Regulamentul general privind protectia datelor raportat la relatiile contractuale cu clienti persoane juridice.

Raspuns: Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a directivei 95/46/CE (regulamentul general privind protectia datelor) este aplicabil in ceea ce priveste protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal ale acestora.

Din cele mentionate de dumneavoastra intelegem ca nu prelucrati date cu caracter personal ale persoanelor fizice intrucat clientii dumneavoastra sunt persoane juridice. In aceste conditii, raportat la datele clientilor dumneavoastra persoane juridice Regulamentul (UE) 2016/679 nu este aplicabil.

In situatia in care aveti si clienti persoane fizice si prelucrati anumite date personale ale acestora, sub rezerva faptului ca nu cunoastem elementele concrete ale activitatii societatii dumneavoastra, facem cateva precizari referitoare la protecta datelor personale:

• In primul rand trebuie sa analizati care sunt acestea si daca ele sunt sau nu absolut necesare executarii contractului incheiat intre dumneavoastra si clientul persoana fizica. Ideea este sa nu solicitati de la persoana fizica mai multe date cu caracter personal decat cele necesare a fi inscrise in contract sau necesare pentru executarea contractului (de ex.: nume/prenume si cod numeric personal).
• Un alt element de care trebuie sa tineti seama este acela referitor la accesul salariatilor dumneavoastra la datele cu caracter personal ale clientilor persoane fizice. Astfel, trebuie sa stabiliti care dintre salariatii dumneavoastra vor avea atributii privind prelucrarea datelor personale si cine mai poate avea acces la prelucrarea efectuata. Pentru acesti salariati, apreciem ca in contractul individual de munca/fisa postului se poate introduce o clauza cu privire la pastrarea confidentialitatii cu privire la datele cu caracter personal prelucrate.
• Sa luati masuri pentru asigurarea protectiei datelor personale ale clientilor persoane fizice: s se asigure securitatea bazelor de date electronice impotriva accesului neautorizat (atat din exteriorul societatii, cat si din interioarul acesteia), sa se asigure pastrarea si arhivarea corecta a dosarelor continand date personale ale clientilor persoane fizice.
• O alta masura pe care o puteti lua este aceea de a include in contractul incheiat cu clientul persoana fizica o clauza prin care precizati ca datele personale ale acestuia vor fi prelucrate strict pentru executarea contractului.

Toate aceste aspecte pot face obiectul unei proceduri interne referitoare la prelucrarea datelor cu caracter personal ale clientilor persoane fizice.
Stabilirea politicilor si procedurilor concrete referitoare la protectia datelor cu caracter personal se poate face numai in urma unei analize efectuate la nivelul societatii dumneavoastra. Regulamentul prevede ca aceste masuri ar trebui sa tina seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscul pentru drepturile si libertatile persoanelor fizice. Prin urmare aceste aspecte trebuie analizate/evaluate si abia apoi, in functie de rezultatele aceste actiuni se pot stabili acele masuri/proceduri/politici necesare in mod concret pentru asigurarea protectiei datelor cu caracter personal.

Insa, in conditiile in care ati mentionat ca foarte rar aveti clienti persoane fizice si deci prelucrati un volum foarte mic de date personale, apreciem cu titlu general, ca nu sunt necesare masuri deosebite, ci doar masuri care sa asigure confidentialitatea datelor necesare pentru efectuarea operatiunilor pentru clientii persoane fizice si securitatea bazelor de date in care se regasesc date personale. Bineinteles, daca exista unele particularitati ale activitatii dumneavoastra in relatia cu clientii persoane fizice care se inscriu in prevederile regulamentului, atunci trebuie sa implementati masuri de protectie a datelor cu caracter personal adecvate acelor particularitati.

Referitor la numirea unui responsabil pentru protectia datelor personale, nu este necesara pentru activitatea dumneavoastra in relatia cu clientii pe care ii aveti si care sunt persoane juridice. Exista obligatia numirii unui asemenea responsabil doar pentru institutiile publice si acele entitati care au ca activit i principale prelucrarea periodica si pe scara larga a datelor persoanelor fizice (servicii telefonie, servicii internet, servicii bancare/asigurari etc), sau prelucrarea pe scar larg a unor categorii speciale de date.
Referitor la efectuarea unui audit IT, apreciem ca acesta nu este obligatoriu, insa asa cum am precizat mai sus, este necesar s se asigure securitatea bazelor de date electronice impotriva accesului neautorizat