Stiai ca s-au dat 58 de amenzi (suma totala a amenzilor fiind de 16,022,125 €) pentru nerespectarea drepturilor privind protectia datelor persoanelor vizate (pacienti/ clienti/ angajati etc.)?
In raportul publicat de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal aferent anului 2019, nerespectarea drepturilor privind protectia datelor persoanelor vizate (persoanele a caror date sunt prelucrate, ca de ex.: angajati/ pacienti/ clienti etc.) a fost unul din subiectele centrale in principalele constatari rezultate din activitatea de solutionare a plangerilor.
Totodata, analizand fisele de caz prezentate pe aceasta tema, identificam faptul ca investigatiile au fost demarate ca urmare a reclamatiei unui singur petent/a. Prin urmare, este foarte important ca respectarea drepturilor persoanelor vizate sa se realizeze fara exceptie, deoarece chiar si o singura reclamatie poate sta la baza unei investigatii si in cele din urma, a unei amenzi.
Pentru ca dorim sa venim in ajutorul tau, am structurat in 4 pasi esentiali modalitatea prin care poti sa asiguri respectarea drepturilor privind protectia datelor persoanelor vizate in cadrul organizatiei.
PASUL I. Informarea persoanelor carora li se prelucraza datele cu caracter personal
Atunci cand se va realiza prelucrarea datelor unei persoane, indiferent ca la baza sta un consimtamant sau o baza legala, acea persoana trebuie informata in mod obligatoriu inainte ca prelucrarea sa aiba loc. Informarea trebuie sa contia elementele esentiale, cum ar fi:
- identitatea si datele de contact ale operatorului (cel care prelucreaza datele) si, dupa caz, ale reprezentantului acestuia;
- datele de contact ale responsabilului cu protectia datelor, dupa caz;
- scopurile (exemplu: in scopul acordarea serviciilor de analize medicale) in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii (exemplu: baza legala/ consimtamant etc.);
- perioada pentru care vor fi stocate datele cu caracter personal (exemplu: 5 ani de la colectarea acestora) sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
- destinatarii (ca de exemplu: Casa Judeteana de Asigurari de Sanatate/ firma de contabilitate) sau categoriile de destinatari ai datelor cu caracter personal, carora le vor fi transferate datele;
- daca este cazul, intentia operatorului de a transfera date cu caracter personal catre o tara terta sau o organizatie internationala si existenta sau absenta unei decizii a Comisiei privind caracterul adecvat sau o trimitere la garantiile adecvate;
- existenta drepturilor GDPR ale persoanelor carora le sunt prelucrate datele si informatii privind modalitatea de exercitare a acestora;
- daca la baza legalitatii sta consimtamantul, existenta dreptului de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia;
- daca furnizarea de date cu caracter personal reprezinta o obligatie legala sau contractuala sau o obligatie necesara pentru incheierea unui contract, precum si daca persoana vizata este obligata sa furnizeze aceste date cu caracter personal si care sunt eventualele consecinte ale nerespectarii acestei obligatii;
- existenta unui proces decizional automatizat incluzand crearea de profiluri si informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana caruia i se prelucreaza datele.
- dreptul de a depune o plangere in fata unei autoritati de supraveghere;
Pasul II. Elaborarea si implementarea unei proceduri privind exercitarea drepturilor GDPR ale persoanelor vizate
Nu este de ajuns sa cunosti aceste drepturi, ci este necesara elaborarea si implementarea unei proceduri privind exercitarea drepturilor GDPR ale persoanelor vizate, pentru a se stabili intern un set de reguli si pasi pe care angajatii trebuie sa ii respecte in situatia in care o persoana vizata isi exercita un drept GDPR.
Ca de exemplu, o regula „de aur” care trebuie inclusa intr-o astfel de procedura este aceea ca primul pas atunci cand o persoana vizata intentioneaza sa isi exercite un drept, este certificarea identitatii personale. In cazul in care este o persoana imputernicita trebuie sa se realizeze verificarea atat a identitatii, cat si a documentelor doveditoare. Fara aceasta verificare risti sa cauzezi o incalcare a securitatii datelor, in cazul in care persoana vizata nu este cea care depune cerere sau nu are o baza legala pentru a solicita exercitarea drepturilor GDPR in numele altei persoane.
De asemenea, anexate acestei proceduri trebuie sa existe:
- Cererile privind exercitarea drepturilor GDPR – pentru fiecare drept in parte, trebuie sa existe o cerere specifica, pe care persoana vizata sa o completeze in vederea exercitarii dreptului in cauza;
- Registrul privind exercitarea drepturilor GDPR – deoarece odata primita o cerere de exercitare a unui drept GDPR, cererea trebuie inregistrata si trebuie sa i se furnizeze un numar de inregistrare. In maxim 30 de zile de la data inregistrarii, organizatia este obligata sa ii ofere un raspuns persoanei vizate cu privire la cererea depusa.
Pasul III. Asigurarea transparentei informatiilor fata de persoanele carora li se prelucreaza datele
Este important ca din momentul in care, intern, exista o procedura privind exercitarea drepturilor GDPR implementata, sa se aduca si la cunostinta persoanelor vizate care sunt pasii pe care trebuie sa ii urmeze in situatia in care isi doresc exercitarea unui drept GDPR.
