GDPR - Regulamentul General pentru Protecţia Datelor
Textul integral al acestuia, prelucrat în vederea unei navigări facile între cuprins şi articole, poate fi consultat aici.
Ce înseamnă GDPR ?
GDPR sunt iniţialele de la „General Data Protection Regulation”, Regulamentul privind Protecţia Datelor Personale. Este un regulament adoptat de Parlamentul European sub numărul 679 la data de 27 aprilie 2016 şi reprezintă cea mai importantă decizie luată în ultimii 20 de ani la nivelul Uniunii Europene în domeniul protecţiei vieţii private a cetăţenilor europeni, prin protecţia împotriva prelucrării abuzive a datelor personale ale acestora. Deşi a fost adoptat încă din 2016, a fost prevăzut un termen de graţie de doi ani până la intrarea în vigoare. Acest termen a fost impus de complexitatea regulilor instituite pentru toate instituţiile sau companiile private care prelucrează indiferent prin ce mijloace, date personale ale cetăţenilor europeni, de asemenea, indiferent de locul în care îşi are sediul pe glob acea organizaţie.
Data de 25 mai 2018 este ziua din care Regulamentul a intrat în vigoare, prevederile sale devenind obligatorii. Deşi cel mai adesea această dată a fost asimilată cu amenzile enorme prevăzute de Regulament, maximul acestora ajungând la 20.000.000 euro sau 4% din cifra de afaceri mondială cu obligativitatea de alegere a celei mai mari valori, trebuie ţinut cont de faptul că aceste amenzi nu pot fi aplicate peste noapte (şi în niciun caz în noaptea dintre 25 şi 26 mai 2018...), şi mai ales, de către oricine. Doar autoritatea de supraveghere descrisă şi prevăzută prin Regulament, poate aplica astfel de amenzi. Pe de altă parte însă, prin Legea 129/2018, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, poate constata în termen de 3 ani încălcări ale legislației cu privire la prelucrarea și protecția datelor cu caracter personal, luând în considerare termenul scurs de la momentul producerii acestora și până la constatarea încălcării
Revenind la amenzi, Regulamentul prevede în plus circumstanţe atenuante şi agravante (care pot micşora cuantumul amenzii sau dimpotrivă, îl pot apropria de valoarea maximă) dar mai ales, impune pentru autoritatea care aplică amenda, obligativitatea de a respecta condiţiile stabilite de Regulament pentru impunerea amenzilor administrative. Iar multe din aceste condiţii necesită analiza acţiunilor desfăşurate în timp, de operator, în ceea ce priveşte încălcările comise şi constatate sau semnalate.
Aşadar, nicio companie sau instituţie europeană nu poate fi amendată încă din data de 26 mai 2018, căci tehnic şi legal, nu este posibil a fi întrunite toate condiţiile privind aplicarea amenzilor. Dar asta nu înseamnă că măsurile care trebuie implementate, pot fi amânate şi după 25 mai 2018 fără nicio grijă. Aţi putea sta liniştiţi în ceea ce priveşte acest termen, doar dacă aveţi garanţia că datele prelucrate prin instituţia sau compania dvs. nu sunt accesate ilegal de alte persoane, nu pot fi transferate ilegal pe suporţi de date care nu vă aparţin şi nici nu fac obiectul unor transferuri periodice cu alţi operatori. Adică garanţia unor riscuri egale cu 0, legat de siguranţa datelor. Şi în plus, mai trebuie să aveţi garanţia ca nicio persoană ale cărei date le prelucraţi, nu vă adresează încă din 26 mai 2018 vreo solicitare cu privire la noile drepturi pe care le are conform acestui Regulament, solicitare pe care dacă nu o soluţionaţi corespunzător, dă posibilitatea acelei persoane de a formula o plângere autorităţii de supraveghere.
Care sunt paşii de urmat pentru ca prelucrarea datelor personale, să se facă într-un mod compatibil cu prevederile Regulamentului ?
1. Asiguraţi-vă că aţi înţeles corect care sunt obiectivele Regulamentului. Aceste obiective trebuie să le aveţi permanent în „minte” atunci când operaţi datele personale ale celor cu care intraţi în contact. Chiar dacă uneori mai pot apare derapaje de la prevederile Regulamentului, mai ales la început, urmărind aceleaşi obiective ca şi iniţiatorii acestuia va fi imposibil ca derapajele în cauză să fie atât de grave încât să puteţi fi amendat legal cu sumele acelea imense prevăzute în textul reglementării.
2. Analizaţi datele personale de care aveţi nevoie pentru derularea activităţilor dumneavoastră şi verificaţi dacă nu reţineţi date în plus fără să aveţi neapărat nevoie de ele. Identificaţi situaţiile în care este necesar obţinerea consimţământului (dacă nu aveţi altă bază legală privind prelucrarea) şi identificaţi tipul de consimţământ pe care trebuie să-l elaboraţi, procedând apoi la distribuirea acestuia către persoanele vizate de prelucrările dvs. de date. Țineți cont că această bază legală pentru prelucrare, are un dezavantaj major: poate dispare oricând, prin retragerea consimțământului.
