Brief: GDPR #20

Săptămânal, înțelegi tot mai bine noul cadru legal al

prelucrărilor de date personale.

DPIA: Despre riscurile prelucrărilor de date personale

și cum pot fi gestionate

::: INTRODUCERE ÎN TEMĂ :::

→ Unul dintre punctele cele mai importante ale unei evaluări de impact asupra
protecției datelor (sau, pe scurt, DPIA) este reprezentat de înțelegerea ideii de
risc, analiza acestuia și evidențierea unor mecanisme prin intermediul cărora
acest risc poate fi redus ori eliminat. DPIA este o obligație impusă de
Regulamentul general privind protecția datelor (GDPR).

→ Ca o sinteză a alertelor noastre legate de evaluările de impact,

prezentăm astăzi modul în care Autoritățile de Supraveghere din Europa
au ales să identifice exemple de riscuri ridicate și potențialele mecanisme
de reducere a acestor riscuri pe care le-au identificat.

→ Un exemplu de listă în care sunt menționate diverse tipuri de prelucrări,

riscurile asociate acestora și mecanismele de reducere a riscului (remedii) este
cel realizat de Autoritatea de Supraveghere din Bavaria.

→ De asemenea, Autoritatea de Supraveghere din Franța enumeră o serie de

riscuri care apar în prelucrări, alături de remediile acestora. Am
scris deja despre acest document în cursul edițiilor anterioare ale Brief-ului
GDPR.

→ Ne vom opri, în schimb, astăzi, asupra unor documente pe care Autoritatea

de Supraveghere din Spania le-a publicat în sprijinul operatorilor de date cu
caracter personal, care conțin o serie de exemple palpabile de riscuri
identificate în diferite tipuri de operațiuni și remedii asociate acestora.

::: DETALIERI, EXPLICAȚII ȘI RECOMANDĂRI :::

→ Cele două documente la care facem trimitere se numesc ”Ghidul practic

de analiză a riscurilor asociate operațiunilor de prelucrare” (.pdf, limba
spaniolă), respectiv ”Ghid practic de evaluare a impactului prelucrărilor de
date cu caracter personal” (.pdf, limba spaniolă).

→ ”Ghidul practic de analiză a riscurilor asociate operațiunilor de

prelucrare” este, de departe, una dintre cele mai utile resurse pe care le-am
observat până acum, în internet, în privința definirii riscurilor asociate unor
prelucrări.

→ Printre altele, documentul trimite și la un instrument de lucru creat de

Autoritatea Spaniolă, prin care se permite operatorului să analizeze prelucrările
care implică un risc redus și să observe în ce măsură e nevoie de o DPIA sau
nu. Important! Instrumentul este accesibil și în limba engleză.

→ Materialul identifică mai multe tipologii de riscuri, după implicațiile pe care le

au:

afectează integritatea datelor personale (cum ar fi, spre exemplu,

modificarea sau alterarea datelor personale);
afectează disponibilitatea datelor personale (cum ar fi, spre exemplu,
pierderea sau stergerea neintenționată a datelor personale);
afectează confidențlalitatea datelor personale (cum ar fi, spre exemplu,
accesul neautorizat la date personale);
afectează garantarea exercitării drepturilor persoanelor vizate (ca
exemplu, absența procedurilor de exercitare a drepturilor);
afectează garantarea principiilor referitoare la prelucrare (ca exemplu,
lipsa legitimității pentru prelucrarea datelor cu caracter personal).

→ Documentul ”Ghid practic de evaluare a impactului prelucrărilor de date cu

caracter personal” conține, printre altele, la Anexa 5, un catalog al riscurilor pe
care le presupun diferite tipuri de operațiuni de prelucrare, în timp ce la Anexa
6 prezintă o serie de remedii necesare pentru minimizarea sau înlăturarea
acestor riscuri.
→ Iată câteva exemple utile de riscuri și remedii posibile:

1. Pierderile economice și daunele reputaționale rezultate din

încălcarea legislației privind protecția datelor cu caracter personal.

Printre remediile recomandate se regăsesc: instruirea adecvată a

personalului cu privire la protecția datelor, respectiv comunicarea clară a
responsabilităților personalului în ceea ce privește respectarea politicilor
de confidențialitate ale organizației, precum și sancțiunile asociate
încălcării acesteia.

2. Pierderile economice și daunele reputaționale derivate din

încălcarea legislației sectoriale cu impact asupra protecției datelor
cu caracter personal la care poate fi supus operatorul.

Printre remediile recomandate se regăsesc: instruirea adecvată a

personalului cu privire la protecția datelor în sectorul specific în cauză,
respectiv comunicarea clară a responsabilităților personalului în ceea ce
privește respectarea politicilor de confidențialitate ale organizației
referitoare la legislațiile sectoriale care afectează organizarea, precum și
sancțiunile asociate cu încălcarea acestora.

3. Încorporarea târzie a experților în protecția datelor (în special, a

responsabilului cu protecția datelor sau a RPD) la proiect sau o
slabă definire a funcțiilor și competențelor acestora.

