Pentru comunicare profesională JURIDICE.ro recomandă Infinit PR
TOP LEGAL
Print Friendly, PDF & Email

Cum se protejează datele cu caracter personal dintr-un registru electronic

31.08.2018 | Andreea COMAN, Alexandru MATEI
Abonare newsletter
Andreea Coman

Andreea Coman

Alexandru Matei

Alexandru Matei

1. Având în vedere volumul foarte mare de informații și de date cu caracter personal pe care în general, orice activitate le implică, tot mai mulți operatori aleg să țină aceste informații într-un registru electronic întrucât este mai ușor de accesat.

2. Fiind vorba despre un sistem informatic, GDPR impune ca acesta să fie supus unor măsuri tehnice solide de natură a evita distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal (spre exemplu, pseudonimizare, criptare, proceduri de back up, măsuri de natură a asigura securitatea rețelelor etc.).

3. O primă măsură pe care o pot lua operatorii de date cu caracter personal este să identifice și să analizeze riscurile prezentate de prelucrările pe care le efectuează astfel încât să adopte un nivel adecvat de protecție. Această măsură trebuie urmată de stabilirea unui plan de securitate a informațiilor care să cuprindă, în principal, securitatea tehnică pe plan informatic și securitatea spațiilor în care se prelucrează datele cu caracter personal ținând cont de cerințele minime de securitate.

4. Este necesară întocmirea unei politici de securitate sau un document echivalent și asigurarea faptului că această politică este implementată. Trebuie să fie organizate teste regulate și revizii asupra măsurilor implementate pentru a se asigura că acestea se mențin în continuare eficiente. Când este cazul, aceste documente trebuie să fie revizuite.

5. Suplimentar măsurilor de natură tehnică, operatorii de date cu caracter personal trebuie să aibă în vedere și alte chestiuni conexe, cum ar fi, spre exemplu, modalitățile de acces la sistemele de evidență în vederea colectării datelor, în funcție de care se vor stabili și respecta măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal. Este necesară reglementarea în cuprinsul procedurii interne a personalului care are acces la sistemul informatic (cu atribuții corespunzătoare prevăzute în fișa postului) și modalitatea de utilizare, potrivit reglementărilor legale incidente în domeniu. De asemenea, este necesară desemnarea, în scris, a persoanei/persoanelor care vor prelucra datele personale și care trebuie să își asume răspunderea păstrării confidențialității acestora; această listă conținând evidența acestor persoane va fi actualizată ori de câte ori se impune.

6. O altă măsură pe care o pot lua operatorii este să numească, în scris, persoana specializată în securitatea informației care să vegheze la prelucrarea datelor personale, inclusiv la buna funcționare a sistemelor informatice utilizate în această activitate. Trebuie luată în calcul revizuirea contractelor, care trebuie să fie actualizate potrivit cerințelor și principiilor GDPR. De asemenea, personalul care operează în sistem trebuie să fie instruit cu privire la protecția datelor cu caracter personal (recomandăm să existe proceduri scrise cu privire la modalitatea instruirii și eventual a unui document semnat de persoanele instruite care atestă acest lucru).

7. Operatorii trebuie să se asigure că oricine acționează cu drept de acces la datele cu caracter personal nu prelucrează date personale decât în situația în care a fost instruit cum să procedeze în acest sens (formare inițială și perfecționare continuă). Este vital ca personalul angajat din cadrul operatorului să înțeleagă importanța protejării datelor cu caracter personal, să fie familiarizat cu Politica de securitate și procedurile ce trebuie puse în practică.

8. Accesul în spațiile în care se află dispozitivele prin care se accesează sistemul trebuie acordat exclusiv personalului cu atribuții în acest sens, cu excepția celor care asigură mentenanța sistemului. De altfel, în contractele cu furnizorii care asigură mentenanța sistemului informatic trebuie prevăzute clauze specifice cu privire la protecția datelor cu caracter personal (clauze de confidențialitate cu privire la datele cu caracter personal). Asigurați-vă că acești furnizori au implementate cerințele și principiile GDPR.

9. Operatorii de date cu caracter personal trebuie să ia în considerare securitatea spațiilor în care sunt depozitate dispozitivele (calitate uși, încuietori, control acces etc.). Nu trebuie omis faptul că scopul Regulamentului este acela de a forța operatorii să își adapteze procesele interne și relațiile cu alții (furnizori, beneficiari, poprii salariați), să adopte măsuri organizatorice speciale și să implementeze proceduri de securitate adecvate, toate acestea pentru a asigura protecția datelor cu caracter personal.

10. În concluzie, deținerea unui registru electronic necesită, în plus, față de registrul clasic adoptarea de măsuri tehnice conforme cu GDPR. Pe de altă parte, din nefericire, tehnica informatică nu este nici pe departe suficientă, din pricină că aspectele care țin de organizare sunt în realitate cheia conformării.

Avocat Andreea Coman
Senior Associate SĂVESCU & ASOCIAŢII

Avocat Alexandru Matei
Associate SĂVESCU & ASOCIAŢII

Abonare newsletter

Aflaţi mai mult despre , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

JURIDICE.ro este o platformă de exprimare. Publicăm şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica şi dumneavoastră pe JURIDICE.ro, vă rugăm să citiţi Politica noastră şi Condiţiile de publicare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

CariereCărţiEvenimenteProfesioniştiRomanian Lawyers Week