3. Dacă datele sunt prelucrate în cadrul unei instituţii publice, sau sunteţi o persoană juridică de drept privat aflată în situaţia de a prelucra date considerate de Regulament sau de Legea 190/2018 ca având un regim special, începeţi să căutaţi printre angajaţii dvs. o persoană care ar putea îndeplini rolul de Responsabil cu protecţia datelor. Ideal ar fi să aibă o dublă specializare: jurist şi IT-ist, dar poate fi jurist cu cunoştinţe în domeniul IT-ului, sau un IT-ist cu experienţă, cunoştinţe şi/sau certificări în domeniul protecţiei datelor prelucrate electronic. După ce aţi făcut o analiză a costurilor rezultate prin desemnarea unei persoane din rândul personalului propriu, incluzând şi instruirile la care va trebui poate să-l trimiteţi, puteţi compara rezultatul cu ofertele de achiziţie a unui serviciu externalizat de Responsabil cu protecţia datelor.
Din acest moment, toate activităţile descrise mai departe vor trebui derulate sub coordonarea şi consilierea Responsabilului cu protecţia datelor, dacă vă aflaţi în situaţia în care Regulamentul vă obligă să desemnaţi unul.
4. Elaboraţi-vă un set de proceduri de securitate menite să asigure prelucrarea datelor în conformitate cu obligaţiile care vă revin, cu drepturile persoanelor şi mai ales cu cerinţele de securitate impuse de Regulament, precum şi un plan prevăzut pentru situaţii de urgenţă, prin care datele să poată fi disponibile chiar și în condiții de forță majoră. Verificaţi dacă sistemele informatice proprii permit implementarea tehnică a măsurilor de securitate descrise în proceduri. Consultaţi departamentul IT sau achiziţionaţi un serviciu de consultanţă în acest sens, cu privire la modul în care vor trebui adaptate sistemele informatice din perspectiva măsurilor de securitate impuse de Regulament. Abia după acest moment puteţi estima ce se poate implementa cu resursele pe care le aveţi deja şi ce investiţii mai aveţi de făcut.
5. Elaboraţi un plan de verificare şi monitorizare continuă a modului de respectare a prevederilor Regulamentului. Acest plan trebuie să includă şi monitorizarea evoluţiei legislaţiei interne în domeniu, întrucât Regulamentul dă posibilitatea statelor membre să adauge în anumite limite, restricţii şi obligaţii suplimentare pentru operatori.
6. Urmăriți deciziile Autorității de supraveghere privind organismele de certificare acreditate de aceasta şi analizaţi dacă obţinerea vreunui certificat privind conformitatea cu prevederile Regulamentului, pot sprijini încrederea partenerilor dvs. în afacerea (sau instituţia) pe care o coordonaţi. Ţineţi cont de faptul că aceste certificări sunt voluntare şi nu vă absolvă de la respectarea prevederilor Regulamentului. Şi mai trebuie să reţineţi că până la autorizarea unor astfel de organisme de certificare de către ANSPDCP, certificările şi acreditările cu referire la GDPR care sunt vândute în acest moment prin diverse forme, riscă să nu fie recunoscute prin viitoarele dispoziţii ale autorităţii.
În ce situaţii se aplică prevederile acestui Regulament ?
O simplă citare a art. 2 din Regulament, este edificatoare:
"...se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor."
Practic, în orice situaţie în care organizaţia pe care o coordonaţi sau din care faceţi parte, intră în contact cu cetăţeni ai Uniunii Europene păstrând orice date de identificare a acestora, în indiferent ce scopuri sau forme de păstrare, se impune cunoaşterea şi repspectarea prevederilor acestui Regulament.
Există şi câteva excepţii. Acestea se referă la acele activităţi care respectă cel puţin una din condiţiile de mai jos:
Ce aduce nou Regulamentul ?
Domeniul de aplicare sporit teritorial. Cea mai mare schimbare în materie de confidențialitate a datelor se referă la competența extinsă a GDPR, deoarece Regulamentul va fi obligatoriu tuturor operatorilor care prelucrează date cu caracter personal ale cetăţenilor din ţările membre ale Uniunii Europene, indiferent de locația companiei. iar această obligaţie este independentă de domeniul de activitate: vânzarea unor bunuri sau servicii cetățenilor UE (indiferent dacă este necesară plata acestora) ori monitorizarea comportamentală a anumitpr categorii de cetăţeni ai Uniunii.
Sancțiuni clar definite ca şi cuantum, care pot ajunge până la 4% din cifra de afaceri globală anuală sau 20 de milioane de euro (oricare dintre acestea este mai mare). Aceasta este amenda maximă prevăzută pentru cele mai grave încălcări, cum ar fi de exemplu, procesarea datelor fără o bază legală, sau modul în care sunt proiectate aplicaţiile informatice prin care sunt prelucrate datele nu respectă principiul confidenţialităţii. Există însă o abordare diferențiată a amenzilor, de exemplu, o întreprindere poate fi amendată şi cu 2% (sau 10 milioane de euro) dacă nu a notificat autoritatea naţională de supraveghere și persoana vizată despre o încălcare a confidenţialităţii datelor privitoare la aceasta, sau de a nu efectua o evaluare a impactului asociat prelucrării datelor personale.
Elementele legate de consimţământ au fost întărite, iar companiile nu vor mai putea folosi termene și condiții ilizibile prin lungime sau termeni juridici de specialitate, deoarece solicitarea de consimțământ trebuie furnizată într-o formă inteligibilă și ușor accesibilă, menţionându-se clar scopul de prelucrare a datelor. Totodată, persoanei care i se solicită consimţământul, trebui ca prin acesta să i se aducă la cunoştinţă şi perioada pentru care se solicită accesul la prelucrarea datelor, precum şi faptul că în orice moment, consimţământul dat poate fi retras.