Printre remediile recomandate se regăsesc: includerea în procedurile

de proiectare și dezvoltare a produselor și serviciilor noi a DPO în fazele
inițiale ale acestuia, respectiv stabilirea de către conducere a funcțiilor,
atribuțiilor DPO în dezvoltarea și gestionarea proiectelor.

4. Obținerea unui consimțământ îndoielnic, eronat sau invalid pentru

tratarea sau transferul datelor cu caracter personal.

Printre remediile recomandate se regăsesc următoarele acțiuni:

asigurați-vă că nu există alte cauze de legitimare mai adecvate pentru
prelucrare (în afară de consimțământ), în relația angajat - angajator,
evitați consimtământul ca temei al prelucrării, respectiv atunci când
prelucrarea datelor cu caracter personal este legitimată printr-o relație
contractuală, oferiți întotdeauna posibilitatea consimțământului separat de
 a prelucra datele în scopuri care nu sunt necesare pentru îndeplinirea sau
îmbunătățirea contractului, evitând includerea într-o manieră indisolubilă
în clauzele contractului.

5. Lipsa mecanismelor de control pentru respectarea garanțiilor

stabilite pentru transfer.

Printre remediile recomandate se regăsește ideea de a ne asigura

că, în cazul în care există transferuri internaționale către țări din afara
Spațiului Economic European, se aplică procedurile de control necesare
(inclusiv cele contractuale) pentru a se asigura că sunt îndeplinite
condițiile în care s-a efectuat transferul. În această privință, trebuie
acordată o atenție deosebită în cazul angajării de servicii de cloud
computing sau găzduire oferită în terțe state.

::: FOCUS: Riscuri care afectează drepturile persoanelor :::

→ Una dintre secțiunile cele mai interesante din catalogul riscurilor

detaliate de Autoritatea Spaniolă de Supraveghere este cel al riscurilor ce
afectează drepturile persoanelor vizate:

Dacă exercitarea drepturilor și libertăților persoanelor vizate este

dificilă (de exemplu, cereri de acces).

Printre remediile recomandate se regăsesc următoarele

acțiuni: implementarea sistemelor care permit persoanelor vizate să
acceseze cu ușurință, direct și cu o securitate adecvată datele lor
personale, precum și să-și exercite drepturile, evitarea sistemelor care
permit exercitarea drepturilor doar după plata unei remunerații, trainingul
întregului personal astfel încât să știe ce să facă dacă primește o cerere
corectă din partea părților interesate sau trebuie să informeze persoanele
vizate despre cum să-l exercite.

Lipsa de proceduri și instrumente pentru gestionarea drepturilor

persoanelor vizate.

Printre remediile recomandate se regăsește definirea procedurilor de

gestionare și punerea în aplicare a instrumentelor care să asigure că toți
 angajații știu cum să acționeze înainte de exercitarea drepturilor
persoanelor vizate și pot furniza informații adecvate acestora.

::: BIBLIOTECĂ DIGITALĂ - RESURSE UTILE :::

Iată câteva resurse utile apropo de subiectul alertei:

”Ghidul practic de analiza a riscurilor asociate operațiunilor de prelucrare”

(.pdf, limba spaniolă);
”Ghid practic de evaluare a impactului prelucrărilor de date cu caracter
personal” (.pdf, limba spaniolă);
Ghidul ”Guidelines on Data Protection Impact Assessment and
determining whether processing is «likely to result in a high risk» for the
purposes of Regulation 2016/679”, al European Data Protection Board
(fișier .pdf, limba engleză);
Ghiduri ale Autorității de Supraveghere din Franța, cu privire la realizarea
evaluărilor de impact;
Software creat de Autoritatea de Supraveghere din Franța - foarte util în
planificarea, conducerea și realizarea evaluărilor de impact;
Ghid al Autorității de Supraveghere din Marea Britanie privind realizarea
evaluărilor de impact la protecția datelor;
Template evaluare de impact, în viziunea Autorității de Supraveghere din
Franța;
Template evaluare de impact, în viziunea Autorității de Supraveghere din
Marea Britanie.

Autor: Alin Popescu, fondator avocatnet.ro

Pentru prima oară de la intrarea României în Uniunea Europeană, cadrul

legal al prelucrărilor de date personale este stabilit, la nivelul țării noastre,
direct printr-un act european, fără să fie necesară intervenția autorităților
de la noi. Brief: GDPR reprezintă o lectură săptămânală de câteva
minute, care să te pregătească pentru aplicarea noilor reguli de prelucrare
a datelor personale.

Urmărește-ne pe facebook Intră pe avocatnet.ro

 Noi, cei de la avocatnet.ro, știm că, prin afacerile voastre, împingeți economia României mai
departe. Și vă susținem. Nu putem opri haosul legislativ. Dar îl explicăm. De peste 15 ani, zi de zi.
Pentru voi și alte milioane de români și afacerile lor.