupra scopului prelucrării înaintea colectării datelor sau unui nou tip de prelucrare,
  • A explicat scopul prelucrării într-un limbaj clar, adaptat circumstanțelor,
  • Dacă e vorba de prelucrarea datelor speciale, sa ofere explicații suplimentare privind necesitatea prelucrării.

3. Limitarea colectării

Datele personale trebuie colectate numai în măsura în care sunt necesare realizării scopului (legitim) care a fost declarat.
Operatorii de date personale trebuie să analizeze care sunt datele care sunt efectiv necesare pentru realizarea scopului și sa limiteze colectarea de date la acestea.

4. Minimizarea cantității de date prelucrate

Acest principiu completează pe cel anterior. Nu numai colectarea dar și prelucrările ulterioare trebuie sa se limiteze la ceea ce este necesar scopului.

Astfel

  • Trebuie menținut la minim numărul celor care au acces la date, pe baza principiului "need to know", anume numai cei care au imperativ nevoie de aceste date pentru realizarea obiectivelor trebuie sa aibă acces,
  • De oricâte ori este posibil, interacțiunile și tranzacțiile cu date trebuie făcute astfel încât sa nu refere la o persoana identificabilă,
  • Trebuie redusă posibilitatea de a se putea stabili un model de comportament privind o anume persoană, precum și trebuie redusa posibilitatea de se stabili relații între datele prelucrate,
  • Datele trebuie șterse de câte ori nu mai sunt necesare scopului, cu excepția situației când exista o obligație legala a se proceda altfel.

5. Limitarea utilizării, păstrării și dezvăluiri datelor personale

Acestea trebuie limitate la scopul specific, legitim și explicit al prelucrării asa cum a fost acesta asumat fata de persoana vizată.

Aceasta implica și:

  • Ștergerea datelor sau anonimizarea lor după ce datele nu mai sunt necesare scopului,
  • Arhivarea și securizarea datelor fata de alte prelucrări dacă scopul prelucrării a fost realizat dar păstrarea datelor este impusa de norme legale.

6. Acuratețea

Acest principiul descrie necesitatea ca datele sa fie corecte, complete, la zi, adecvate și relevante pentru scopul prelucrării.

Aceasta presupune și:

  • Verificarea datelor care sunt obținute din alte surse decât de la persoana vizata,
  • Atunci când este cazul, verificarea, prin mijloace adecvate, a solicitărilor făcute de persoana vizată privind modificarea datelor, în sensul ca cererea este într-adevăr făcută de către persoana vizată sau de o persoană autorizata de către aceasta,
  • Instituirea de mecanisme de control periodic care sa sigure corectitudinea datelor.
7. Transparenta și informarea

Prin aceasta se asigură că:

  • Persoana vizată a primit informații clare și ușor accesibile asupra politicilor, procedurilor și practicilor operatorului privind prelucrarea datelor personale,
  • Persoana vizată a fost notificată asupra faptului ca datele personale vor fi prelucrate, asupra scopului prelucrării, categoriile de persoane către care aceste date vor fi dezvăluite, asupra identității operatorului de date precum și asupra modului cum acesta poate fi contactat,
  • Persoana vizată a fost informată asupra opțiunilor și mijloacelor prin care aceasta poate limita prelucrarea datelor, precum și pentru exercitarea dreptului de acces, rectificare și ștergere a datelor,
  • Persoana vizată a fost informată a asupra modificărilor intervenite în modul de prelucrare a datelor,
  • In cazul în care prelucrarea datelor implica luarea unei decizii cu impact asupra drepturilor și intereselor persoanei vizate, trebuie oferite detalii privind logica acestui proces de decizie,
  • Obligațiile contractuale cu impact în prelucrarea datelor personale trebuie făcute cunoscute, în măsura în care nu au fost declarate de părți confidențiale.

Nivelul de detaliu al informării trebuie sa tina seama de :

  • Specificarea categoriilor de date necesare pentru un anumit scop,
  • Specificarea scopului pentru colectarea de date,
  • Specificarea procesării (colectare, comunicare, păstrare),
  • Categoriile de persoane fizicecare vor avea acces la date și către cine acestea vor fi dezvăluite,
  • Specificarea termenului de păstrare precum și precizări privind Ștergerea datelor.
8. Accesul

Prin aceasta se asigură exercitarea dreptului la acces de către persoana vizată prin oferirea de mijloace prin care aceasta poate să acceseze și sa revizuiască datele pe baza unei proceduri adecvate de identificare a persoanei vizate, cu excepția situațiilor când un astfel de acces este interzis prin lege. Aceasta presupune că:

  • persoana vizată sa poată verificata dacă datele sunt corecte și complete și sa poată obține completarea, modificarea, rectificarea sau Ștergerea lor în măsura în care aceasta este posibil în context,
  • Operatorul trebuie sa asigure completarea, modificarea, rectificarea sau ștergerea și de către persoanele împuternicite sau  de către terți față de care a dezvăluit datele,
  • Operatorul trebuie să asigure proceduri care sa facă posibile cele de mai sus într-un mod simplu, rapid și eficient, fără întârziere si fară costuri.
În realizarea acestora operatorul trebuie sa se asigure ca persoana vizată are acces numai la datele sale personale. Dacă o cerere nu a putut fi soluționată conform solicitării persoanei vizate, trebuie înregistrata solicitarea precum și motivele pentru care acea cerere nu a putut fi soluționată în conformitate cu cererea. Dacă este potrivit circumstanțelor trebuie informați în consecință și cei fata d e are datele personale au fost dezvăluite.