Dreptul de acces la date, reprezintă dreptul persoanelor vizate de a obține de la operatorul de date confirmarea dacă datele personale referitoare la ele sunt prelucrate sau nu, unde și în ce scop. În plus, operatorul este obligat să furnizeze gratuit o copie a datelor cu caracter personal într-un format electronic uzual, editabil prin aplicaţiile curente.
Dreptul de a fi uitat, reprezintă de asemenea o schimbare majoră de paradigmă. Acesta dă dreptul persoanei vizate de a solicita ștergerea datelor personale din unităţile de stocare ale operatorului de date, de a opri diseminarea în continuare a datelor și, eventual, de a stopa prelucrarea datelor de către terți. Respectarea acestui drept impune astfel pentru orice operator un control absolut asupra terţilor cărora, cu acceptul persoanei vizate, le-a transferat datele personale ale acesteia.
Condițiile de ștergere includ datele care nu mai sunt relevante în scopul iniţial pentru care au fost solicitate sau situaţiile în care persoanele își retrag consimțământul. De asemenea, trebuie remarcat faptul că acest drept cere operatorilor să analizeze astfel de solicitări şi din perspectiva "interesului public pentru disponibilitatea datelor".
Portabilitatea datelor, reprezintă dreptul persoanelor vizate de a obţine de la operator, datele personale, într-un format electronic uzual, în scopul de a le furniza altui operator.
Confidenţialitatea prin design, ca şi concept a existat de ani de zile, dar acum devine una din cerințele legale impuse prin Regulament. La baza sa, confidențialitatea prin design solicită includerea protecției datelor încă de la debutul proiectării sistemelor informatice, şi mai puţin decât ca o adăugare a unei măsuri de protecţie. Mai precis, "operatorul trebuie să <...> elaboreze măsuri tehnice și organizatorice adecvate, într-un mod eficient <...> pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate". De asemenea, se solicită operatorilor să dețină și să prelucreze numai datele absolut necesare pentru îndeplinirea sarcinilor sale (minimizarea datelor), precum și limitarea accesului la datele cu caracter personal celor care trebuie să efectueze procesarea.
Responsabilii cu protecţia datelor, reprezintă o obligativitate pentru acei operatori și procesatori de date cu caracter personal ale căror activități principale constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă, sau presupune prelucrarea unor categorii de date considerate de Regulament ori de legislația internă ca fiind speciale, ori date privind condamnările penale și infracțiunile.
Condiţiile de numire a acestor responsabili, sunt următoarele:
Trebuie să fie numiți pe baza calităților profesionale și în special, a cunoștințelor privind legislația din domeniul protecţiei datelor dar și a practicilor privind securitatea datelor prelucrate prin mijloace electronice;
Detalii suplimentare despre cine poate fi, ce atribuții are și ce funcție îndeplinește responsabilul cu protecția datelor, găsiți aici.
Principalele prevederi ale Regulamentului
Pentru a fi atinse obiectivele urmărite prin elaborarea GDPR, Parlamentul European a stabilit principiile care stau la baza prelucrării datelor personale, a impus condiţii care trebuie respectate când la baza prelucrării stă consimţământul persoanelor vizate de prelucrarea datelor, toate acestea fiind diferenţiate în funcţie de tipurile de date prelucrate.
De asemenea, drepturile persoanelor vizate de prelucrarea datelor sunt clar descrise, la fel ca şi obligaţiile operatorilor de date cu caracter persoanal. Ca elemente suplimentare de natură a oferi garanţii cetăţenilor UE privind seriozitatea celor care le prelucrează datele, GDPR instituie reguli clare cu privire la certificările şi acreditările pe care le pot obţine operatorii sau organismele de certificare a corespondenţei între procedurile de prelucrare a datelor personale şi prevederile GDPR.
Textul complet al Regulamentului, poate fi consultat aici.
Obiectivele urmărite prin Regulament
Obiectivele urmărite prin elaborarea şi adoptarea GDPR sunt de a garanta libera circulație a datelor cu caracter personal în interiorul Uniunii Europene fără ca aceasta să poată fi restricționată sau interzisă din motive legate de protecția persoanelor fizice, concomitent însă cu stabilirea unor norme menite să asigure protecția persoanelor fizice, a vieţii lor private, garantând protecția drepturilor și libertăților fundamentale ale acestora.
În acest scop, Regulamentul face distincţie între trei tipuri de date personale :
• Date personale privind o persoană fizică identificată sau identificabilă direct sau indirect prin: nume, un număr de identificare, date de localizare, un identificator online, unul sau mai multe elemente specifice proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
• Date personale ale minorilor;
• Date personale din categoria celor speciale:
date care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate,
date privind informaţii genetice, biometrice utilizate pentru identificarea unică a unei persoane fizice,
date privind sănătatea,
date sau informaţii privind viața sexuală ori orientarea sexuală ale unei persoane fizice.
