Scris de Procurement Hub
23 noiembrie 2022

GDPR, în practica Achizițiilor (I)

Note introductive

Rozalia Arsene

 

Revoluția informațională, proces devenit în ultimele decade irezistibil și, fără îndoială, ireversibil, a adus în prim plan și existența amenințărilor la adresa securității cibernetice. Volumul de date create și colectate peste tot în lume a crescut exponențial în ultimii ani, favorizând progresele tehnologice în ceea ce privește dezvoltarea sistemelor de informații și de comunicații și creșterea capacității persoanelor de a interacționa cu tehnologia și, aproape firesc, a intensificat nevoia protejării vieții private și a datelor cu caracter personal (DCP), piloni importanți ai construcției unui cadru eficient de asigurare a securității cibernetice.

În acest context, la nivelul UE, Parlamentul, Consiliul și Comisia au convenit asupra intentificării cadrului juridic aplicabil DCP prin înlocuirea acestuia cu un nou regulament privind protecția DCP pentru că ”… europenilor nu le plac dronele care zboară pe deasupra lor și le înregistrează fiecare mișcare, nici companiile care contabilizează fiecare click pe mouse” după cum aprecia cu o urmă de umor președintele de atunci al CE, Jean Claude Juncker.

Astfel, în 2016, apare GDPR (General Data Protection Regulation), în traducere Regulamentul 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul”).

 

Sistem bazat pe responsabilitate

Luând în considerare importanța creării unui climat de încredere care să permită economiei digitale să se dezvolte pe piața comunitară și persoanelor fizice să aibă control asupra propriilor date personale, scopul principal al legii europene este acela de impunere la nivelul tuturor membrilor UE a unui cadru solid și coerent în materie de protecție a datelor personale.

Prin sancțiuni răsunătoare, noul Regulament a consolidat arhitectura juridică a unui sistem bazat pe responsabilitateaoperatorilor implicați în utilizarea DCP. Acest principiu are ca obiectiv instituirea si aplicarea unui program de guvernanță eficace în vederea garantării conformității cu principiile Regulamentului. Accentuarea responsabilității operatorilor nu urmărește să supună operatorii de date unor noi principii, ci să asigure respectarea eficace, de facto, a celor existente.

Responsabilitatea constă pe de-o parte în adoptarea măsurilor adecvate în vederea aplicării principiilor privind protecția datelor și pe de altă parte, în necesitatea de a demonstra, la cererea autorităților competente și a persoanelor vizate, că au fost aplicate măsuri adecvate și eficiente de conformitate. Asumarea eficace a responsabilităților în practică atrage reducerea riscurilor de natură juridică, economică și reputaționale care pot decurge dintr-o practică deficitară, în materie de protecție a datelor și creșterea încrederii în modul de prelucrare a datelor de către operator.

Asumarea eficace a responsabilităților în practică reprezintă adoptarea unor măsuri adecvate în vederea instituirii unei protecții reale în practică a DCP. Măsurile cuprinse la nivel procedural în politici și instrucțiuni pot consta în: cartografierea operațiunilor de prelucrare a datelor și păstrarea unei evidențe cu privire la acestea, alocarea judicioasă a resurselor, inclusiv prin desemnarea persoanelor responsabile de organizarea conformității în materie de protecție a datelor și numirea unui responsabil cu protecția datelor; formarea și pregătirea membrilor personalului; gestionarea cererilor de exercitare a drepturilor de către clienți; asigurarea transparenței față de persoanele vizate prin publicarea politicilor de confidentialitate; identificarea încălcărilor privind securitatea DCP; efectuarea unor evaluări ale impactului asupra protecției datelor în circumstanțe specifice; punerea în aplicare a măsurilor de securitate adaptate evaluării și probabilității riscurilor pentru drepturile și libertățile persoanelor și supravegherea implementării efective a măsurilor pentru a garanta faptul că acestea nu sunt implementate doar la nivel scriptic.

 

Responsabilitatea GDPR vizează și furnizorii, parteneri ai Achizițiilor

Responsabilitatea vizează atât măsurile adoptate privind utilizarea directă, prin resurse proprii a datelor, cât și pe cea indirectă atunci când sunt implicați terți furnizori cu care operatorul întră în relații contractuale și care prestează pentru acesta servicii sau furnizează bunuri. În categoria la care facem referire se pot încadra de la furnizorii de cercetări de piață, până la furnizorii de cloud computing.

După cum vedeți, amploarea prevederilor instituite prin Regulament are impact atât asupra relației directe dintre entitatea economică și persoana fizică ale cărei date sunt operate, cât și asupra modului în care sunt utilizate DCP pe întreaga perioadă de prelucrare a lor, la nivelul celui care colectează și operează datele, dar și la nivelul furnizorilor cu care acesta lucrează, în măsura în care ei accesează datele personale deținute de operatorul economic. Astfel, relația cu furnizorii, constituie o măsură de natură a pune în implementare a prevederilor Regulamentului privind gestionarea destinatarilor DCP. Aceste măsuri trebuie instituite la nivel organizatoric anterior contractării serviciilor cu furnizorii, iar la nivel procedural trebuie să fie aplicate atât din etapa de selecție, de evaluare a furnizorilor, cât și pe durata derulării contractelor, de la încheierea la încetarea lor, în vederea urmăririi modului de executare a contractului din perspectiva prelucrării datelor cu caracter personal.

Adoptarea de către un operator de date de măsuri în vederea respectării principiilor de prelucrare și de responsabilitate, în măsura existenței unei implementării eficace și efeciente, desi nu protejează de măsurile coercitive care ar putea fi luate împotriva sa de autoritățile de protecție a datelor în caz de încalcare a prevederilor Regulamentului, pot constitui circumstanțe atenuante la individualizarea tipului și valorii sancțiunii aplicate, raportat la natura încalcării, numărul persoanelor vizate, volumului și categoriei DCP afectate de încălcare.

Share if you care

Articole asemănătoare

Stabilirea termenelor de plată cu furnizorii, un echilibru delicat

În lumea dinamică a achizițiilor, în care stabilitatea financiară și eficiența operațională sunt obiective supreme, stabilirea condițiilor de plată cu […]

Citeste mai mult

Excesul de încredere în negociere, potențator sau sabotor?

Excesul de încredere este o realitate pe care mulţi o experimentează direct, în relaţia cu ceilalţi sau cu sine, un […]

Citeste mai mult

Furnizorii, aliați sau inamici?

Furnizorii, aliați sau inamici? “Ține-ți prietenii aproape și dușmanii și mai aproape!” spunea Sun Tzu în celebra Arta Războiului. Alina […]

Citeste mai mult

Categorii

Arhiva