Top 5 greșeli în implementarea GDPR
17.05.2022 | Andrei SĂVESCU

1. Raporturile dintre operator și operatorii asociați, respectiv împuterniciți, nu sunt suficient clarificate. Mai mult decât atât, esența acordului dintre operator și operatorul asociat trebuie adusă la cunoștința persoanelor vizate, potrivit dispozițiilor art. 26 alin. 2 GDPR. Contractele organizației trebuie să cuprindă clauzele cerute de GDPR, întrucât absolut toate contractele cuprind dispoziții cu incidență în domeniul protecției datelor cu caracter personal. Sunt esențiale, de exemplu, clarificarea tipului de raport contractual din perspectiva GDPR, precizarea mecanismului de prelucrare și transfer a datelor cu caracter personal, precum și, mai ales, distribuirea răspunderii juridice.

2. Lipsesc procedurile de lucru referitoare la prelucrarea datelor cu caracter personal, ba chiar lipsesc chiar și procedurile de lucru referitoare la modalitatea în care trebuie răspuns solicitărilor persoanelor vizate. Procedurile trebuie, printre altele, să satisfacă, bunăoară, exigențele art. 5 alin. 1 lit. c) GDPR, potrivit cărora datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, precum și ale art. 5 alin. 1 lit. f), potrivit cărora datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare. Având în vedere că operatorul are obligația, potrivit art. 5 alin. 2, să poată demonstra respectarea exigențelor GDPR, procedurile de lucru au o poziție cheie în acest sens.

3. Responsabilul cu protecția datelor cu caracter personal este un salariat obișnuit, subordonat directorului general al societății, în loc să fie subordonat celui mai înalt nivel al conducerii operatorului, așa cum prevede art. 38 alin. 3 GDPR. Potrivit acestui text, responsabilul cu protecția datelor (DPO) “răspunde direct în fața celui mai înalt nivel al conducerii operatorului”. Aceasta înseamnă că desemnarea DPO se poate face de către un alt organ al societății, însă DPO nu are, în mediul privat, un superior ierarhic.

4. Lipsește linkul spre nota de informare din paginile Facebook ale societății. Paginile Facebook trebuie să aibă link spre nota de informare a persoanelor vizate, mai ales că Facebook a creat un câmp special în care se poate insera acest link, după Hotărârea CJUE pronunțată în cauza C‑210/16, care a statuat că „Administratorul unei pagini pentru fani pe Facebook are, împreună cu Facebook, calitatea de operator care prelucrează datele vizitatorilor paginii sale”.

5. Abonarea la newsletter-ul cu noutăți/oferte nu este Double Opt-In. Abonarea Double Opt-In nu este reglementată ca o obligație legală, însă este o bună practică stabilizată. Simple Opt-In este abonarea prin care persoana vizată furnizează adresa ei de e-mail pentru a primi mesaje, iar mesajele încep să fie transmise de către operator la adresa indicată. Double Opt-In constă în verificarea dacă adresa de e-mail introdusă de un utilizator în lista de distribuție a newsletter-ului companiei este controlată de către utilizator. Îndată după abonare, sistemul informatic trimite un e-mail la adresa abonată solicitând click pe un link de confirmare din interiorul acestui e-mail de confirmare. Double Opt-In elimină riscul ca abonarea la newsletter să fie făcută de altă persoană decât persoana care controlează adresa de e-mail abonată. Trebuie precizat că nu toate newsletter-ele sunt supuse acestui mecanism. Aptitudinea operatorul de a transmite newsletter se poate naște nu doar din abonarea la newsletter ci și din, bunăoară, executarea unui raport contractual cu clienții operatorului.

Av. dr. Andrei Săvescu, SĂVESCU & ASOCIAȚII

---

---