Published in GDPR – General Regulation regarding the protection of personal data. Comments and explanations; Hamangiu Publishing, 2018
Rezumat: Principiile prelucrării datelor cu caracter personal reprezintă fundamentul activității fiecărei entități care folosește date cu caracter personal în activitatea sa, indiferent de cantitatea și tipologia acestora. În cele ce urmează sunt trecute în revistă aceste principii în mod succint și pragmatic, pentru a conduce mai ușor organizațiile prin procesul de înțelegere a prelucrărilor pe care le fac și a măsurilor pe care trebuie să le adopte pentru implementarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (“Regulamentul”)1. Prin conștientizarea importanței principiilor prelucrării datelor cu caracter personal, organizațiile vor putea implementa un mod de lucru care să asigure respectarea drepturilor fundamentale ale persoanelor fizice ale căror date sunt prelucrate în activitatea de zi cu zi. Astfel, în cadrul analizei de față sunt abordate atât principiile prelucrării datelor cu caracter personal prevăzute deja în legislația aflată în vigoare și completate prin Regulament, cât și noile principii introduse ca urmare a evoluției societății din prisma utilizării datelor cu caracter personal.
Cuvinte-cheie: date cu caracter personal; operator de date; principiile prelucrării datelor cu caracter personal, responsabilitate, limitare, transparență, acuratețe, integritate, securitate, drepturi și obligații.
§1. Introducere
Fiecare operator economic sau instituție publică ce procesează date cu caracter personal („operator de date”) trebuie să își regândească de la bază arhitectura activității de prelucrare a datelor cu caracter personal, pentru a se asigura de respectarea noilor drepturi și obligații prevăzute de Regulamentul general privind protecția datelor, aplicabil începând cu 25 mai 2018.
În timp ce unii operatori de date au întreprins deja măsuri active pentru a-și evalua și redefini modalitatea de prelucrare a datelor cu caracter personal, pentru cei care nu au făcut-o încă, o cheie esențială în definirea cadrului și limitelor în care pot prelucra datele cu caracter personal constă în a recurge, în analiza lor, la principiile ce guvernează această activitate, așa cum sunt ele definite în Regulament.
Cum, de cele mai multe ori, prevederile legale sunt depășite de realitate, existând dificultăți în a încadra anumite situații practice într-o normă juridică, iar Regulamentul nu face excepție, raportarea la principiile ce guvernează domeniul prelucrării datelor cu caracter personal poate ajuta la clarificarea nuanțelor și situațiilor nereglementate încă explicit. Totul devine deci o chestiune de principiu sau – mai degrabă – de noi principii ce se circumscriu drepturilor și libertăților fundamentale ale persoanelor vizate de prelucrarea datelor personale, așa cum sunt reglementate acestea în Regulament.
Actuala reglementare aflată încă în vigoare (Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date2) prevede drept principii ce guvernează prelucrarea datelor cu caracter personal:
– principiul legalității și echității;
– principiul prelucrării datelor cu caracter personal în scopuri determinate;
– principiul colectării de date adecvate, pertinente și neexcesive scopului prelucrării;
– principiul informării persoanei fizice vizate și
– principiul protecției și securității datelor cu caracter personal.
Principiile prevăzute de Regulament sunt, în linii mari, apropiate de cele enumerate mai sus, dar unele concepte sunt complet noi, în timp ce altele existente au fost dezvoltate în mod semnificativ. În cele ce urmează prezentăm o analiză a principiilor ce trebuie respectate de către operatorii de date, precum și a modului în care pot fi folosite acestea pentru a stabili în ce măsură situația de fapt particulară a unui operator de date ar face sau nu obiectul unor obligații prevăzute de Regulament.
§2. Principiul responsabilității
Cel mai nou și mai răsunător principiu introdus de Regulamentul general privind protecția datelor, cel al responsabilității operatorului de date, deschide calea celorlalte principii, a căror respectare poate fi asigurată prin implementarea acestui prim principiu. Astfel, operatorii de date trebuie să implementeze politici și procese de conformare cu prevederile Regulamentului, astfel încât să se asigure respectarea drepturilor persoanelor vizate și protecția datelor cu caracter personal ale acestora.
Pentru conceperea acestor politici, operatorii de date vor trebui să analizeze următoarele:
a) dacă și cum prelucrează date cu caracter personal;
b) ce date cu caracter personal sunt necesare pentru desfășurarea activității;
c) la ce le folosesc în activitatea zilnică;
d) care este modalitatea de informare a persoanelor fizice vizate și
e) protecția securității datelor cu caracter personal,
iar ulterior să creeze fluxurile de activitate și procesele de utilizare a datelor cu caracter personal.