Atât timp cât o persoană juridică de drept public sau privat prelucrează date personale din categoria celor descrise mai sus, va fi obligată să aplice prevederile Regulamentului. Există însă anumite excepţii. Sunt exceptate de la aplicarea acestor prevederi, prelucrările de date cu caracter personal care:
• se fac în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
• se fac de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE (cooperarea vamală);
• se fac de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
• este efectuată de autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
Regulile (principiile) care trebuie respectate (atât procedural cât şi tehnic) în timpul prelucrării datelor personale, sunt: legalitate, transparenţă, echitate, limitări (legate de scop, de cantitate şi de stocare), exactitate, integritate şi confidenţialitate. Astfel, regulile asociate acestor principii, sunt:
• prelucrarea datelor să se facă în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
• datele trebuie să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, dacă se fac în conformitate cu articolul 89 alineatul (1) („limitări legate de scop”);
• prelucrările să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
• datele stocate să fie exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
• datele personale trebuie să fie păstrate într-o formă care permite identificarea persoanelor vizate doar în perioada necesară îndeplinirii scopurilor în care sunt prelucrate; datele cu caracter personal pot fi stocate pe perioade mai lungi doar în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1). În cazul nerespectării acestei reguli, se pot pune în aplicare măsurile de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);
• operaţiunile de prelucrare trebuie să se facă într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).
Înainte de a prezenta drepturile cetăţenilor europeni stabilite prin acest Regulament, mai trebuie menţionate câteva aspecte privind legalitatea prelucrării.
Legalitatea prelucrării datelor personale, presupune respectarea cel puţin a uneia din următoarele condiţii:
a. persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b. prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c. prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
d. prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e. prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
f. prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
În plus, prin legislaţia internă, statele membre pot introduce condiţii de legalitate suplimentare celor enumerate, aşadar este să fie urmărită legislaţia în domeniu.
În ceea ce priveşte legalitatea prelucrării datelor cu caracter special, Regulamentul instituie reguli mai specifice. Astfel de date pot fi prelucrate ori în baza consimţământului, în care trebuie descrise cu exactitate tipurile de date cu caracter special care vor fi prelucrate precum şi scopurile în care se face prelucrarea, ori dacă este respectată una din condiţiile următoare:
• prelucrarea este asociată domeniului ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;
• prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;
• prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate;
• prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;
• prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;
• prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate;
• prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor specifice unui profesionist supus obligației de păstrare a secretului profesional;
• prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional;
• prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.
Condiţiile privind obţinerea consimţământului.
Unul din cele mai importante şi mai sigure elemente care pot asigura legalitatea prelucării datelor personale, este reprezentat de consimţământul acordat de persoana vizată. Atunci când prelucrarea datelor nu se încadrează la niciuna din categoriile b) – f) de mai sus, sau dacă sunt prelucrate date din categoria celor speciale ori care se referă la minori, singurul element care poate acorda dreptul de prelucrare a acelor date, rămâne consimţământul.
Pentru a fi recunoscut ca fiind ca bază a legalităţii prelucrării datelor personale, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal. Dacă consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Un element de noutate este reprezentat de faptul că orice persoană are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului, înainte de retragerea acestuia. De asemenea, înainte de acordarea consimțământului, persoana vizată trebuie să fie informată cu privire la posibilitatea retrageri acestuia. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia. De asemenea, consimțământul trebuie să fie dat în mod liber, executarea unui contract, inclusiv prestarea unui serviciu, nu ar trebui condiţionată de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acelui contract sau prestarea acelui serviciu.
Atunci când sunt furnizate servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Atenţie, statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca acea vârstă inferioară să nu fie mai mică de 13 ani. De asemenea, operatorul este obligat să depună toate eforturile rezonabile pentru a verifica în astfel de cazuri, că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile.
După ce au fost stabilite condiţiile de legalitate şi cele impuse pentru legalitatea consimţământului, Regulamentul stabileşte drepturile persoanelor vizate de prelucrarea datelor cu caracter personal. Orice operator de date cu caracter personal, va trebui să fie capabil să demonstreze că are capacitatea tehnică de a respecta drepturile persoanelor vizate. Asta înseamnă că trebuie să fie în măsură să prezinte atât reguli şi proceduri elaborate în vederea asigurării condiţiilor de legalitate privind prelucrarea datelor personale, cât mai ales, să poată procesa tehnic atunci când i se solicită, datele personale în conformitate cu drepturile persoanelor vizate.
Drepturile persoanelor vizate de prelucrarea datelor.
Prin măsurile procedurale şi tehnice, orice operator de date cu caracter personal trebuie să poată asigura:
• transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate. Astfel, operatorul trebuie să informeze atât la cerere cât şi în anumite situaţii, din proprie iniţiativă, într-o formă simplă, clară, inteligibilă, mai ales când se adresează unui copil, orice elemente legate de conţinutul datelor prelucrate, de scopul prelucrărilor, de transferul datelor prelucrate ori cu privire al accesarea neautorizată a acestora. În plus, trebuie să asigure prezentarea informaţiilor legate de operator, de scopurile prelucrărilor, datele de contact ale Responsabilului cu protecţia datelor, interesele urmărite, destinatarii datelor, intenţiile privind transferul datelor, perioada în care vor fi prelucrate datele, precum şi alte date prevăzute explicit la art. 13 şi 14 din Regulament. În funcţie de modalitatea de obţinere a datelor, direct de la persoanele vizate sau indirect, aceste informaţii trebuie furnizate ori înainte de preluarea datelor, ori, în anumite condiţii, în cel mult 30 de zile după obţinerea datelor cu caracter personal (mai ales în situaţia în care acestea nu sunt obţinute direct de la persoana vizată.
