Garantiile adecvate din partea Operatorului pentru transferul datelor
Potrivit Legii nr. 677/2001, prelucrarea datelor personale, inclusiv dezvaluirea catre terti, se poate face in anumite cazuri si numai cu avizul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, insa doar cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.
In oricare dintre aceste situatii, operatorul trebuie sa respecte principiul caracterului adecvat, pertinent si neexcesiv, precum si masurile de confidentialitate si de securitate a prelucrarilor. Concret, el trebuie sa instituie asa numitele garantii adecvate.
Prin Decizia ANSPDCP nr. 132/201, in considerarea prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de operatori care nu sunt stabiliti in Romania, prin utilizarea de mijloace de orice natura situate pe teritoriul Romaniei, cu exceptia cazului in care aceste mijloace nu sunt utilizate decat in scopul tranzitArii pe teritoriul
Romaniei a datelor cu caracter personal care fac obiectul prelucrarilor respective (art. 2 lit. c) din Legea nr. 677/2001), au fost instituite urmatoarele garantii adecvate:
Romaniei a datelor cu caracter personal care fac obiectul prelucrarilor respective (art. 2 lit. c) din Legea nr. 677/2001), au fost instituite urmatoarele garantii adecvate:
a) scopul prelucrarii sa fie determinat, explicit si legitim;
b) stabilirea si aplicarea unor masuri prin care sa se asigure exercitarea drepturilor persoanelor vizate;
c) durata de stocare a datelor sa fie pe perioada strict necesara indeplinirii scopului, dupa care datele vor fi sterse sau distruse, dupa caz;
d) stabilirea modalitatilor de acces la sistemele de evidenta in vederea colectarii datelor, in functie de care va stabili si va respecta masuri tehnice si organizatorice adecvate pentru protejarea datelor;
e) utilizarea datelor numai in limitele scopului stabilit;
f) dezvaluirea catre alti destinatari este interzisa, cu exceptia situatiei in care exista consimtamantul persoanei vizate sau o prevedere legala expresa;
g) desemnarea, in scris, a persoanei/persoanelor care va/vor prelucra datele si care trebuie sa isi asume raspunderea pastrarii confidentialitatii acestora; lista continand evidenta acestor persoane va fi actualizata ori de cate ori se impune;
h) numirea, in scris, a unei persoane specializate in securitatea informatiei care sa vegheze la prelucrarea datelor, inclusiv la buna functionare a sistemelor informatice utilizate in aceasta activitate;
i) stabilirea unui plan de securitate a informatiilor care sa cuprinda, in principal, securitatea tehnica pe plan informatic si securitatea spatiilor in care se prelucreaza datele, tinand cont de cerintele minime de securitate;
j) stabilirea, in scris, a drepturilor si obligatiilor operatorului care transmite datele si ale operatorului care le primeste.
Regulamentul instituie noi garantii ce asigura protectia adecvata a datelor cu caracter personal supuse transferului.
Transferul datelor cu caracter personal catre un stat tert, un teritoriu sau un sector specificat dintr-un stat tert sau o organizatie internationala nu necesita autorizare atunci cand Comisia Europeana a decis printr-o decizie privind caracterul adecvat al nivelului de protectie ca statul tert, teritoriul, sectorul specificat sau organizatia internationala ofera un nivel de protectie adecvat.
In absenta unei decizii privind caracterul adecvat al nivelului de protectie, operatorul sau persoana imputernicita trebuie sa adopte masuri care sa compenseze lipsa protectiei datelor intr-un stat tert prin adoptarea unor garantii eficiente pentru persoanele vizate, cum ar fi:
- un instrument obligatoriu din punct de vedere juridic si executoriu intre autoritatile sau organismele publice (acorduri administrative);
- reguli corporatiste obligatorii (binding corporate rules);
- clauzele standard de protectie a datelor adoptate de Comisia Europeana;
- clauzele standard de protectie a datelor adoptate de autoritatea de supraveghere;
- un cod de conduita aprobat;
- un mecanism de certificare aprobat;
- clauze contractuale intre operator sau persoana imputernicita de operator si operatorul, persoana imputernicita de operator sau destinatarul datelor din statul tert sau organizatia internationala;
- dispozitii care urmeaza sa fie incluse in acordurile administrative dintre autoritatile sau organismele publice, care includ drepturi opozabile si efective pentru persoanele vizate (autorizatia autoritatii competente ar trebui obtinuta cand garantiile sunt oferite prin acorduri administrative fara caracter juridic obligatoriu).
Pe langa functia de garantie adecvata pentru transferul de date cu caracter personal in strainatate, codurile de conduita au ca scop adaptarea aplicarii Regulamentului in functie de nevoile specifice fiecarui caz in parte, iar mecanismele de certificare vin sa probeze respectarea de catre operatori si persoanele imputernicite de catre acestia a dispozitiilor noii reglementari.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
30Mai2024
Consimtamantul salariatilor pentru utilizarea datelor cu caracter personal: cand este necesar?
de Colectivul de Specialisti Rentrop&Straton
30 Mai 2024
25Apr2024
Stergerea datelor fostilor angajati, si aplicabilitatea dreptului de a fi uitat
de Colectivul de Specialisti Rentrop&Straton
25 Apr 2024
28Feb2024
Siguranta datelor clientilor, din perspectiva GDPR
de Colectivul de Specialisti Rentrop&Straton
28 Feb 2024
31Ian2024
Fotografierea angajatilor nu incalca GDPR. Stocarea pozelor in baza de date a firmei, DA!
de Colectivul de Specialisti Rentrop&Straton
31 Ian 2024