Protejarea datelor personale din Registrul electoral

Raspuns: Fiind vorba despre un sistem informatic, GDPR impune ca acesta sa fie supus unor masuri tehnice solide de natura a evita distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal (spre exemplu, pseudonimizare, criptare, proceduri de back up, masuri de natura a asigura securitatea retelelor etc.). Trebuie sa identificati si sa analizati riscurile prezentate de prelucrarile pe care le efectuati astfel incat sa adoptati un nivel adecvat de protectie. Stabiliti un plan de securitate a informatiilor care sa cuprinda, in principal, securitatea tehnica pe plan informatic si securitatea spatiilor in care se prelucreaza datele, tinand cont de cerintele minime de securitate.

Trebuie sa intocmiti o politica de securitate sau un document echivalent si sa va asigurati ca aceasta politica este implementata. Trebuie sa organizati teste regulate si revizii asupra masurilor implementate pentru a va asigura ca acestea se mentin in continuare eficiente. Cand este cazul, aceste documente trebuie sa fie revizuite. Suplimentar masurilor de natura tehnica, trebuie sa aveti in vedere si alte chestiuni conexe. Stabiliti modalitatile de acces la sistemele de evidenta in vederea colectarii datelor, in functie de care se va stabili si va respecta masurile tehnice si organizatorice adecvate pentru protejarea datelor.

Reglementati in cuprinsul procedurii interne personalul care are acces la sistemul informatic (cu atributii corespunzatoare prevazute in fisa postului) si modalitatea de utilizare, potrivit reglementarilor legale incidente in domeniu. Desemnati, in scris, persoana/persoanele care va/vor prelucra datele si care trebuie sa isi asume raspunderea pastrarii confidentialitatii acestora; aceasta lista continand evidenta acestor persoane va fi actualizata ori de cate ori se impune. Numiti, in scris, persoana specializata in securitatea informatiei care sa vegheze la prelucrarea datelor, inclusiv la buna functionare a sistemelor informatice utilizate in aceasta activitate. Luati in calcul revizuirea contractelor, care trebuie sa fie actualizate potrivit cerintelor si principiilor GDPR.

De asemenea, personalul care opereaza in sistem trebuie sa fie instruit cu privire la protectia datelor cu caracter personal (recomandam sa existe proceduri scrise cu privire la modalitatea instruirii si eventual a unui document semnat de persoanele instruite care atesta acest lucru). Trebuie sa va asigurati ca oricine actioneaza cu drept de acces la datele cu caracter personal nu prelucreaza date personale decat in situatia in care l-ati instruit cum sa procedeze in acest sens (formare initiala si perfectionare continua).

Prin urmare, este vital ca personalul angajat din cadrul companiei dumneavoastra sa inteleaga importanta protejarii datelor cu caracter personal, sa fie familiarizat cu Politica de securitate si procedurile ce trebuie puse in practica. Accesul in spatiile in care se afla dispozitivele prin care se acceseaza sistemul trebuie acordat exclusiv personalului cu atributii in acest sens, cu exceptia celor care asigura mentenanta sistemului.

De altfel, in contractele cu furnizorii care asigura mentenanta sistemului informatic trebuie prevazute clauze specifice cu privire la protectia datelor cu caracter personal (clauze de confidentialitate cu privire la datele cu caracter personal). Retineti faptul ca acesti furnizori reprezinta in acceptiunea GDPR persoane imputernicite - care actioneaza exclusiv in baza instructiunilor scrise ale operatorului (institutiei publice) si care ar trebui sa va furnizeze garantii cu privire la protectia datelor cu caracter personal (fiind obligate la randul lor sa asigure securitatea datelor). Asigurati-va ca acesti furnizori au implementate cerintele si principiile GDPR. Luati in considerare de asemenea, securitatea spatiilor in care sunt depozitate dispozitivele (calitate usi, incuietori, control acces etc.).

Retineti faptul ca scopul Regulamentului este acela de a forta operatorii sa isi adapteze procesele interne si relatiile cu altii (furnizori, beneficiari, poprii salariati), sa adopte masuri organizatorice speciale si sa implementeze proceduri de securitate adecvate, toate acestea pentru a asigura protectia datelor cu caracter personal.

Pe de alta parte, din nefericire, tehnica informatica nu este nici pe departe suficienta, din pricina ca aspectele care tin de organizare sunt in realitate cheia conformarii. In calitate de institutie publica, aveti obligatia potrivit GDPR sa desemnati un DPO (responsabil cu protectia datelor cu caracter personal), care va poate ajuta la atingerea conformitatii in privinta protectiei datelor cu caracter personal. Pe fondul problemei, luati in calcul durata de stocare a datelor cu caracter personal - pe perioada strict necesara indeplinirii scopului, utilizarea datelor numai in limitele scopului stabilit etc. Stabiliti, in scris, drepturile si obligatiile operatorului care transmite datele si ale operatorului care le primeste.