Potrivit Regulamentului GDPR calitatea de operator aparține persoanelor fizice sau juridice, autorităților publice, agențiilor și oricăror altor organisme care, singure sau împreună cu altele, stabilesc scopurile și mijloacele de prelucrare a datelor cu caracter personal.

În activitatea de prelucrare a datelor cu caracter personal, operatorul sau persoana împuternicită de operator are obligația de a adopta măsuri tehnice și organizatorice adecvate pentru a garanta că prelucrarea se efectuează conform prevederilor Regulamentului GDPR, cum ar fi:

  • anonimizarea sau criptarea datelor cu caracter personal;
  • reducerea prelucrării doar la acele date cu caracter personal care sunt necesare pentru fiecare scop specific indicat de operator;
  • permiterea accesului unui număr limitat de persoane la datele cu caracter personal prelucrate;
  • obținerea unui certificat de protecție a datelor cu caracter personal care să demonstreze îndeplinirea cerințelor privind implementarea măsurilor tehnice și organizatorice adecvate pentru protejarea datelor (vezi aici mai multe detalii despre acreditarea organismelor de certificare în România);
  • implementarea unor măsuri de restabilire a disponibilității datelor cu caracter personal și de acces rapid la acestea în cazul în care are loc un incident de natură a afecta securitatea prelucrării;
  • implementarea unui proces pentru evaluarea periodică a eficacității măsurilor tehnice și organizatorice adoptate pentru a garanta securitatea prelucrării.

Ce mai trebuie să știm? Măsurile tehnice și organizatorice adoptate de operator sau persoana împuternicită de operator trebuie revizuite și actualizate constant, astfel încât să asigure un nivel adecvat de protecție pe toată durata prelucrării.