Aceste politici și procese variază în funcție de complexitatea organizațiilor, de nivelul de detaliu al fluxurilor operaționale și de volumul datelor cu caracter personal pe care operatorii de date le prelucrează, cuprinzând în principal:
a) evaluarea procedurilor actuale și a structurii organizatorice care, în funcție de natura activității și importanța datelor cu caracter personal în cadrul acesteia, poate ajunge până la desemnarea unei persoane specializate în prelucrarea și protecția datelor cu caracter personal (înființarea funcției de „responsabil cu protecția datelor”);
b) efectuarea unui inventar al datelor cu caracter personal procesate, urmată de evaluarea lor din perspectiva întinderii scopului în care sunt prelucrate;
c) efectuarea unei analize de impact asupra modalității de protecție a datelor, care să identifice sursa, natura și gravitatea unui risc de pierdere, distrugere sau acces neautorizat cu privire la datele cu caracter personal, în vederea luării măsurilor adecvate pentru înlăturarea riscului și raportarea acestor incidente;
d) implementarea unor sisteme de informare a persoanelor vizate, care să asigure înțelegerea completă de către acestea a scopului în care datele urmează a fi prelucrate și protejate.
În lumina acestui nou principiu, operatorii de date sunt responsabili de respectarea nu numai a prevederilor legale, ci și a eticii ce guvernează prelucrarea datelor cu caracter personal. În plus, trebuie să se asigure că pot demonstra respectarea acestor principii prin implementarea de mijloace tehnice și organizatorice adecvate prevederilor legale, inclusiv prin introducerea principiilor de protecție a datelor „privacy by design”3 și „privacy by default”4 și revizuirea/actualizarea periodică a acestor mijloace prin evaluări interne și externe.
Introducerea principiului responsabilității are menirea de a determina conformarea organizațiilor în privința modalității de prelucrare a datelor cu caracter personal, prin crearea unei culturi organizaționale înclinate spre protecția datelor personale și prin implementarea de mecanisme de control și de verificare continuă a eficienței acestora.
§3. Principiul transparenței
Deși în actuala reglementare obligația de informare are o un rol primordial alături de principiile legalității și echității, Regulamentul general privind protecția datelor introduce cu titlu de noutate principiul transparenței prelucrării datelor cu caracter personal, obligând astfel operatorii de date să ia măsuri suplimentare în momentul în care concep și implementează activități cu astfel de date.
Principiul transparenței va fi respectat prin informarea completă, corectă și obiectivă a persoanelor înainte de prelucrarea datelor personale sau în cazul oricărei schimbări ulterioare cu privire la datele personale colectate și prelucrările efectuate. În funcție de modalitatea de comunicare specifică fiecărui operator de date, trebuie aleasă și implementată cea mai eficientă metodă în care persoanele vizate să fie informate referitor la scopul prelucrării, limitarea acesteia, acuratețea datelor și perioada de utilizare în condițiile de protejare a acestora, eventuale dezvăluiri ale datelor către terțe părți – parteneri contractuali sau societăți din grup – și eventuale transferuri de date în străinătate etc.
Astfel, în funcție de tipul activității (predominant online sau offline ori mixtă), operatorii de date trebuie să analizeze practic care este modalitatea în care comunică cu persoanele fizice vizate ale căror date cu caracter personal sunt prelucrate (de exemplu, notificări scrise, e-mail-uri, mesaje text, interacțiune directă la ghișeul de relații cu publicul etc.) și cum ar putea să îmbunătățească această comunicare, pentru a respecta principiul transparenței.
Mai mult, în aceeași notă de respectare a acestui principiu, cererea privind manifestarea consimțământului pentru prelucrarea datelor cu caracter personal va trebui să conțină toate informațiile privind prelucrarea datelor conform celor de mai sus, folosindu-se un limbaj accesibil și clar, astfel încât să fie îndeplinită una dintre condițiile consimțământului – informarea completă. Lipsa unei informări clare și complete cu privire la prelucrarea datelor va conduce la invalidarea consimțământului acordat de persoanele vizate.
În aplicarea acestui principiu, Regulamentul a introdus, cu caracter de noutate, obligații de informare clare și specifice pentru operatorii de date atât când obțin datele direct de la persoanele vizate, cât și când le obțin de la terți. Astfel, conchidem că printr-o informare completă și adecvată se creează premisele respectării drepturilor fundamentale ale persoanelor vizate.