9. Responsabilitatea

Acest principiu se traduce prin:

  • Documentarea și comunicarea tuturor politicilor, procedurilor și practicilor privind prelucrarea datelor personale.
  • Desemnarea unei persoane responsabile de implementarea acestor politici, proceduri și practici,
  • Atunci când datele sunt transferate către persoane terțe asigurarea ca acestea au un nivel echivalent de protecție a datelor personale,
  • Instruirea personalului implicat în prelucrarea de date personale,
  • Instituirea de proceduri eficiente de răspuns la cererile persoanelor vizate,
  • Informarea persoanelor vizate de spre bresle de securitate care le pot afecta în mos emnificativ drepturile și interesele, precum și asupra masurilor luate,
  • Informarea autorităților, precum și a altor persoane implicate privind bresle de securitate precum și asupra masurilor luate,
  • Oferirea de măsuri reparatorii pentru persoanele vizate, începând cu recuperarea datelor, rectificarea datelor sau ștergerea lor, în funcție de circumstanțe,
  • Oferirea de compensații persoanelor vizate în măsura în care măsurile reparatorii nu sunt satisfăcătoare.

10. Securitatea informațiilor

Aderarea la acest principiu înseamnă:

  • Protejarea datelor prin chei de control stabilite la nivel operațional, funcțional și strategic, pentru a asigura integritatea, confidențialitatea și disponibilitatea datelor personale, fata de riscurile de acces neautorizat, distrugere, utilizare, modificare, dezvăluire sau pierdere pe întreg ciclul de viata al acestora,
  • Alegerea unor persoane împuternicite care oferă suficiente garanții organizaționale, fizice și tehnice pentru atingerea obiectivului de mai sus,
  • Aceste măsuri trebuie fundamentate de cerințe legale, standarde, rezultate ale unor evaluări de risc, precum și pe baza unei evaluări cost/beneficii,
  • Implementarea acestor măsuri proporțional cu gravitatea consecințelor, tipul de date (date sensibile), numărul de persoane ce ar putea fi afectate,
  • Limitarea accesului,
  • Rezolvarea vulnerabilitatilor descoperite,
  • Revizuirea periodica a măsurilor luate pe baza unor analiza de risc actualizate.

11. Demonstrarea conformității

Aceasta înseamnă:

  • Demonstrarea ca măsurile privind confidențialitatea corespund cerințelor de protecția a datelor și asigurare a confidențialității pe baza auditului periodic,
  • Măsuri de control intern și mecanisme de control independent implementate care asigura respectarea regulilor de protecția a datelor, confidențialitatea datelor precum și respectarea politicilor și procedurilor asumate,
  • Dezvoltarea și menținerea unor evaluări de risc pentru a asigura ca inițiativele cu impact în de meniul datelor personale respecta regulile în domeniu.
Cooperarea cu autoritățile în domeniul protecției datelor face parte respectarea regulilor privind respectarea  confidențialității și este un argument important că operatorul de date se conformează acestor reguli.








Comentarii

Postări populare de pe acest blog

Dizolvare SRL (5) - Dizolvare fara lichidator. Model hotarare lichidare si repartizare

Dupa ce s-a hotarat dizolvarea se fac, sub răspunderea administratorului şi contabilului societăţii documentele de lichidare
-       Inventarierea  şi evaluarea elementelor de  natura activelor, datoriilor  şi capitalurilor proprii ale societăţilor comerciale care urmează  să se lichideze  şi înregistrarea rezultatelor inventarierii şi ale evaluării efectuate cu această ocazie;-  Întocmirea situaţiilor financiare anuale, în formatul prevăzut de reglementările contabile aplicabile; -       Achitarea datoriilor societăţii comerciale către bugetul de stat, bugetul asigurărilor sociale de stat, precum  şi a celorlalte obligaţii sociale către alte fonduri, salariaţi şi alţi terţi;-       Stabilirea rezultatului lichidării (profit sau pierdere), întocmindu-se contul de profit şi pierdere în formatul prevăzut de reglementările contabile aplicabile;    Se obţin  documentele de la finanţe care atestă că s-au plătit toate datoriile, către stat. Eventual alte documente de plată a datoriilor cătr…

Model decizie avertisment scris

GDPR si utilizarea dispozitivelor mobile de serviciu

GDPR si utilizarea dispozitivelor mobile de serviciu
Pentru că data de 25 mai a trecut și Regulamentul general privind protecția datelor personale (GDPR) e în vigoare, și mai toate firmele diligente au făcut notificări privind prelucrarea datelor și eventual au completat câteva formulare cerute de Regulament, aceasta nu înseamnă că bătăile de cap s-au terminat. De fapt, abia încep. O problemă pentru companii în legătură cu GDPR este utilizarea telefoanelor mobile (smartphone). Practic tot ce se conectează la rețeaua operatorului de date trebuie să respecte regulile de securitate minime. O primă notă este că inclusiv telefoanele mobile care aparțin angajaților (nu sunt pus e la dispoziție de către angajator), dar care se conectează la poșta electronica a angajatorului sau la o altă bază de date a acestuia vor fi în responsabilitatea operatorului de date, și trebuie să respecte cerințele minime de securitate. Desigur printre cerințele minime este protecția față de malware. Soluțiile antivi…