După cum bine ştim, datele cu caracter personal reprezintă orice informație privind o persoană fizică identificată, sau identificabilă. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Regulamentul European nr. 679/2016 extinde definiția datelor cu caracter personal, incluzănd şi identificatori online, date genetice şi biometrice, cum ar fi amprentele digitale, scanarea retinei, recunoaşterea vocală şi facială. Parolele sunt, de asemenea, considerate date personale. Curtea de Justiție a Uniunii Europene a decis, în cauza C-582/14 – Breye, faptul că inclusiv o adresă IP poate fi, în anumite circumstanțe, o dată cu caracter personal.
În cazul unui ONG, în categoria datelor cu caracter personal pot fi incluse: datele membrilor fondatori sau membri aderenţi, datele persoanelor înscrise la newsletter, datele vizitatorilor paginii web, datele vizitatorilor paginilor de socializare, datele angajaţilor sau colaboratorilor, datele contribuitorilor, datele participanţilor la diversele evenimente organizate de ONG, etc.
De remarcat că pentru conceperea unei politici corecte de prelucrare a datelor, este oportun să se identifice temeiul legal al prelucrării datelor. În privinţa ONG-urilor, temeiul legal principal rezultă din Regulamentul European nr. 679/2016 si este reprezentat de:
- consimţământ, în cazul datelor pentru newslettere, sau evenimente organizate (art. 6 (1) lit. a) ),
- de executarea unui contract la care persoana fizică vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract ( art. 6 (1) (b)),
- prelucrarea este necesara în vederea îndeplinirii unei obligaţii legale care îi revine ONG-ului, si interesele legitime ale ONG-ului (art. 6 (1) (f)).
- în mod excepţional, poate fi inclus şi interesul vital ca temei de prelucrare, atunci când prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei fizice vizate (art. 6 (1) lit. d)), sau prelucrarea datelor cu caracter personal ar trebui, de asemenea, considerată legală atunci când este necesară protecţia unui interes esenţial pentru viaţa persoanei vizate sau a unei alte persoane fizice.
În cele mai multe cazuri, protecția interesului vital poate să apară şi în contextul datelor privind sănătatea. Aceste date fac parte din categoriile speciale de date, ceea ce înseamnă că va trebui să fie respectată o condiție specială pentru prelucrarea lor (art. 9 ). În ceea ce priveşte prelucrarea datelor cu caracter personal în temeiul interesul vital, condiţia obligatorie este ca persoana vizată să fie membră sau să întreţină cu asociaţia relaţii care privesc specificul asociaţiei.
Un ONG poate transmite datele personale imputerniciţilor, care pot fi persoane fizice sau juridice, autorităţilor publice, agenţiilor sau altor organisme care prelucrează datele cu caracter personal în numele ONG-ului. Exemple de persoane împuternicite pot fi: bănci, furnizori de marketing, programatori, sau cei care găzduiesc site-ul, toţi cei care sunt integraţi în site, cum ar fi: Google Analitics, Facebook, etc. În toate cazurile, ONG-ul va trebui să încheie o convenţie scrisă cu împuternicitul, iar un transfer legal poate fi realizat numai pe baza unor instrucţiuni documentate şi obligaţii de confidenţialitate incorporate.
Conform regulamentului, ONG-urile au obligatia să ia măsuri pentru a păstra în siguranţă toate datele cu caracter personal. Printre masurile minime se numără măsurile organizatorice, care constau în limitarea numărului de persoane din cadrul organizaţiei care au acces la datele cu caracter personal şi măsuri tehnice, cum ar fi criptarea. Regulamentul nu specifică şi nu impune măsuri concrete de securitate pe care trebuie să le ia organizaţiile. În schimb, acesta cere ca aceste măsuri să fie stabilite de fiecare organizaţie în parte, ţinând cont de factori, cum ar fi: categoria şi natura datelor cu caracter personal pe care le colectează, cât de sensibile sunt acestea şi riscurile generate de prelucrarea lor.
Printre riscurile frecvente pe care un ONG ar trebui să le ia în considerare se numără: intruziunea fizică, angajaţi rău-intenționati, pierderea accidentală sau atacurile hackerilor. Dezvoltarea unui plan de gestiune a riscurilor şi luarea unor măsuri de reducere a riscurilor, cum ar fi protejarea prin parolă, jurnale de audit şi implementarea sistemelor de criptare, pot ajuta un ONG să-şi asigure conformitatea.
Regulamentul defineşte “încălcarea securităţii datelor cu caracter personal” ca “o încălcare a securităţii care duce, în mod accidental, sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea”.
În cazul unei astfel de încălcări, este obligatorie notificarea Autorităţii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în termen de 72 de ore de la luarea la cunoştinţă. De asemenea, este posibil să fie obligatorie notificarea şi a clientilor (sau a “persoanelor vizate”), dacă exista un risc semnificativ de vătămare a acestora din cauza încălcării respective.