§4. Principiul limitării scopului prelucrării
După cum indică și denumirea principiului, datele cu caracter personal vor putea fi folosite numai în scopul în care au fost colectate, iar dacă este nevoie de prelucrarea într-un scop nou sau incompatibil cu cel inițial, persoana fizică vizată va trebui informată în acest sens și, dacă este cazul, să își manifeste din nou consimțământul pentru noua prelucrare și noul scop, prezentate cu respectarea principiului transparenței abordat mai sus.
Deși acest principiu nu este complet nou, având în vedere reglementarea actuală care impune ca regulă generală faptul că datele cu caracter personal trebuie colectate în scopuri determinate, explicite și legitime, Regulamentul general privind protecția datelor introduce interdicția utilizării datelor cu caracter personal, colectate inițial pentru un anumit scop, în alte scopuri incompatibile cu scopul inițial, fără informarea și obținerea consimțământul persoanei vizate, dacă este cazul (de exemplu, datele colectate pentru transmiterea de informări comerciale nu pot fi folosite și pentru profilare automată pentru luarea unor decizii comerciale ce afectează persoana vizată). Fac excepție de la această obligație de obținere a consimțământului prelucrările ulterioare în scopuri de: a) arhivare în interes public; b) cercetare științifică sau istorică și statistică, în condițiile existenței unor garanții pentru respectarea drepturilor fundamentale ale persoanei vizate (de exemplu, instituirea unor măsuri tehnice și organizatorice care vor asigura respectarea principiului reducerii la minimum a datelor cu caracter personal prin pseudonimizarea/anonimizarea acestor date).
Operatorii de date vor trebui sa analizeze scopurile actuale pentru care prelucrează date cu caracter personal raportat la temeiurile prelucrării documentate temeinic (de exemplu, obligație legală, încheierea unui contract, interes legitim, consimțământ etc.), respectiv să informeze persoana vizată și, dacă este necesar, să obțină consimțământ valabil pentru noi scopuri de prelucrare incompatibile cu cele inițiale.
§5. Principiul reducerii la minimum a datelor necesare scopului prelucrării
Regulamentul general privind protecția datelor aduce acest principiu ca noutate în prelucrarea datelor cu caracter personal, în ideea că operatorii de date trebuie să analizeze și să stabilească nivelul minim al datelor cu caracter personal de care au nevoie în desfășurarea activității. Legea nr. 677/2001 prevede că aceste date trebuie să fie adecvate, pertinente și neexcesive prin raportare la scopul în care sunt colectate și ulterior prelucrate5, însă Regulamentul nu mai folosește termenul „neexcesiv”, ci conduce ferm operatorii de date către minimul de date cu caracter personal necesare scopului pentru care sunt prelucrate.
Deși, aparent, o cantitate mare de date cu caracter personal creează operatorilor de date un avantaj competitiv (de exemplu, prin înțelegerea profundă a comportamentului persoanelor vizate), această cantitate de date se poate întoarce împotriva lor dacă nu este corelată cu activitatea lor și nu este adaptată la strictul necesar. În acest sens, operatorii de date trebuie să analizeze cu atenție ce date cu caracter personal prelucrează și dacă prelucrează date cu caracter personal care nu sunt necesare activității și să le limiteze, dacă este cazul ștergând datele prelucrate fără un scop clar, legitim și temeinic.
Pentru a ști care este minimul de date cu caracter personal necesar activității, trebuie pornit de la scopul prelucrării (de exemplu: furnizarea serviciilor, vânzarea produselor, fidelizarea clienților, analiza preferințelor acestora, comunicarea comercială cu clienții etc.) și, după această fază, trebuie luată decizia cu privire la stabilirea datelor cu caracter personal necesare îndeplinirii acestui scop. Cu titlu de exemplu, trebuie analizată necesitatea colectării seriei și numărului actului de identitate al persoanei fizice vizate pentru crearea de carduri de fidelitate ori pentru transmiterea de informații comerciale prin newsletter-e cu privire la produsele sau serviciile operatorului de date.
§6. Principiul exactității datelor
Datele personale colectate trebuie să fie corecte și actualizate constant, iar în momentul în care persoana fizică vizată dorește ca acestea să fie șterse, ele vor fi șterse, dacă sunt prelucrate doar pe baza consimțământului său.
