Cel mai important lucru pe care Autoritatea privind Protecția Datelor Personale (ANSPDCP) îl va solicita în cazul unui control, vor fi dovezi privind implementarea de măsuri tehnice și organizatorice privind protecția datelor cu caracter personal.
Bineînțeles, este vorba despre toate procedurile redactate în cadrul societății (Politica de confidențialitate; Politica de cookie-uri; Politica de abonare la newsletter; Politica de callcenter (dacă este cazul)), dar și alte documente care au legătură cu protecția datelor (Disclaimere GDPR aferente formularelor de pe website, text-ul personalizat pop-up cookie-uri, termeni și condiții aferente relației B2C (business to consumer) dacă este vorba de o societate care are prezență în on line).
Mai mult decât atât, este bine (chiar dacă Autoritatea nu cere expres) să se trimită chiar și o copie a Regulamentului Intern prin care sunt detaliate măsurile de protecție – inclusiv sancțiunile aplicate de societate în cazul în care acestea nu sunt respectate.
În schimb, nu va fi suficient să se trimită aceste documente Autorității – vor trebui transmise dovezi privind instructajul efectuat personalului – contractul cu societatea de avocați care a ținut training-ul sau cu specialistul în Protecția datelor, procesele verbale cu lista participanților, decizia administratorului privind participarea personalului la respectivele training-uri, eventuale teste date de participanți.
Documentele cerute de Autoritatea privind Protecția Datelor Personale
În concret, Autoritatea va solicita următoarele documente:
1. Care sunt scopurile în care prelucrați date cu caracter personal;
2. Dacă prelucrarea datelor este realizată în calitate de operator și/sau în calitate de împuternicit; în situația în care societatea are calitatea de împuternicit în sensul art. 4 pct. 8 din GDPR, o să i se solicite să anexeze o copie a contractului încheiat cu operatorul sau a altui act juridic, conform art. 28 din GDPR;
3. Dacă societatea utilizează la rândul ei persoane împuternicite care să prelucreze date personale pe seama societății, i se va solicita să anexeze o copie a fiecărui contract sau a altor acte juridice încheiate cu aceștia;
4. Care sunt categoriile de date cu caracter personal pe care le prelucrează pentru fiecare scop în parte;
5. Care este sursa din care sunt colectate datele;
6. Dacă datele sunt criptate sau pseudonimizate;
7. Modalitatea și dovada obținerii consimțământului expres prealabil al persoanei vizate ale cărei date personale au fost colectate, inclusiv în scop de marketing direct (promovare publicitară);
8. Dacă acordul este obținut numai pentru scopul specific inițial al prelucrării sau inclusiv pentru prelucrări ulterioare ori în alte scopuri;
9. Destinatarii către care sunt dezvăluite datele, temeiul legal și scopurile în care are loc această dezvăluire;
10. Care este modalitatea prin care se aduc la cunoștința persoanelor vizate drepturile prevăzute de art. 15-22 din GDPR, când/ de câte ori se realizează informarea persoanelor vizate conform art. 13 și 14 din GDPR, cu anexarea de dovezi;
11. În ce modalități se permite exercitarea drepturilor persoanei vizate, cu anexarea de dovezi;
12. Modul în care au fost soluționate eventualele cereri privind exercitarea drepturilor prevăzute de GDPR;
13. Care sunt perioadele de stocare a datelor personale;
14. Care este destinația ulterioară a datelor personale, prin ce operațiuni datele se distrug/ șterg sau transformă în date anonime, dacă este cazul;
15. Măsurile de securitate și confidențialitate a prelucrării datelor cu caracter personal ale persoanei fizice, conform art. 32 din GDPR;
16. Dovezi ale instruirii personalului societății privind prelucrarea în conformitate cu normele GDPR a datelor cu caracter personal.
Ce prevede legislația în domeniul protecției datelor personale
Astfel, solicitarea autorității va conține următoarele:
“Raportat la art.32 din Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), solicităm informații privind adoptarea de măsuri tehnice și organizatorice, atât anterior momentului incidentului de încălcare a securității datelor cu caracter personal, cât și după luarea la cunoștință privind incidentul produs, referitoare la:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării;
e) orice alte măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător.
În cazul în care ați implementat un sistem de management pentru securitatea informației certificat conform standardului ISO/IEC 27001:2013, vă solicităm să ne transmiteți următoarele:
– ultimul raport de audit privind această certificare,
– declarația de aplicabilitate (SoA),
– raportul de necomformități, precum și alte documente necesare din cadrul SMSI – Sistemul de Management al Securităţii Informaţiei.”
Deși nu este obligatorie implementarea sistemului de management pentru securitatea informației, este recomandabil să fie implementat, în acest fel în caz de control existând un avantaj semnificativ în a arăta demersurile efectuate de către societate în vederea prelucrării în mod legal a datelor cu caracter personal.
Cazuri în care Autoritatea privind Protecția Datelor Personale înregistrează plângeri
Dacă controlul este efectuat în baza unei plângeri în legătură cu prelucrarea nelegală a unor date cu caracter personal, atunci se vor solicita și informații specifice acelui caz.
Exemplu de solicitări specifice în cazul unei plângeri privind primirea de comunicări nesolicitate pe email:
– Care este sursa de unde a fost colectată adresa de e-mail a persoanei care a formulat plângerea;
– Ce date personale sunt prelucrate în legătură cu această persoană;
– Data colectării datelor;
– Destinația actuală a datelor în baza de date a societății;
– Dacă au fost dezvăluite altor destinatari și în baza cărui temei legal;
– Dovezi cu privire la informarea persoanei în legătură cu prelucrarea datelor personale;
– Răspunsul trimis la solicitarea acestuia de a i se șterge adresa de e-mail din baza de date, însoțit de dovada comunicării.