Cum se protejeaza datele cu caracter personal dintr-un registru electronic
1. Avand in vedere volumul foarte mare de informatii si de date cu caracter personal pe care, in general, orice activitate le implica, tot mai multi operatori aleg sa tina aceste informatii intr-un registru electronic, intrucat este mai usor de accesat.
2. Fiind vorba despre un sistem informatic, GDPR impune ca acesta sa fie supus unor masuri tehnice solide de natura a evita distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal (spre exemplu, pseudonimizare, criptare, proceduri de back-up, masuri de natura a asigura securitatea retelelor etc.).
3. O prima masura pe care o pot lua operatorii de date cu caracter personal este sa identifice si sa analizeze riscurile prezentate de prelucrarile pe care le efectueaza, astfel incatsa adopte un nivel adecvat de protectie. Aceasta masura trebuie urmata de stabilirea unui plan de securitate a informatiilor care sa cuprinda, in principal, securitatea tehnica pe plan informatic si securitatea spatiilor in care se prelucreaza datele cu caracter personal tinand cont de cerintele minime de securitate.
4. Este necesara intocmirea unei politici de securitate sau un document echivalent si asigurarea faptului ca aceasta politica este implementata. Trebuie sa fie organizate teste regulate si revizii asupra masurilor implementate pentru a se asigura ca acestea se mentin in continuare eficiente. Cand este cazul, aceste documente trebuie sa fie revizuite.
5. Suplimentar masurilor de natura tehnica, operatorii de date cu caracter personal trebuie sa aiba in vedere si alte chestiuni conexe, cum ar fi, spre exemplu, modalitatile de acces la sistemele de evidenta in vederea colectarii datelor, in functie de care se vor stabili si respecta masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal.
Este necesara reglementarea in cuprinsul procedurii interne a personalului care are acces la sistemul informatic(cu atributiicorespunzatoare prevazute in fisa postului)si modalitatea de utilizare, potrivit reglementarilor legale incidente in domeniu. De asemenea, este necesara desemnarea, in scris, a persoanei/persoanelor care vor prelucra datele personale sicare trebuie sa isi asume raspunderea pastrariiconfidentialitatii acestora; aceasta lista continand evidenta acestor persoane va fi actualizata ori de cate ori se impune.
6. O alta masura pe care o pot lua operatorii este sa numeasca, in scris, persoana specializata in securitatea informatiei care sa vegheze la prelucrarea datelor personale, inclusiv la buna functionare a sistemelor informatice utilizate in aceasta activitate. Trebuie luata in calcul revizuirea contractelor,care trebuie sa fie actualizate potrivit cerintelor si principiilor GDPR.
De asemenea, personalul care opereaza in sistem trebuie sa fie instruit cu privire la protectia datelorcu caracter personal (recomandam sa existe proceduri scrise cu privire la modalitatea instruirii si eventual a unui document semnat de persoanele instruite care atesta acest lucru).
7. Operatorii trebuie sa se asigure ca oricine actioneaza cu drept de acces la datele cu caracter personal nu prelucreaza date personale decat in situatia in care a fost instruit cum sa procedeze in acest sens (formare initiala si perfectionare continua). Este vital ca personalul angajat din cadrul operatorului sa inteleaga importanta protejarii datelorcu caracter personal,sa fie familiarizatcu Politica de securitate si procedurile ce trebuie puse in practica.
8. Accesul in spatiile in care se afla dispozitivele prin care se acceseaza sistemul trebuie acordat exclusiv personaluluicu atributii in acest sens, cu exceptia celor care asigura mentenanta sistemului. De altfel, in contractele cu furnizorii care asigura mentenanta sistemului informatictrebuie prevazute clauze specifice cu privire la protectia datelor cu caracterpersonal (clauze de confidentialitate cu privire la datele cu caracter personal). Asigurati-va ca acesti furnizori au implementate cerintele si principiile GDPR.
9. Operatorii de date cu caracter personal trebuie sa ia in considerare securitatea spatiilor in care sunt depozitate dispozitivele (calitate usi, incuietori, control acces etc.). Nu trebuie omis faptul ca scopul Regulamentului este acela de a forta operatorii sa isi adapteze procesele interne si relatiile cu altii (furnizori, beneficiari, popriisalariati),sa adopte masuri organizatorice speciale sisa implementeze proceduri de securitate adecvate, toate acestea pentru a asigura protectia datelor cu caracter personal.
10. In concluzie, detinerea unui registru electronic necesita, in plusfata de registrul clasic, adoptarea de masuri tehnice conforme cu GDPR. Pe de alta parte, din nefericire, tehnica informatica nu este nici pe departe suficienta, din pricina ca aspectele care tin de organizare sunt in realitate cheia conformarii.
2. Fiind vorba despre un sistem informatic, GDPR impune ca acesta sa fie supus unor masuri tehnice solide de natura a evita distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal (spre exemplu, pseudonimizare, criptare, proceduri de back-up, masuri de natura a asigura securitatea retelelor etc.).
3. O prima masura pe care o pot lua operatorii de date cu caracter personal este sa identifice si sa analizeze riscurile prezentate de prelucrarile pe care le efectueaza, astfel incatsa adopte un nivel adecvat de protectie. Aceasta masura trebuie urmata de stabilirea unui plan de securitate a informatiilor care sa cuprinda, in principal, securitatea tehnica pe plan informatic si securitatea spatiilor in care se prelucreaza datele cu caracter personal tinand cont de cerintele minime de securitate.
4. Este necesara intocmirea unei politici de securitate sau un document echivalent si asigurarea faptului ca aceasta politica este implementata. Trebuie sa fie organizate teste regulate si revizii asupra masurilor implementate pentru a se asigura ca acestea se mentin in continuare eficiente. Cand este cazul, aceste documente trebuie sa fie revizuite.
5. Suplimentar masurilor de natura tehnica, operatorii de date cu caracter personal trebuie sa aiba in vedere si alte chestiuni conexe, cum ar fi, spre exemplu, modalitatile de acces la sistemele de evidenta in vederea colectarii datelor, in functie de care se vor stabili si respecta masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal.
Este necesara reglementarea in cuprinsul procedurii interne a personalului care are acces la sistemul informatic(cu atributiicorespunzatoare prevazute in fisa postului)si modalitatea de utilizare, potrivit reglementarilor legale incidente in domeniu. De asemenea, este necesara desemnarea, in scris, a persoanei/persoanelor care vor prelucra datele personale sicare trebuie sa isi asume raspunderea pastrariiconfidentialitatii acestora; aceasta lista continand evidenta acestor persoane va fi actualizata ori de cate ori se impune.
6. O alta masura pe care o pot lua operatorii este sa numeasca, in scris, persoana specializata in securitatea informatiei care sa vegheze la prelucrarea datelor personale, inclusiv la buna functionare a sistemelor informatice utilizate in aceasta activitate. Trebuie luata in calcul revizuirea contractelor,care trebuie sa fie actualizate potrivit cerintelor si principiilor GDPR.
De asemenea, personalul care opereaza in sistem trebuie sa fie instruit cu privire la protectia datelorcu caracter personal (recomandam sa existe proceduri scrise cu privire la modalitatea instruirii si eventual a unui document semnat de persoanele instruite care atesta acest lucru).
7. Operatorii trebuie sa se asigure ca oricine actioneaza cu drept de acces la datele cu caracter personal nu prelucreaza date personale decat in situatia in care a fost instruit cum sa procedeze in acest sens (formare initiala si perfectionare continua). Este vital ca personalul angajat din cadrul operatorului sa inteleaga importanta protejarii datelorcu caracter personal,sa fie familiarizatcu Politica de securitate si procedurile ce trebuie puse in practica.
8. Accesul in spatiile in care se afla dispozitivele prin care se acceseaza sistemul trebuie acordat exclusiv personaluluicu atributii in acest sens, cu exceptia celor care asigura mentenanta sistemului. De altfel, in contractele cu furnizorii care asigura mentenanta sistemului informatictrebuie prevazute clauze specifice cu privire la protectia datelor cu caracterpersonal (clauze de confidentialitate cu privire la datele cu caracter personal). Asigurati-va ca acesti furnizori au implementate cerintele si principiile GDPR.
9. Operatorii de date cu caracter personal trebuie sa ia in considerare securitatea spatiilor in care sunt depozitate dispozitivele (calitate usi, incuietori, control acces etc.). Nu trebuie omis faptul ca scopul Regulamentului este acela de a forta operatorii sa isi adapteze procesele interne si relatiile cu altii (furnizori, beneficiari, popriisalariati),sa adopte masuri organizatorice speciale sisa implementeze proceduri de securitate adecvate, toate acestea pentru a asigura protectia datelor cu caracter personal.
10. In concluzie, detinerea unui registru electronic necesita, in plusfata de registrul clasic, adoptarea de masuri tehnice conforme cu GDPR. Pe de alta parte, din nefericire, tehnica informatica nu este nici pe departe suficienta, din pricina ca aspectele care tin de organizare sunt in realitate cheia conformarii.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
15Mar2019
Ce este Internetul lucrurilor (IoT)?
de Colectivul de Specialisti Rentrop&Straton
15 Mar 2019
05Mar2019
​Operatiuni fiscal-contabile simple ce atrag consecinte complicate in sfera protectiei datelor cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
05 Mar 2019
25Feb2019
​Responsabilitatea operatorilor pentru deciziile automate in cadrul GDPR
de Colectivul de Specialisti Rentrop&Straton
25 Feb 2019
20Ian2019
Scurta retrospectiva privind activitatea autoritatilor de supraveghere UE si practica GDPR pentru anul 2018
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
20Ian2019
Consimtamantul - obtinere, dovada, gestionare si revocare
de Laurentiu Petre
20 Ian 2019
Un produs marca