Deși nici acest principiu nu este total nou, Regulamentul general privind protecția datelor introduce necesitatea actualizării datelor cu caracter personal în cazul în care este necesar (de exemplu, schimbarea adresei sau a numărului de telefon, schimbarea numelui în situația căsătoriei etc.). În acest scop, operatorii de date trebuie să ia toate măsurile pentru a se asigura că datele colectate sunt exacte, iar cele inexacte să fie actualizate/rectificate sau șterse fără întârziere. Acestei obligații a operatorului de date îi corespunde dreptul persoanei fizice vizate de a obține de la acesta, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte sau completarea lor, pe baza unei declarații suplimentare.
În vederea îndeplinirii acestei obligații, operatorii de date trebuie să analizeze modalitățile de comunicare cu persoanele fizice vizate (de exemplu, e-mail, telefon, direct la ghișeul de operațiuni sau alte asemenea) și să le folosească în actualizarea datelor. În cazul în care persoanele fizice nu pot fi contactate și, în consecință, datele cu caracter personal nu pot fi actualizate, acestea vor trebui șterse.
Pentru îndeplinirea acestui principiu, operatorii de date vor trebui să implementeze procese și proceduri de verificare a corectitudinii datelor cu caracter personal și de actualizare a lor, dacă este cazul. Deși este un proces laborios, acesta va conduce nu numai la respectarea drepturilor persoanelor vizate, ci și la rezultate economice mai bune, întrucât analizele de date vor avea la bază date cu caracter personal actuale și corecte.
Ca o notă adițională, este important de menționat că o noutate semnificativă în cadrul noilor principii de prelucrare a datelor cu caracter personal o reprezintă dreptul persoanei fizice vizate de a obține ștergerea datelor cu caracter personal care o privesc (dreptul „de a fi uitat”), fără întârzieri nejustificate în mai multe situații, dintre care amintim doar cazurile în care:
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b) persoana vizată își retrage consimțământul care a stat la baza prelucrării la simpla dorință a acesteia;
c) datele cu caracter personal au fost prelucrate ilegal și
d) persoana vizată se opune prelucrării, neexistând motive legitime care să prevaleze în ceea ce privește prelucrarea6.
Regulamentul introduce noțiunea de extindere a modalității de respectare a dreptului de a fi uitat, astfel încât un operator de date care a transmis date cu caracter personal ar trebui să aibă obligația de a solicita împuterniciților care prelucrează respectivele date cu caracter personal pentru operatorii de date să șteargă orice legături (link-uri) către datele respective sau copii ori reproduceri ale acestora și să se asigure ca această solicitare a fost îndeplinită.
§7. Principiul limitării stocării datelor
Datele cu caracter personal nu vor fi păstrate pe o perioadă de timp mai lungă decât cea necesară scopului în care au fost colectate, respectiv replicarea acestora pe mai multe dispozitive.
În scopul protecției acestora, datele cu caracter personal nu ar trebui păstrate de operatorii de date mai mult decât este necesar îndeplinirii scopului pentru care sunt prelucrate, cu excepția situației în care datele sunt păstrate pentru arhivare în interes public, cercetare științifică sau istorică ori pentru scopuri statistice, după cum am detaliat mai sus. Păstrarea datelor cu caracter personal pentru perioade incompatibile cu scopurile prelucrării sau cu interesul legitim al operatorului de date îl expune la pierderi și deteriorări ale datelor și la potențiale sancțiuni din partea autorității de supraveghere.
În acest sens, operatorii de date trebuie să dețină controlul stocării și transferului datelor și vor trebui să implementeze procese operaționale specifice și proceduri de retenție a datelor în care să fie prezentate, în mod clar, modalitatea și locul de stocare, metodologia ștergerii/anonimizării datelor cu caracter personal ce nu mai trebuie prelucrate (de exemplu, în vederea respectării dreptului de a fi uitat). Este important de adăugat, ca o recomandare practică, faptul că operatorii de date nu vor trebui să permită copierea datelor cu caracter personal pe computere locale ale salariaților sau pe dispozitive mobile (de exemplu, USB).
De asemenea, operatorii de date trebuie să ia măsuri rezonabile, ținând seama de tehnologia disponibilă și de mijloacele aflate la dispoziția lor, pentru a informa împuterniciții care prelucrează datele cu caracter personal pentru operatorii de date cu privire la perioada de retenție a datelor și instrucțiunile de ștergere sau returnare a acestora în momentul încetării prelucrării.
