Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

Top 5 greșeli în implementarea GDPR
17.05.2022 | Andrei SĂVESCU

Secţiuni: Articole, Cyberlaw, Data protection, RNSJ, Selected, Studii
JURIDICE - In Law We Trust

Andrei Săvescu

Andrei Săvescu

1. Raporturile dintre operator și operatorii asociați, respectiv împuterniciți, nu sunt suficient clarificate. Mai mult decât atât, esența acordului dintre operator și operatorul asociat trebuie adusă la cunoștința persoanelor vizate, potrivit dispozițiilor art. 26 alin. 2 GDPR. Contractele organizației trebuie să cuprindă clauzele cerute de GDPR, întrucât absolut toate contractele cuprind dispoziții cu incidență în domeniul protecției datelor cu caracter personal. Sunt esențiale, de exemplu, clarificarea tipului de raport contractual din perspectiva GDPR, precizarea mecanismului de prelucrare și transfer a datelor cu caracter personal, precum și, mai ales, distribuirea răspunderii juridice.

2. Lipsesc procedurile de lucru referitoare la prelucrarea datelor cu caracter personal, ba chiar lipsesc chiar și procedurile de lucru referitoare la modalitatea în care trebuie răspuns solicitărilor persoanelor vizate. Procedurile trebuie, printre altele, să satisfacă, bunăoară, exigențele art. 5 alin. 1 lit. c) GDPR, potrivit cărora datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, precum și ale art. 5 alin. 1 lit. f), potrivit cărora datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare. Având în vedere că operatorul are obligația, potrivit art. 5 alin. 2, să poată demonstra respectarea exigențelor GDPR, procedurile de lucru au o poziție cheie în acest sens.

3. Responsabilul cu protecția datelor cu caracter personal este un salariat obișnuit, subordonat directorului general al societății, în loc să fie subordonat celui mai înalt nivel al conducerii operatorului, așa cum prevede art. 38 alin. 3 GDPR. Potrivit acestui text, responsabilul cu protecția datelor (DPO) “răspunde direct în fața celui mai înalt nivel al conducerii operatorului”. Aceasta înseamnă că desemnarea DPO se poate face de către un alt organ al societății, însă DPO nu are, în mediul privat, un superior ierarhic.

4. Lipsește linkul spre nota de informare din paginile Facebook ale societății. Paginile Facebook trebuie să aibă link spre nota de informare a persoanelor vizate, mai ales că Facebook a creat un câmp special în care se poate insera acest link, după Hotărârea CJUE pronunțată în cauza C‑210/16, care a statuat că „Administratorul unei pagini pentru fani pe Facebook are, împreună cu Facebook, calitatea de operator care prelucrează datele vizitatorilor paginii sale”.

5. Abonarea la newsletter-ul cu noutăți/oferte nu este Double Opt-In. Abonarea Double Opt-In nu este reglementată ca o obligație legală, însă este o bună practică stabilizată. Simple Opt-In este abonarea prin care persoana vizată furnizează adresa ei de e-mail pentru a primi mesaje, iar mesajele încep să fie transmise de către operator la adresa indicată. Double Opt-In constă în verificarea dacă adresa de e-mail introdusă de un utilizator în lista de distribuție a newsletter-ului companiei este controlată de către utilizator. Îndată după abonare, sistemul informatic trimite un e-mail la adresa abonată solicitând click pe un link de confirmare din interiorul acestui e-mail de confirmare. Double Opt-In elimină riscul ca abonarea la newsletter să fie făcută de altă persoană decât persoana care controlează adresa de e-mail abonată. Trebuie precizat că nu toate newsletter-ele sunt supuse acestui mecanism. Aptitudinea operatorul de a transmite newsletter se poate naște nu doar din abonarea la newsletter ci și din, bunăoară, executarea unui raport contractual cu clienții operatorului.

Av. dr. Andrei Săvescu, SĂVESCU & ASOCIAȚII

Cuvinte cheie: , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti