GDPR - Noul regulament pentru protecția datelor a intrat în vigoare în UE. În România, însă, nu pot fi încă aplicate amenzi. GHID pentru evitarea sancțiunii

Regulamentul UE referitor la protecția persoanelor fizice (GDPR) în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date este aplicat de astăzi în România și în celelalte state ale Uniunii Europene. Firmele trebuie să își revizuiască programele de conformitate a protecției datelor. În România, controalele și amenzile, care ajung până la 20 de milioane de euro sau 4% din cifra de afaceri, vor trebui, însă, să mai aștepte, întrucât legislația necesară a fost adoptată abia săptămâna aceasta de Parlament și se află la promulgare.

Sancțiuni severe

Noul Regulament prevede sancțiuni administrative severe, iar acestea pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri la nivel internațional pentru încălcarea regulilor referitoare la comunicări nesolicitate ori până la 20 milioane de euro sau 4% din cifra de afaceri la nivel internațional pentru prelucrarea nelegală, potrivit unui document GDPR întocmit de firma de consultanță Accace.

Senatul, cameră decizională, a aprobat marți un proiect de lege care modifică Legea 102/2005 privind organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, proiect care transpune în legislația internă Regulamentul UE. De asemenea, au fost aprobate amendamente la Legea 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, având același scop.

"Întrucât legea care modifică legislația privind organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal a fost avizată de Guvern doar cu o lună inainte de intrarea în vigoare a GDPR, a fost adoptată de Parlament doar cu 3 zile înainte de aplicarea regulamentului și încă nu a fost promulgată, autoritățile din România nu vor putea face controale și nu vor putea da amenzi chiar de pe 25 mai, în pofida faptului că noul regulament intră în vigoare de la această dată", a declarat pentru Profit.ro Andreea Manolache, senior associate Accace.

De altfel, înainte de a fi trimisă la promulgare, legea a mai trebuit să aștepte și două zile, la secretariatele generale ale celor două camere ale legislativului, în vederea unei eventuale exercitări a dreptului de sesizare a Curții Constituționale de către parlamentari. Prin urmare, procedural, cel mai devreme abia astăzi, în ziua intrării în vigoare a GDPR, legea poate fi trimisă spre promulgare președintelui.

Legea adoptată de Senat, trimisă destul de târziu la promulgare, ar urma să intre în vigoare la 3 zile de la publicarea în Monitorul Oficial. În lipsa acesteia, autoritatea de control funcționează după vechea legislație.

De asemenea, un ghid de aplicare a noilor reguli, astfel încât să fie evitate amenzile, este disponibil AICI.

Motivele adoptării regulamentului

• Principiile și normele referitoare la protecția persoanelor fizice, în ceea ce privește prelucrarea datelor lor cu caracter personal, ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal;
• Regulamentul urmărește să contribuie la realizarea unui spațiu de libertate, securitate și justiție și a unei uniuni economice, la progresul economic și social, la consolidarea și convergența economiilor în cadrul pieței interne și la bunăstarea persoanelor fizice;
• Apărarea dreptului la viață intimă, familială și privată în privința prelucrării datelor cu caracter personal. Regulamentul impune un set unic de reguli direct aplicabile in toate statele membre ale Uniunii Europene și înlocuiește Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

Date cu caracter personal

Este considerată dată cu caracter personal orice informație referitoare la o persoană fizică identificată sau identificabilă. O persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Date cu nivel de protecție normal

• Nume
• Prenume
• Adresa e-mail
• Număr telefon
• Numărul unui cont bancar
• Data nașterii
• Număr de identificare personal etc.

CITEȘTE ȘI EXCLUSIV Industria locală de turism discută cu Finanțele reintroducerea unei reglementări a bacșișului în hoteluri și restaurante

Cu alte cuvinte, orice date care permit compromiterea directă sau indirectă a identității unei persoane prin intermediul unei terțe părți.

Date sensibile

• Date genetice - Definite în documente internaționale ca date referitoare la caracteristicile ereditare ale unei persoane sau la modelul ereditar al unor astfel de caracteristici referitoare la un grup de persoane dintr-o familie, datele genetice sunt date cu caracter personal în sensul Directivei 95/46/EC, deoarece permit identificarea persoanei în cauză, punând în evidență unicitatea acesteia.
• Date biometrice - Datele biometrice incluse în documentele electronice sunt imaginea faciala în format digital și imaginile impresiunilor papilare a doua degete, în format digital.
• Date privind sănătatea unei persoane - Presupun date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia.

Condiții de prelucrare

Datele vor fi:

• Prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparență);
• Adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (reducerea la minimum a datelor).

Condiții de prelucrare a datelor

Prelucrarea legală a datelor se face în următoarele condiții:

• Persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
• Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
• Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care ii revine operatorului;
• Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; ▪ Prelucrarea este necesara pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul;
• Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile si libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Drepturi noi ale persoanei vizate aduse de Regulament

• Dreptul de acces la date - dreptul de a obține de la operator informații cu privire la ce informații prelucrează, scopul lor etc.
• Dreptul la rectificarea datelor - dreptul de a obține de la operator rectificarea datelor cu caracter personal inexacte care o privesc
• Dreptul la ștergea datelor (dreptul de a fi uitat) - persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate
• Dreptul la restricționarea prelucrării - este dreptul de a obtine restricționarea prelucrării datelor de către persoana vizată

Prevederi specifice referitoare la minori

Conform noului Regulament, copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucăt pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal.

Această protecție specifică ar trebui să se aplice, în special, utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct acestora. Consimțământul titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.

CITEȘTE ȘI EXCLUSIV Eurostat nu acceptă garanții guvernamentale pentru Fondul Suveran și cere ca acesta fie autonom, chiar dacă statul poate pierde majoritatea la companiile de stat. Lista companiilor incluse a fost redusă

Întrucât copiii necesită o protecție specifică, orice informație și orice comunicare, în cazul în care prelucrarea vizează un copil, ar trebui sa fie exprimate intr-un limbaj simplu si clar, astfel încât copilul să îl poată înțelege cu ușurință.

Dacă acesta are vârsta sub 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

Numirea unui responsabil cu protecția datelor (DPO)

Desemnarea unui responsabil cu protecția datelor

Operatorul ori persoana împuternicită de operator va desemna un responsabil cu protecția datelor ori de cate ori:

• Prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
• Activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
• Activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Sarcinile responsabilului cu protecția datelor

• Informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului Regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;
• Monitorizarea respectării Regulamentului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunilor de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
• Furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
• Cooperarea cu autoritatea de supraveghere;
• Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă și, dacă este cazul, consultarea cu privire la orice altă chestiune.

Transferul datelor în afara UE

Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat.

CITEȘTE ȘI EXCLUSIV Noile reglementări privind parteneriatul public-privat au fost adoptate deși mediul de afaceri reclamă că sunt inaplicabile și anulează șansele realizării oricărui proiect PPP

Transferurile realizate în aceste condiții nu necesită autorizări speciale. În absența unei decizii, operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță sau o organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.

Cartografierea datelor

Începand cu 25 mai 2018, toți operatorii din sistemul public, persoanele împuternicite de operatori, precum și operatorii din sistemul privat cu mai mult de 250 de angajați au obligația de a cartografia prelucrările de date cu caracter personal efectuate. 

Obligația de cartografiere este necesară și în cazul în care prelucrarea pe care o efectuează operatorul este susceptibilă de a genera un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Respectiva evidență a activităților de prelucrare va cuprinde următoarele informații:

• Numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
• Scopurile prelucrării;
• Descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
• Categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
• Dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respectiv, documentația care dovedește existența unor garanții adecvate;
• Acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
• Acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate.

Evidența se va păstra în scris, inclusiv în format electronic.

La cerere, operatorul sau persoana împuternicită de acesta, precum și, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator vor pune evidențele la dispoziția autoritatii de supraveghere.

One stop shop

Pentru operatorii de date care își desfășoară activitățile în mai multe state membre UE, autoritatea de supraveghere competentă este cea din statul membru în care operatorul respectiv își are stabilit sediul principal.

Încălcarea securității datelor

Operatorul și persoanele împuternicite vor avea obligația de notificare a autorității de supraveghere în cazul în care are loc o încălcare a securității datelor.

Notificarea se va face în maximum 72 ore de la data la care Operatorul a luat cunoștință de această încălcare. În cazul în care există un risc major pentru drepturile și libertățile persoanei vizate (de exemplu, furt de identitate), aceasta va fi informată în cel mai scurt timp.

Dreptul la despăgubiri și răspundere

Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului Regulament are dreptul să obțină despagubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.

Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă Regulamentul. Persoana împuternicită de operator este răspunzatoare pentru prejudiciul cauzat de prelucrare numai în cazul in care nu a respectat obligațiile din prezentul Regulament, care revin, în mod specific, persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului.