Fiecare companie ar trebui să organizeze autoevaluarea pentru a identifica decalajul dintre practica curentă și prelucrarea datelor cu caracter personal în cadrul companiei private din Moldova și cerințele GDPR.

Este important ca operatorii și persoanele împuternicite de operatori să efectueze o revizuire aprofundată a ciclului existent de politici a datelor, astfel încât să identifice în mod clar datele pe care le dețin, pentru ce scop și în ce temei juridic. Ei trebuie, de asemenea, să evalueze contractele existente, în special cele dintre operatori și persoanele împuternicite de operatori, căile de transfer internațional și guvernanța globală (ce măsuri IT și organizaționale trebuie să aibă în vigoare). Un element esențial al acestui proces este asigurarea faptului că cel mai înalt nivel de conducere este implicat în astfel de revizuiri, oferă contribuția sa și este actualizat periodic și consultat cu privire la modificările aduse politicii de date a companiei.

În acest scop, unii operatori recurg la liste de verificare a conformității (interne sau externe), solicită consultanță din partea firmelor de consultanță și a firmelor de avocatură și caută produse care pot îndeplini cerințele privind protecția datelor, începînd cu momentul conceperii și cel al protecției implicite a datelor. De asemenea, se recomandă, în practică, să se țină seama de avizele din cadrul grupului de lucru privind protecția datelor aferente Directivei 95/46/CE cu privire la diferite aspecte ale interpretării GDPR care vor contribui la realizarea nivelului de implementare necesar.

Capitolele următoare ale acestui studiu de impact se vor referi la recomandări care identifică în scurt timp scopul și obiectul cerinței relevante a GDPR.

Scopul și temeiurile juridice de prelucrare

În primul rând, compania trebuie să definească scopul operațiunii de prelucrare a datelor cu caracter personal. Definirea scopului va ajuta să înțelegeți dacă prelucrarea datelor nu este excesivă în ceea ce privește tipurile de date necesare, cantitatea și perioadele de stocare.

În cazul în care compania Dvs. colectează și utilizează date personale, compania trebuie să evalueze dacă există temei juridic pentru fiecare astfel de operațiune de prelucrare. Compania trebuie să identifice temeiul juridic relevant pentru prelucrare și să asigure cerințele necesare. De exemplu, în cazurile de interese legitime, compania trebuie să definească un interes legitim, să evalueze necesitatea și proporționalitatea prelucrării.

Șase temeiuri legale pentru datele cu caracter personal sunt definite în articolul 6 din GDPR, și anume: (a) acordul subiectului datelor; (b) executarea unui contract cu subiectul datelor; (c) respectarea unei obligații legale impuse operatorului; interesele vitale ale subiectului datelor; (e) îndeplinirea unei sarcini realizate în interesul public sau (f) interesele legitime urmărite de operator, sub rezerva unui test suplimentar de echilibrare față de drepturile și interesele subiectului datelor. Cerințele specifice privind prelucrarea categoriilor speciale de date cu caracter personal sunt prevăzute la articolul 9 din GDPR, în măsura în care prelucrarea generală a categoriilor speciale sau a datelor cu caracter personal este interzisă.

Definirea temeiurilor juridice este importantă și în contextul drepturilor subiecților de date. De exemplu, satisfacerea anumitor drepturi ale subiecților de date este mai importantă atunci când datele cu caracter personal sunt prelucrate pe baza consimțământului (dreptul de a fi uitat) și altor, atunci când datele cu caracter personal sunt prelucrate în baza unor interese legitime (dreptul de opoziție). Cunoștințele privind temeiurile juridice oferă operatorului posibilitatea de a furniza subiectului datelor informații exacte în conformitate cu articolele 13 și 15 din GDPR.

