Prioritizarea si etapizarea actiunilor de intreprins in domeniul prelucrarii datelor personale

Operatorul si persoana imputernicita de operator identifica actiunile care trebuie intreprinse pentru conformarea la cerintele impuse de RGPD.
Se prioritizeaza aceste actiuni in functie de riscurile pe care le prezinta prelucrarile efectuate pentru drepturile si libertatile persoanelor vizate. Dupa identificarea prelucrarilor de date cu caracter personal efectuate in cadrul entitatii, se stabilesc, pentru fiecare dintre acestea, actiunile care trebuie intreprinse in vederea respectarii obligatiilor impuse de Regulamentul General privind Protectia Datelor.
Indiferent de prelucrarile efectuate, se vor avea in vedere, in principal, urmatoarele aspecte:
- colectarea si prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;
- identificarea temeiului legal in baza caruia se efectueaza prelucrarea raportat la art. 6 din Regulamentul General privind Protectia Datelor (ex. consimtamantul persoanelor vizate, contract, obligatie legala);
- revizuirea/completarea informatiilor furnizate persoanelor vizate, astfel incat sa respecte cerintele impuse de Regulamentul General privind Protectia Datelor (articolele 12, 13 si 14);
- asigurarea ca persoanele imputernicite isi cunosc noile obligatii si responsabilitati;
- verificarea existentei clauzelor contractuale si actualizarea obligatiilor persoanelor imputernicite privind securitatea, confidentialitatea si protectia datelor cu caracter personal prelucrate;
- stabilirea modalitatilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimtamantului);
- verificarea masurilor de securitate implementate. Se pot aplica masuri speciale, precum: evaluarea impactului asupra protectiei datelor, extinderea dreptului la informare al persoanelor vizate, obtinerea consimtamantului persoanelor vizate (dupa caz), obtinerea autorizarii pentru transferurile de date in state terte (daca este cazul), in cazul in care prelucrarile de date cu caracter personal efectuate in cadrul operatorului sau persoanei imputernicite de operator indeplinesc urmatoarele caracteristici:
- Prelucrarea efectuata vizeaza si categorii de date precum:
- date care dezvaluie originea rasiala sau etnica, opiniile politice, filozofice sau religioase, apartenenta sindicala;
- date privind sanatatea sau orientarea sexuala, date genetice sau biometrice;
- date referitoare la infractiuni sau condamnari penale;
- date referitoare la minori. - Prelucrarea efectuata are ca scop si ca efect:
- monitorizarea permanenta pe scara larga a unei zone accesibile publicului;
- evaluarea sistematica si aprofundata a unor aspecte personale, inclusiv profilarea, pe baza careia sunt luate decizii care produc efecte juridice referitoare la o persoana fizica sau care o afecteaza pe aceasta in mod semnificativ.
Prelucrarea efectuata implica transferuri de date in afara Uniunii Europene, catre state care nu asigura un nivel de protectie adecvat recunoscut de Comisia Europeana. Se realizeaza o analiza aprofundata a legislatiei privind protectia datelor si a cerintelor impuse de Regulamentul General privind Protectia Datelor pentru a stabili masurile care trebuie aplicate la nivelul fiecarui operator, in functie de sectorul de activitate si specificul prelucrarii/prelucrarilor efectuate.

Sursa: DataProtection.ro