Pentru a asigura permanent un nivel ridicat de protectie a datelor cu caracter personal, operatorul trebuie sa elaboreze proceduri interne care sa garanteze respectarea protectiei datelor in orice moment, luand in considerare toate evenimentele care pot aparea pe parcursul efectuarii prelucrarilor de date, precum:
- brese de securitate;
- solicitari privind exercitarea drepturilor persoanelor vizate;
- modificarea datelor cu caracter personal colectate;
- schimbarea prestatorului. Organizarea procedurilor interne implica, in special:
- luarea in considerare a protectiei datelor cu caracter personal inca de la momentul conceperii (privacy by design) unei aplicatii sau a unei prelucrari: minimizarea colectarii datelor in functie de scop, cookie-uri, perioada de stocare, informatiile furnizate persoanelor vizate, obtinerea consimtamantului persoanelor vizate, securitatea si confidentialitatea datelor cu caracter personal, garantarea rolului si responsabilitatii partilor implicate in efectuarea prelucrarii datelor;
- aplicarea de masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii (privacy by default), avand in vedere: volumul de date colectate, gradul de prelucrare a acestora, perioada de stocare si accesibilitatea lor, astfel incat datele cu caracter personal sa nu fie accesate, fara interventia persoanei, de un numar nelimitat de persoane;
- sensibilizarea si organizarea diseminarii informatiei, in special prin stabilirea unui plan de pregatire si de comunicare cu persoanele care prelucreaza date cu caracter personal;
- solutionarea plangerilor si cererilor adresate de persoanele vizate in exercitarea drepturilor lor, stabilind partile implicate si modalitatile de exercitare a acestora; exercitarea drepturilor trebuie sa se poata realiza inclusiv pe cale electronica, in cazul in care datele au fost colectate prin astfel de mijloace;
- anticiparea unei posibile incalcari a securitatii datelor specificand, pentru anumite cazuri, obligativitatea notificarii autoritatii pentru protectia datelor in termen de 72 de ore si a persoanelor vizate in cel mai scurt timp;
- asigurarea confidentialitatii si securitatii prelucrarii prin adoptarea de masuri tehnice si organizatorice adecvate, incluzand printre altele, dupa caz: a) pseudonimizarea si criptarea datelor cu caracter personal; b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare; c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica; d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
Sursa: DataProtection.ro
© Copyright 2008, MCP Cabinet Avocati | UNBR | Baroul Bucuresti
Cabinetul de avocatura "Predut Marius-Catalin" este autorizat prin Decizia Baroului Bucuresti nr. 1341/2008 | CUI RO24004840
MCP este Marca inregistrata, protejata de drepturile de autor. Sitemap