Dacă compania realizează decizii bazate exclusiv pe prelucrarea automatizată (inclusiv crearea de profiluri) care produce efecte juridice care o privesc sau o afectează în mod similar, sunt posibile doar trei temeiuri juridice: a) consimțământul explicit al subiectului datelor b) sau executarea unui contract între subiectul datelor și un operator de date și c) este prevăzut de legislație.

Pentru a înțelege scopurile și temeiurile juridice pentru prelucrarea datelor personale, compania trebuie să auditeze practicile existente, să stabilească categorii de date cu caracter personal sau chiar tipuri de date personale.

Protecția datelor începând cu momentul proiectării și protecția implicită a datelor

La articolul 25 din GDPR se definește principiul vieții private, din momentul conceperii și în mod implicit: luând în considerare tehnologiile moderne, costul implementării și natura, scopul, contextul și scopurile prelucrării, precum și riscurile variabilei probabilității și gravității drepturilor și libertățile persoanelor fizice create de prelucrare, operatorul, atât în momentul determinării mijloacelor de prelucrare, cât și în momentul prelucrării propriu-zise, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare principiile de protecție a datelor, cum ar fi minimizarea datelor, într-o manieră eficientă și integrarea garanțiilor necesare în prelucrare pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile subiecților de date.

Protecția datelor începând cu momentul conceperii este considerată ca fiind un concept cu mai multe fațete, care implică diferite componente tehnologice și organizaționale, care implementează principiile de confidențialitate și protecția datelor în sisteme și servicii.

GDPR abordează protecția datelor începînd cu momentul proiectării ca o obligație legală pentru operatori și persoanele împuternicite de operatori, făcând o referire explicită la minimizarea datelor și posibila utilizare a pseudonimizării. În plus, aceasta introduce obligația de protecție a datelor în mod implicit, mergând în continuare în stabilirea protecției datelor cu caracter personal ca proprietate implicită a sistemelor și serviciilor.

Se recomandă ca compania nu numai să evalueze și să implementeze confidențialitatea începînd cu momentul proiectării și în mod implicit în noile proiecte de prelucrare a datelor, dar și în sistemele și serviciile de informații existente.

Securitatea informațională

Organizarea sistemelor informatice ale companiei și gestionarea riscurilor este o problemă foarte importantă în ceea ce privește implementarea GDPR și protecția datelor cu caracter personal. GDPR nu aprobă standarde sau cerințe de securitate, ci conține principii de organizare a securității informațiilor.

Articolul 32 din GDPR prevede: ținând seama de tehnologiile moderne, costurile implementării și natura, scopul, contextul și scopurile prelucrării, precum și riscul variabilității și gravității diferitelor drepturi și libertăți ale persoanelor fizice, operatorul și persoana împuternicită de operator să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului.

Operatorul sau persoana împuternicită de operator trebuie să asigure confidențialitatea, integritatea, disponibilitatea și reziliența în continuare a sistemelor și serviciilor de prelucrare. Pentru a realiza acest lucru, este necesar să se evalueze organizarea hardware-ului și software-ului sistemului de informații și riscurile care pot apărea. În cazul unei încălcări a datelor cu caracter personal, operatorul trebuie să notifice instituția de supraveghere. Dacă GDPR este direct aplicabil, operatorul din Moldova trebuie să notifice încălcarea la aceeași instituție de supraveghere în care a fost desemnat reprezentantul. Dacă compania dvs. acționează în calitate de persoană împuternicită de operator, încălcarea trebuie notificată direct operatorului.

Informațiile sunt incluse într-un studiu elaborat de expertul UE, Maris Rukers, în privința impactului GDPR asupra companiilor private, prezentat de către Centrul Național pentru Protecția Datelor cu Caracter Personal. Acest document a fost pregătit pentru a lua în considerare rezultatele ședințelor organizate de Centrul Național pentru Protecția Datelor cu Caracter Personal cu asociații și companii din sectorul privat cât și revizuirea răspunsurilor lor asupra practicilor existente de prelucrare a datelor.