Astfel ca, poti publica pe site-ul organizatiei intr-o sectiune destinata Protectiei Datelor cu Caracter Personal toate informatiile necesare, acestea constand in:
- pasii pe care persoanele vizate trebuie sa ii realizeze in vederea exercitarii GDPR;
- accesul la cererile pe care trebuie sa le completeze;
- cum trebuie sa se adreseze in vederea transmiterii cererilor completate (adresa de e-mail pe care se transmit sau metoda de incarcare daca site-ul permite aceasta functionalitate).
In cazul in care organizatia nu are un site, poti sa afisezi aceste informatii in sala de asteptare sau in incaperea in care au acces persoanele vizate inainte de prelucrarea datelor.
De asemenea, aceste informatii trebuie incluse in toate informarile privind prelucrarea datelor cu caracter personal, in conformitate cu art. 12 din Regulamentul GDPR, asa cum am detaliat la punctul I.
Pasul IV. Instruirea angajatilor
In zadar ai implementat procedura si ai configurat sectiunea destinata protectiei datelor pe site, daca angajatii nu sunt instruiti atat cu privire la aplicarea si respectarea procedurii, cat si cu privire la conformitatea privind securitatea si protectia datelor cu caracter personal.
Asa cum spuneam si intr-un articol anterior, aplicand Principiul Pareto in GDPR, 80% din problemele de securitate se datoreaza neglijentei a 20% dintre angajati. Iar la baza acestei neglijente, lipsa unui grad adecvat de constientizare privind confidentialitatea este una dintre principalele cauze ale breselor de securitate.
VREAU CONSULTANTA PERSONALIZATA
Acum ca ai toate aceste informatii, nu iti mai ramane decat sa pui in aplicare tot ceea ce am detaliat anterior. Este posibil sa intampini dificultati la inceput, dar daca ai nevoie de suport sau informatii in elaborarea procedurii sau in instruirea angajatilor privind confidentialitatea datelor cu caracter personal, venim in intampinarea nevoilor organizatiei tale, cu pachete personalizate, disponibile in urmatorul link-ul https://gdprexpert.ro/shop .
Si ca sa iti reamintim care sunt drepturile GDPR ale persoanelor vizate, iti vom face o scurta introducere.
In conformitate cu art. 12-22 din Regulamentul (UE) 2016/679, drepturile persoanelor vizate (angajati/ pacienti/ clienti etc.) sunt:
- dreptul de a fi informat (art. 12-14) – operatorul (cel care prelucreaza datele) ia masuri adecvate pentru a furniza persoanei vizate (persoana careia i se prelucreaza datele, ca de ex.: angajati/ pacienti/ clienti etc.) orice informatie referitoare la prelucrare, intr-o forma concisa, transparenta, inteligibila si usor accesibila, utilizand un limbaj clar si simplu, in special pentru orice informatii adresate in mod specific unui copil. Informatiile pe care operatorul trebuie sa le furnizeze, referitoare la prelucrare, sunt dependente de modul in care au fost obtinute datele personale: direct de la persoana careia i se prelucreaza datele (art. 13) sau indirect, pentru cazurile in care datele personale au venit din alta sursa (art. 14).
- dreptul de acces (art. 15) – persoana caruia i se prelucreaza datele are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective;
- dreptul la rectificare (art. 16) – persoana caruia i se prelucreaza datele are dreptul de a obtine de la operator, fara intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc;
- dreptul la stergerea datelor (“dreptul de a fi uitat” – art. 17) – persoana caruia i se prelucreaza datele are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica o exceptie (conform art. 17, al. 1 a-f);
- dreptul la restrictionarea prelucrarii (art. 18) – persoana caruia i se prelucreaza datele are dreptul de a obtine din partea operatorului restrictionarea prelucrarii in cazul in care se aplica unul din urmatoarele cazuri: contestarea exactitatii datelor/ prelucrarea este ilegala/ operatorul nu mai are nevoie de datele cu caracter personal in scopul prelucrarii/ persoana vizata s-a opus prelucrarii pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate;
- dreptul la portabilitatea datelor (art. 20) – persoana caruia i se prelucreaza datele are dreptul de a transmite datele cu caracter personal care o privesc si pe care le-a furnizat catre alt operator (ca de exemplu: daca mergi la un nou medic pentru realizarea investigatiei CT si elaborarea unui plan de tratamant, iar aceasta are nevoie de vechile tale investigatii pe care le-ai facut la alt medic, dar nu le mai ai; in acest caz vei trimite vechiului medic o cerere de portabilitatea (transfer) a datelor catre noul medic);
- dreptul la opozitie (art. 21) – persoana caruia i se prelucreaza datele are dreptul de a se opune prelucrarii, inclusiv crearii de profiluri (o persoana are dreptul de a se opune ca datele sale sa fie prolucrate intr-un anumit scop sau de un anumit operator; in aceasta situatie operatorul nu mai prelucreaza datele cu caracter personal, cu exceptia cazului in care demonstreaza ca are motive legitime (ex.: baza legala) care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in instanta);
- procesul decizional individual automatizat, inclusiv crearea de profiluri (art. 22) – persoana caruia i se prelucreaza datele are dreptul are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa. Procesul decizional exclusiv automatizat are loc atunci cand se iau decizii in privinta dvs. prin mijloace tehnologice si fara nicio implicare umana (ca de exemplu: prelucrarea in cazul unei cereri de credit realizata online).
Urmareste-ne si afla noutatile din domeniul protectiei datelor in articolele urmatoare!