Lipsa unor politici clare de retenție a datelor cu caracter personal expune operatorii de date nu numai la amenzi, ci și la pierderea sau deteriorarea lor (chiar dacă acestea nu mai sunt prelucrate în activitatea curentă).
§8. Principiul integrității și confidențialității
Operatorii de date sunt obligați să asigure protecția datelor cu caracter personal atât împotriva riscurilor din exterior (de exemplu, atacuri cibernetice pentru subtilizarea de date), cât și a posibilelor incidente din interior (deteriorări ale datelor, acces neautorizat, pierderi/ștergeri accidentale).
Îndeplinirea acestui principiu este o datorie esențială a operatorilor de date față de persoanele fizice ale căror date personale sunt prelucrate. Neglijența și superficialitatea nu vor putea fi justificate față de persoanele vizate și autoritatea de supraveghere, având în vedere consecințele grave pentru persoanele fizice în cazul unui incident de securitate.
Deși obligația operatorilor de date de a asigura integritatea și confidențialitatea datelor cu caracter personal este prezentă în actuala reglementare alături de celelalte obligații ale acestora, Regulamentul general privind protecția datelor ridică această obligație la rang de principiu. În acest sens, operatorii de date au obligația de a implementa mecanisme și proceduri proporționale cu riscurile și drepturile persoanelor vizate (de exemplu, criptare, pseudonimizare/anonimizare etc.), apte să prevină orice amenințări la adresa datelor cu caracter personal, atât din exterior (de exemplu, accesări neautorizate sau ilegale, atacuri informatice etc.), cât și din interior (de exemplu, distrugere sau afectare a datelor cauzate din neglijența salariaților nepregătiți ori de utilizarea neadecvată a echipamentelor tehnice de procesare și protecție a datelor).
Pentru conformarea la acest principiu, operatorii de date vor trebui să evalueze modul în care prelucrează și protejează datele cu caracter personal, să garanteze (i) existența unor fluxuri operaționale sigure și stabilite conform atribuțiilor fiecărui salariat, (ii) existența unor politici clare de securitate și accesare a datelor și (iii) mijloace tehnice adecvate pentru a preveni accesarea neautorizată și pierderile/furtul de date (malware, ransomware). În plus, vor trebui implementate măsuri și mecanisme de control al celor de mai sus, pentru a se asigura că întreg sistemul de protecție a datelor funcționează în beneficiul persoanelor vizate.
Mai mult, în virtutea acestui principiu, operatorii de date sunt obligați să informeze prompt atât autoritatea de supraveghere (fără întârziere, însă nu mai târziu de 72 de ore de la constatarea incidentului), cât și persoanele fizice vizate (fără întârziere) în situația unei breșe în sistemul de securitate a datelor cu caracter personal ce implică pierderi sau furturi de astfel de date, în ideea respectării drepturilor prevăzute de lege.
Prin introducerea acestei obligații de raportare, Regulamentul întărește caracterul fundamental al păstrării integrității și confidențialității datelor cu caracter personal.
§9. Concluzii
Concluzionând, principiile introduse de Regulamentul general privind protecția datelor, deși nu produc o schimbare revoluționară în abordarea modalității de prelucrare a datelor cu caracter personal, le oferă operatorilor de date o serie de ghidaje esențiale, ce permit transpunerea în politicile și procedurile interne a particularităților activității lor, astfel încât aceștia se pot asigura că vor prelucra doar datele cu caracter personal care le sunt realmente necesare, în scopurile stabilite conform activității și cu respectarea tuturor drepturilor persoanelor vizate.
Mai mult decât atât, este de așteptat ca, în activitatea de control a autorității naționale de reglementare în domeniul protecției datelor cu caracter personal, inspectorii acestei autorități să se raporteze tocmai la principii pentru a stabili măsura în care operatorii economici se conformează prevederilor Regulamentului. O atentă urmărire a respectării acestor principii în reglementarea internă a activității de prelucrare a datelor cu caracter personal le poate asigura operatorilor de date posibilitatea de a demonstra în fața autorității îndeplinirea obligațiilor din Regulament.
Se impune, astfel, recomandarea ca operatorii economici care prelucrează date cu caracter personal și responsabilii desemnați de aceștia în sensul Regulamentului să acorde o atenție deosebită înțelegerii și respectării principiilor menționate mai sus, asigurându-se că ele sunt asumate și implementate la nivel de substanță în cadrul activității de prelucrare și la nivelul procedurilor interne ce reglementează această activitate.