• dreptul de acces la datele proprii persoanei vizate, presupune implementarea acelor măsuri prin care operatorii să poată funriza la cerere, date şi informaţii complete privin prelucrările efectuate, iar în cazul în care aceste date nu au fost obţinute direct de la persoana vizată, trebuie oferite informaţii şi despre sursa datelor. O copie a acestor date trebuie oferită gratuit, pentru orice alte copii solicitate de persoanele îndrituite, operatorii pot percepe o taxă „...rezonabilă, bazată pe costurile administrative”
• dreptul la rectificare şi ştergere, la solicitarea persoanelor vizate, operatorii trebuie să aibă capacitatea de a modifica şi de a actualiza datele incorecte sau incomplete la solicitarea unei persoane, precum şi de a şterge, la cererea persoanelor, datele referitoare la acestea, dacă sunt îndeplinite condiţiile menţionate la art. 17 (datele nu mai sunt necesare, persoana şi-a retras consimţământul şi nu există alt temei legal pentru prelucrare, a expirat perioada alocată scopului în care sunt prelucrate datele, etc.).
• dreptul la restricţionarea prelucrării se referă la dreptul persoanei de a restricţiona pentru un operator, accesul la prelucrarea datelor sale personale. Astfel, până la soluţionarea unui eventual litigiu privind datele unei persoane, până la ridicarea restricţiei, orice prelucrare a datelor persoanei nu se poate face decât cu consimţământul explicit al acesteia sau pentru apărarea unui drept ori interes al unei instanţe de judecată.
• dreptul la notificare – impune operatorilor obligaţia de a comunica persoanelor vizate orice rectificare, ştergere sau restricţionare a accesului la datele acestora, precum şi orice încălcări ale confidenţialităţii datelor care a avut drept consecinţă divulgarea unor informaţii către terţe părţi.
• dreptul la portabilitatea datelor – orice cetăţean al UE poate solicita operatorului datele sale personale într-un format structurat utilizat în mod curent pentru a le transmite altui operator. Acest drept poate fi exercitat în anumite condiţii, explicitate în art. 20 din Regulament.
• dreptul la opoziţie, permite persoanelor vizate să se opună prelucrării datelor cu caracter personal, dacă aceasta e făcută în scop de marketing direct sau în temeiul unora din condiţiile de legalitate prevăzute de art. 6.
Pentru a putea fi asigurate condiţiile de legalitate privind prelucrarea datelor personale, drepturile persoanelor vizate de prelucrarea datelor, operatorii (sau persoanele împuternicite de operatori) au o serie de obligaţii care trebuie îndeplinite. Trebuie menţionat şi faptul că prin obţinerea anumitor certificări care urmează să fie avizate de autoritatea naţională de supraveghere, un operator poate demonstra că îndeplineşte aceste obligaţii care i se aduc prin Regulament. Dat fiind însă că autoritatea naţională de supraveghere încă nu există aşa cum este cerută prin Regulament, este evident că nici certificările în cauză nu au cum să existe, neavând cine să le avizeze.
Obligaţiile operatorilor de date cu caracter personal.
Operatorii de date cu caracter personal, sunt obligaţi să asigure atât din punct de vedere organizatoric cât şi din punct de vedere tehnic, toate măsurile necesare astfel încât să asigure reducerea la minumul necesar a datelor prelucrate, pseudonimizarea şi criptarea datelor cu caracter personal, confidențialitatea, integritatea, disponibilitatea datelor cu caracter personal, capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică. De asemenea, fiecare operator trebuie să prevadă un proces pentru testarea, evaluarea și aprecierea periodiă a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării. Mai mult, în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul este obligat să notifice acest lucru autorității de supraveghere competente, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, sau dacă este depăşit acest termen, se adaugă şi o explicație motivată. De asemenea, aceeaşi obligativitate există şi faţă de persoanele ale căror date sunt prelucrate, dacă breşa de securitate este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile acestora.
Pentru a se asigura îndeplinirea obligaţiilor ce revin operatorilor, Regulamentul impune acestora evaluarea impactului prelucrării asupra protecţiei datelor. În fapt, este vorba de o analiză de risc prealabilă, pe care Regulamentul o impune pentru anumite tipuri de operaţiuni de prelucrare a datelor enumerate la art. 35, dar care pot fi extinse de decizii ale autorităţii naţionale de supraveghere. O astfel de analiză va trebui să conţină cel puţin următoarele elemente:
• o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
• o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;
• o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;
• măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.
Dacă evaluarea impactului asupra protecţiei datelor indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului, atunci acesta este obligat să consulte autoritatea de supraveghere care trebuie să ofere consiliere în cel mult 8 săptămâni de la solicitare, termen care poate fi prelungit cu cel mult încă 6 săptămâni. De asemenea, Regulamentul lasă statelor membre posibilitatea de a impune operatorilor şi alte situaţii în care să se consulte cu autoritatea naţională de supraveghere şi să obţină în prealabil de la aceasta autorizarea prelucrării datelor personale.
Nu în ultimul rând, tot în categoria măsurilor destinate creşterii gradului de protecţie şi securitate a datelor prelucrate, operatorul trebuie să desemneze un responsabil cu protecţia datelor atunci când:
• prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale; sau
• activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
• activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, descrise la art. 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționate la art. 10.
Despre cine poate fi desemnat în această funcţie, precum şi detalii privind atribuţiile şi responsabilităţile sale, găsiţi aici.
Certificări şi acreditări.
Operatorii de date cu caracter personal, pot demonstra prin certificări dobândite în acest sens, conformitatea măsurilor organizatorice şi tehnice implementate, cu prevederile Regulamentului. Certificările sunt voluntare, putând fi obţinute de la organisme acreditate în acest sens de către autoritatea naţională de supraveghere, sau chiar de la autoritatea în sine.
În ceea ce priveşte această autoritate de supraveghere, în România a fost înfiinţată prin Legea 102 din 2005, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Prin Legea 129 din 2018, legea de înființare și organizare a acestei instituții a fost adaptată la prevederile GDPR.
Prelucrările transfrontaliere sau transferurile de date către ţări terţe sau organizaţii internaţionale, ori funcţionarea şi atribuţiile autorităţilor de supraveghere în aceste situații şi modul lor de cooperare inernaţional sau cu organismele europene, sunt elemente reglementate prin GDPR.
Astfel, orice prelucrare a unor date care vizează cetățeni ai altor state membre U.E., sau transferul datelor în afara țării (prin baze de date prelucrate în comun de mai multe filiale ale unor companii multinaționale, de exemplu), se încadrează în regimul prelucrărilor transfrontaliere, care este supus unor reguli suplimentare.
Dacă prelucrarea se referă la cetâțeni străini din afara țărilor UE sau datele cetățenilor români sunt prelucrate și în țări în afara UE, prelucrarea este considerată a fi efectuată în țări terțe, situația care necesită de asemenea, respectarea unor reguli suplimentare.
Informaţii utile pentru firme
Ce înseamnă pentru o firmă respectarea prevederilor GDPR ?
1. Absolut toate firmele, organizațiile non-profit, asociațiile lucrative, PFA-urile, etc., ale căror activități pot avea ca beneficiar și persoane fizice cărora le sunt prelucrate date personale prin mijloace electronice (sau prin alte mijloace, cât timp respectă condiția de a fi organizate într-o formă de evidență) tocmai în vederea derulării acelor activități, sau firmele care au acces la astfel de date în calitate de prestator de servicii pentru o altă societate comercială care deține datele de tipul celor de mai sus, trebuie să implementeze măsuri tehnice și organizatorice prin care să se asigure că:
2. Suplimentar, firmele care prelucreaza date cu caracter special sau numere de identificare națională, periodic și sistematic sau pe scară largă, precum și organismele și autoritățile publice (cu excepția instanțelor de judecată sau autorităților din domeniul apărării. ordinii publice sau siguranței naționale), trebuie să numească un Ofițer Responsabil cu Protecția Datelor (DPO - Data Protection Officer), care trebuie să fie capabil, prin cunoștinele juridice dar și prin cunoștințe din domeniul protecției datelor electronice și implicit din domeniul IT&C, să ofere consiliere juridică și tehnică firmei, în ceea ce privește implementarea și respectarea măsurilor impuse prin GDPR precum și să asigure relaționarea atât între firmă și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cât și între firmă și persoanele vizate prin prelucrarea datelor.
Când trebuie numit un Responsabil cu Protecția Datelor - DPO ?
Cel târziu la data de 25 mai 2018, sau, prelucrarea datelor pentru care GDPR sau legislația internă impune existența unui DPO, trebuie să fie suspendată până la numirea acestuia !
Prin GDPR, se instituie obligativitatea numirii unui DPO, în patru situații:
Referitor la pct. 4, rețineți că nu orice prelucrare a unui număr de identificare națională necesită numirea unui DPO, ci numai acele prelucrări care sunt efectuate având ca temei legal doar interesul legitim al operatorului, prelucrările se fac pe scară largă sau prin activități care presupun monitorizarea sistematică și periodică a persoanelor vizate prin aceste activități. Nu vă lăsați prinși în capcana furnizorilor de servicii care, din neștiință sau lipsiți de etică, vă conving că prelucrarea și a unui singur CNP, impune numirea unui Responsabil cu protecția datelor !
În ce situaţii poate fi sancţionată o firmă după data de 25 mai 2018 ?
Regulamentul intră în vigoare în data de 25 mai 2018, dar nu conține nicio prevedere imperativă de genul "Începând cu data intrării în vigoare operatorii de date sunt obligați să .... ". Există însă o excepție, aceea a numirii unui Ofițer Responsabil cu Protecția Datelor (DPO). Întrucât situațiile în care trebuie numit acest responsabil intră în vigoare la data de 25 mai 2018, pentru firmele care dețin și prelucrează date cu caracter personal care se încadrează în aceste situații, data de 25 mai 2018 este data limită la care mai pot asigura respectarea acestei obligații, altfel, prelucrarea datelor devine ilegală. Puteți evita această situație, analizând cu atenție posibilitatea implementării recomandărilor accesibile aici.
Sancțiunile aplicabile prevăzute de GDPR sunt: avertismente, mustrări, dispoziții de soluționare a unei cereri formulate de o personă fizică în baza drepturilor sale, somații cu termen pentru respectarea prevederilor GDPR, limitarea temporară sau definitivă (interdicție) a prelucrării, impunerea rectificării, ștergerii datelor sau restricționarea prelucrării, retragerea certificării unei firme sau acreditării unui organism de certificare, suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională. În completarea sau în locul măsurilor enumerate, se mai pot aplica și amenzi, al căror cuantum maxim este de 20.000.000 euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală.
În plus, Regulamentul prevede derularea unor etape de analiză și evaluare înainte de stabilirea unei sancțiuni (mai ales dacă e vorba de amendă) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Așadar, legal este imposibil ca începând cu data de 25 mai 2018, o firmă să poată fi sancționată conform prevederilor GDPR. Cu toate acestea, chiar dacă nu au existat incidente de securitate care să afecteze datele personale și implicit drepturile persoanelor fizice, încălcarea prevederilor GDPR, poate fi constatatată de către Autoritatea menționată și ulterior acestei date, cu ocazia inspecțiilor pe care va avea dreptul să le desfășoare. Legea 129/2018 de adaptare a modului de organizare și de funcționare a acestei instituții la prevederile GDPR, prevede că aceste încălcări pot fi constatate într-un termen de 3 ani, de la data săvârșirii lor.
Și totuși, în ce situații se vor putea aplica sancțiunile ?
În primul rând, dacă firma se află în situația de a prelucra datele numai sub supravegherea unui DPO care nu este numit cel târziu la data de 25 mai 2018, și prelucrarea datelor nu a fost întreruptă de la 25 mai 2018 până la numirea acestuia. Astfel, cel puțin ipotetic, un control efectuat în maxim 3 ani după data de 25 mai 2018, poate constata și sancționa această încălcare. Sancțiunea va fi însă proporțională cu modul în care Autoritatea constată la data efectuării controlului, modalitatea de respectare a GDPR.
În al doilea rând, în cazurile de încălcare a drepturilor persoanelor fizice, prin prelucrare necorespunzătoare. De exemplu, o persoană care cunoaște sau bănuiește faptul că îi prelucrați date personale, solicită imediat după data de 25 mai 2018, exercitarea unui drept în baza GDPR (drept de informare, de rectificare, de ștergere, de restricționare, de notificare, de portabilitate a datelor, de opoziție) iar firma nu e în măsură să răspundă conform prevederilor GDPR, există riscul ca acea persoană să adreseze o sesizare către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Și din momentul acela, ați intrat în procedurile de notificare, auditare, inspectare, controlare, sancționare, etc.
Sau, imediat după data de 25 mai 2018, datorită unor măsuri precare de protecție a datelor, date personale ale unor persoane vizate de activitatea firmei, sunt compromise, iar persoana vizată sesizează autoritățile. Autorități printre care, vrând-nevrând, se găsește și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Nu am implementat încă nicio măsură de conformare la prevederile GDPR. Cum pot evita aplicarea unor sancţiuni după 25 mai 2018 ?
În conformitate cu prevederile noii legi care reglementează funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, adoptată de Parlament la data de 22 mai 2018 și va fi în curând promulgată de Președinte, sancțiunile pot fi constatate și aplicate de Autoritate în maxim 3 ani de la data încălcării prevederilor GDPR. Practic, orice control al Autorității va acoperi ultimii trei ani de activitate.
Se impune astfel, evitarea încălcării drepturilor persoanelor fizice printr-o prelucrare necorespunzătoare a datelor cu caracter personal: transfer neautorizat de date către terțe părți, transmitere a unor mesaje (email-uri, sms-uri, etc.) promoționale fără ca persoana vizată să-ți fi dat acordul în mod voluntar pentru o astfel de prelucrare, până la data de 25 mai 2018, refuzul sau imposibilitatea de a soluționa vreo cerere a unei persoane vizate, în baza Cap. III din GDPR, etc.
În al doilea rând, prin adoptarea și asumarea în cadrul firmei, a unor minime documente procedurale conform recomandărilor următoare, urmând ca acestea să fie dezvoltate și adaptate odată cu evoluția legislației interne, sau, să fie înlocuite în situația în care în final, alegeți externalizarea acestor servicii.
Măsurile recomandate sunt aplicabile numai firmelor aflate în situația în care riscurile privind prelucrarea sunt minime, datorită specificului activităților:
Nu ne asumăm nicio responsabilitate în cazul în care, evaluând greșit nivelul de risc și recomandările formulate,
firma dvs. va fi sancționată după 25 mai 2018, pentru nerespectarea unor prevederi ale GPDR sau ale legislației interne !
Așadar, până la implementarea tuturor măsurilor tehnice și organizatorice impuse prin GDPR pentru specificul firmei dvs., vă recomandăm să implementați prin eforturi proprii un minim de măsuri inițiale, astfel:
1. În primul rând trebuie să aveți siguranța cel puțin în proporție de 99,99%, că prelucrarea datelor personale prin activitățile desfășurate de firma dvs. este legală și riscurile de a fi încălcate principiile prelucrării și drepturile persoanelor fizice vizate prin prelucrare, este minim.
Care ar fi aceste riscuri ? De exemplu, o persoană care cunoaște sau bănuiește faptul că îi prelucrați date personale, solicită exercitarea unui drept în baza GDPR (drept de informare, de rectificare, de ștergere, de restricționare, de notificare, de portabilitate a datelor, de opoziție) iar firma nu e în măsură să răspundă conform prevederilor GDPR. Există riscul ca acea persoană să adreseze o sesizare către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Sau, imediat după data de 25 mai 2018, datorită unor măsuri precare de protecție a datelor, date personale ale unor persoane vizate de activitatea firmei, sunt compromise. Apare riscul ca persoana afectată să sesizeze autoritățile.
Sunt doar câteva exemple, dar, în funcție de activitatea firmei dvs. trebuie să analizați cât de mult vă expuneți acestor riscuri după data de 25 mai 2018, fără implementarea profesionistă a unor măsuri tehnice și organizatorice de conformare.
Și nu în ultimul rând, mai există și riscul ca imediat ce Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal va avea reglementate legal atribuțiile și competențele prevăzute prin GDPR, printre primele firme inspectate, să fie și firma dvs., constatându-se o respectare mai mult formală a prevederilor GDPR decât în fapt.
