Prelucrarea datelor cu caracter personal de catre societatile comerciale se va realiza cu respectarea principiilor prevazute in art. 5 din Regulament:
a) datele cu caracter personal trebuie prelucrate in mod legal, echitabil si transparent;
b) datele cu caracter personal trebuie prelucrate pentru scopuri determinate, explicite si legitime;
c) datele cu caracter personal trebuie sa fie adecvate, relevante si neexcesive;
d) datele cu caracter personal trebuie sa fie exacte si actualizate;
e) datele cu caracter personal trebuie sa fie pastrate pe o perioada care nu depaseste perioada necesara prelucrarii pentru scopul identificat;
f) datele cu caracter personal trebuie sa fie prelucrate intr-un mod care asigura securitatea adecvata a acestora.
Conform art. 4 din Regulament:
- operatorul este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal;
- persoana imputernicita de operator este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal pe seama operatorului.
- Diferenta dintre cele doua noutati este importanta in ceea ce priveste regimul juridic aplicabil, caracterizat, in esenta, prin faptul ca:
- Obligatiile operatorului sunt mai numeroase decat cele ale persoanei imputernicite. Spre pilda, cu exceptia unor situatii limitate, operatorul este obligat sa informeze persoanele vizate cu privire la prelucrare si caracteristicile acesteia.
- Raspunderea operatorului este mai extinsa decat cea a persoanei vizate, in special din perspectiva cazurilor de raspundere.
- Drepturile persoanelor vizate se exercita, in principal, in relatia cu operatorul, persoana imputernicita avand, de principiu, un rol de asistare a operatorului in exercitarea acestor drepturi.
Raportat la cele de mai sus, va fi esential ca persoanele juridice sa stabileasca daca, pentru fiecare prelucrare de date cu caracter personal, se califica drept operator sau persoana imputernicita.
- Prelucrarea datelor cu caracter personal se poate realiza in mod legal numai daca se bazeaza pe unul din temeiurile juridice prevazute la art. 6 alin. (1) din Regulament, respectiv:
- Consimtamantul persoanei vizate;
- Prelucrare necesara pentru incheierea sau executarea unui contract;
- Prelucrare necesara pentru indeplinirea unei obligatii legale;
- Prelucrare necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
- Prelucrare necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
- Prelucrare necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate.
- Sunt necesare cateva precizari privind selectarea temeiului juridic de prelucrare adecvat fiecarei categorii de prelucrare de date cu caracter personal:
- Tinand cont de scopurile urmarite prin prelucrarea datelor cu caracter personal, primul pas in evaluarea conformitatii unei prelucrari de date este determinarea temeiului juridic in baza caruia se face prelucrarea. Fara un temei juridic corect identificat, prelucrarea este ilegala;
- Alegerea temeiului de prelucrare trebuie facuta corect de la inceput, schimbarea ulterioara a temeiului, fara justificare adecvata, este echivalenta cu o neconformitate;
- Alegerea temeiului de prelucrare trebuie documentat (cel mai frecvent, prin evidenta activitatilor de prelucrare);
- Persoanele vizate trebuie informate cu privire la temeiul prelucrarii, ca principiu, inainte de inceperea prelucrarii.
- In cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, trebuie efectuata o evaluare care contine cel putin urmatoarele:
- o descriere sistematica a operatiunilor de prelucrare preconizate si a scopurilor prelucrarii, inclusiv, dupa caz, interesul legitim urmarit de operator
- o evaluare a necesitatii si proportionalitatii operatiunilor de prelucrare in legatura cu aceste scopuri
- o evaluare a riscurilor pentru drepturile si libertatile persoanelor vizate
- masurile preconizate in vederea abordarii riscurilor, inclusiv garantiile, masurile de securitate si mecanismele menite sa asigure protectia datelor cu caracter personal si sa demonstreze conformitatea cu dispozitiile prezentului regulament, luand in considerare drepturile si interesele legitime ale persoanelor vizate si ale altor persoane interesate.
- Evaluarea impactului privind protectia datelor (DPIA) este necesara mai ales cand avem urmatoarele situatii:
- – prelucrare automata, inclusiv crearea de profiluri, cu efect semnificativ asupra drepturilor persoanei;
- – prelucrare pe scara larga a unor categorii speciale de date, sau a unor date cu caracter personal privind condamnari penale si infractiuni o monitorizare sistematica pe scara larga a unei zone accesibile publicului
Operatorul se va consulta cu responsabilul cu protectia datelor atunci cand efectueaza aceasta evaluarea, dar si cu autoritatea de supraveghere inainte de prelucrare atunci cand evaluarea impactului asupra protectiei datelor prevazuta in DPIA indica faptul ca prelucrarea ar genera un risc ridicat in absenta unor masuri luate de operator pentru atenuarea riscului.