PRINCIPII LEGATE DE PRELUCRAREA DATELOR CU CARACTER PERSONAL

  • – un principiu esenţial, strâns asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate „în mod legal, echitabil şi transparent faţă de persoana vizată.”;
  • – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri. Prelucrarea ulterioara în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică/ istorică ori în scopuri statistice nu se consideră incompatibilă de la scopurile iniţiale;
  • – orice colectare de date personale trebuie foarte bine analizată înainte de obţinerea efectivă a datelor, care trebuie să fie cele mai adecvate, relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate;
  • – datele cu caracter personal trebuie să fie exacte, şi, în cazul în care este necesar, trebuie sa fie actualizate; operatorii trebuie să ia toate măsurile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere;
  • – datele trebuie păstrate fix atât timp cat sunt necesare pentru prelucrarea asumată. Perioadele mai lungi de stocare sunt excepţii asociate cu activităţi  de prelucrare în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, conform art. 89, alin.1 din GDPR, sub rezerva punerii în aplicare a măsurilor tehnice şi organizatorice adecvate prevăzute de GDPR în vederea garantării drepturilor şi libertăţilor persoanei vizate;
  • – prelucrarea datelor personale trebuie făcută în cele mai adecvate condiţii de siguranţă, care să includă „protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”.

Nerespectarea acestui principiu expune direct la breșe de securitate și confidenţialitate şi, implicit, la penalităţile extrem de severe prevăzute de GDPR;

  • GDPR impune nu numai respectarea  principiilor GDPR – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să se demonstreze oricând aceasta respectare (responsabilitate).

În consecinţă:

  • Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă;
  • Ar trebui să fie transparent pentru persoanele fizice vizate că sunt colectate, utilizate, consultate sau prelucrate datele cu caracter personal care le privesc şi în ce măsură datele sunt sau vor fi prelucrate;
  • Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi ca trebuie să se utilizeze un limbaj simplu şi clar; acest principiu se referă în special la informarea persoanei vizate privind identitatea operatorului şi scopurile prelucrării, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care sunt prelucrate;
  • Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea;
  • Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective;
  • Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesita, în special,  asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum;
  • Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace;
  • Operatorul trebuie să stabilească termene pentru ștergere sau revizuirea periodică. Operatorul trebuie să ia toate masurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse;
  • Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.