2. Indiferent dacă sunteți sau nu în situația în care trebuie să numiți un DPO, adoptați un document intern, asumat de toți angajații firmei (pe bază de semnătură!) care au acces la date cu caracter personal, în care pur și simplu impuneți respectarea prevederilor cuprinse în art. 5, art. 6, art. 7 și Capitolul III, din GDPR. Documentul poate prelua pur și simplu articolele enumerate, care, odată cunoscute de angajați vor înțelege că situația nu e "de glumă".
3. Dacă sunteți în situația în care trebuie numit un DPO - Responsabil cu Protecția Datelor, nu aveți posibilitatea să numiți o persoană din cadrul firmei dar nici nu ați identificat încă un furnizor convenabil al unui astfel de serviciu, aveți două variante: suspendați prelucrarea datelor cu caracter special care impun necesitatea numirii unui DPO începând cu 25 mai 2018, sau, numiți cel târziu la data de 25 mai 2018 o astfel de persoană, (de preferat ar fi o persoană capabilă să ințeleagă și să interpreteze norme legale și să aibă minime cunoștințe din domeniul IT), stabilindu-i funcția conform art. 38 din GPDR și sarcinile, conform art. 39, fără să vă sfiiți să faceți copy/paste din Regulament. Puteți ulterior să trimiteți acea persoană la un curs de specializare, sau, când și dacă veți decide la cine și în ce condiții veți apela pentru externalizarea acestui serviciu, persoana numită inițial își va da demisia din funcție și atribuțiile vor fi preluate de noul DPO care vă va consilia cu pașii care vor trebui urmați mai departe.
Cum este reglementată aplicarea GDPR prin normele de drept intern din România ?
1. Prin Legea 129 din 15.06.2018 care actualizează Legea 102/2005 privind funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, acordând acestei instituții atribuțiile ce-i revin, conform prevederilor GDPR. De asemenea, aceeași lege, abrogă Legea 677/2001 privind prelucrarea datelor cu caracter personal.
Astfel, atribuțiile Autorității au fost puse în acord cu cu prevederile GDPR. În mod evident, pentru exercitarea atribuției de monitorizare a modului de respectare a prevederilor GDPR, Autoritatea poate efectua investigații în cazurile și condițiile prevăzute în competența sa, prin personalul împuternicit în acest scop, potrivit legii, de către președintele Autorității de supraveghere. Personalul de control astfel desemnat, are dreptul să efectueze investigații, inclusiv inopinate, să ceară și să obțină de la operator și persoana împuternicită de operator, precum și, după caz, de la reprezentantul acestora, la fața locului și/sau în termenul stabilit, orice informații și documente, indiferent de suportul de stocare, să ridice copii de pe acestea, să aibă acces la oricare dintre incintele operatorului și persoanei împuternicite de operator, precum și să aibă acces și să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfășurării investigației, în condițiile legii. De asemenea, dacă situația impune astfel de măsuri, identificarea și păstrarea obiectelor, precum și punerile de sigilii se fac conform dispozițiilor din Legea nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare.
Orice control sau investigație efectuată de personalul Autorității, se poate finaliza prin măsurile prevăzute de art. 58 din GDPR și/sau amenzi administrative ce pot fi aplicate în condițiile descrise prin art. 83 din GDPR și Legea 190 din 18.07.2018.
Nu în ultimul rând, un aspect particular de care trebui ținut cont, este faptul că sancțiunile pot fi aplicate în termen de 3 ani de la data săvârșirii faptei. În cazul încălcărilor care durează în timp sau al celor constând în săvârșirea, în baza aceleiași rezoluții, la intervale diferite de timp, a mai multor acțiuni sau inacțiuni, care prezintă, fiecare în parte, conținutul aceleiași contravenții, prescripția începe să curgă de la data constatării sau de la data încetării ultimului act ori fapt săvârșit, dacă acest moment intervine anterior constatării. Termenul de prescripție de 3 ani se întrerupe prin efectuarea oricărui act de procedură în cazul investigat, fără să poată depăși 4 ani de la data săvârșirii faptei. Întreruperea produce efecte față de toți participanții la săvârșirea respectivei încălcări.
2. Prin Legea 190 din 18.07.2018 care descrie măsurile de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.
În esență, Legea aduce câteva elemente suplimentare față de GDPR, astfel:
3. Prin decizii și instrucțiuni ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, care pot avea caracter obligatoriu pentru operatorii de date cu caracter personal, sau, trebuie cunoscute de operatori pentru a se putea proteja împotriva erorilor sau a abuzurilor ce ar putea fi comise de personalul autorităților Statului, cu care firma dvs. poate intra în contact.
Referitor la GDPR, Autoritatea a emis trei decizii, cu privire la încetarea aplicabilităţii unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, pentrui pentru aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 ș aprobarea Procedurii de primire și soluționare a plângerilor.
De asemenea, pe site-ul Autorității, se pot urmări proiectele de decizii care urmează să fie adoptate, putându-se transmite opinii, propuneri și observații referitor la ele, acesta fiind și scopul în care aceste documente sunt făcute publice înainte de publicarea formei finale în Monitorul Oficial al României.
Urmăriți periodic această secțiune, pentru a cunoaște în timp real evoluția normelor de drept intern
din domeniul prelucrării datelor cu caracter personal !
© IT Data and Systems PROTECTION SRL admin@itprotection.ro