Legal For

LAW FIRM

 

Focused on relationships, driven by results

 

Contactați-ne pentru a afla mai multe despre serviciile oferite de LEGAL FOR și despre cum vă putem ajuta să vă atingeți obiectivele în business.

 

 

E-mail: office@legal-for.ro
17 Virgil Madgearu street
300019 Timisoara, Romania

18 nov. ART 5 – Regulamentul obligă la aplicarea de “măsuri tehnice şi organizatorice adecvate” sub sancţiunea amenzii

Posted at 12:46h in Articole by

Deși neaplicarea “măsurilor tehnice şi organizatorice adecvate” ca demers obligatoriu pentru asigurarea securității datelor impusă de Regulamentul general privind protecția datelor, reprezintă unul dintre principalele motive ce au stat la baza aplicării sancțiunilor de către ANSPDCP, e important să precizăm că Regulamentul nu oferă o definiţie expresă a sintagmei citate. Este adevărat însă faptul că indicarea unei asemenea definiții este extrem de dificil de realizat, având în vedere varietatea largă de situații practice la care trebuie aplicată.

Raportat la acest grad redus de particularitate, art. 24 din Regulament permite operatorilor de date alegerea măsurilor pe care le vor aplica pentru a asigura respectarea condiţiilor impuse de legislaţia în vigoare, cu obligarea însă a probării faptului că prelucrarea se efectuează în conformitate cu Regulamentul.

Intenția avută în vedere de legiuitorul european poate fi totuși dedusă din moment ce acesta folosește în Regulament referinţe precum: “măsuri eficace”, “măsuri cu scopul de a garanta o prelucrare legală și echitabilă”, “măsuri specifice și adecvate pentru a proteja drepturile, libertăţile, interesele legitime și datele cu caracter personal ale persoanelor fizice”, „măsuri rezonabile”, „măsuri pentru atenuarea riscurilor (…) care să asigure un nivel corespunzător de securitate”.

Mai mult, acelaşi act normativ precizează că măsurile implementate vor ţine cont de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor vizate. Este nevoie să fie asigurată capacitatea garantării confidențialităţii, integrităţii, disponibilităţii și rezistenței continue ale sistemelor și serviciilor de prelucrare; precum şi capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident.

De asemenea, se oferă câteva exemple concrete de măsuri adecvate, fiind amintite pseudonimizarea şi criptarea datelor la art. 32 din Regulament, reducerea la minimum a datelor prelucrate şi limitarea accesului la acestea doar persoanelor anume autorizate ce prezintă garanţii suficiente, dar și aderarea la coduri de conduită aprobate sau la un mecanism de certificare aprobat dacă e posibil, pentru a proba respectarea normelor legale.

În lumina exemplelor de măsuri mai sus amintite, se recomandă crearea de politici interne discutate cu reprezentanţii salariaţilor, defalcate pe tipuri de activităţi de prelucrare, cum sunt: politica de resurse umane, politica de acces fizic, politica de înregistrare video, politica de transfer a datelor etc. Astfel de politici se recomandă a fi revizuite periodic, testate, evaluate şi adaptate acolo unde este cazul.

O altă recomandare vizează limitarea accesului la date, prin pretinderea asumării de către persoanele implicate în prelucrarea datelor a obligaţiei de confidenţialitate (eventual chiar cu stipularea unei clauze penale acolo unde este posibil), indicarea clară a persoanelor care vor putea accesa datele şi scopul prelucrării de către fiecare dintre acestea, dar şi alegea colaboratorilor strict dintre cei care respectă condiţia implementării la nivel intern de măsuri tehnice şi organizatorice adecvate (relevante în acest sens sunt şi normele art. 28 din Regulament, ce obligă operatorul să recurgă doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate).