ShareShare on FacebookTweet about this on TwitterShare on Google+

Regulamentul General Privind Protecția Datelor (UE) 2016/679

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date urmează să fie pus direct în aplicare în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018.

Elementul de noutate esential pe care acest act normativ european îl aduce în acest regulament îl reprezintă instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor.

Cazurile în care este obligatorie desemnarea unui responsabil cu protecția datelor:
1. Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
2. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
3. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

Pentru a intelege mai bine cazurile in care este obligatorie desemnarea unui responsabil privind protectia datelor, este necesara explicarea urmatorilor termeni:
1. activități principale – pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate;
2. monitorizarea periodică și sistematică – aceasta presupune toate formele de urmărire și profilare pe Internet, inclusiv în scop de publicitate comportamentală, nefiind însă restrictionată în mediul online. Sintagma ”periodică și sistematică” presupune o activitate continuă și recurentă, care implică prelucrări de date.
3. categorii speciale de date- Categoriile speciale sunt acele date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice;
4. pe scară largă – pentru a se stabili dacă o prelucrare este pe scară largă trebuie ținut cont de 4 criterii:

  • numărul persoanelor vizate – un număr exact ori un procent din populația relevantă;
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
  • durata sau permanența activității de prelucrare a datelor;
  • suprafața geografică a activității de prelucrare.

Exemple de situații care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

  • gestionarea unei rețele de telecomunicații;
  • profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
  • urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare);
  • desfășurarea de programe de loialitate;
  • monitorizarea stării de sănătate prin intermediul dispozitivelor portabile;
  • televiziune cu circuit închis – CCTV;
  • prelucrarea datelor pacienților de către un spital;
  • prelucrarea datelor datelor de conținut, locație, trafic de către furnizorii de servicii de internet;
  • prelucrarea datelor personale de către companii de asigurări;
  • publicitate comportamentală.

Nu este necesară desemnarea unui responsabil cu protecţia datelor atunci când nu se prelucrează pe scară largă date cu caracter personal.

Cine poate îndeplini funcția de responsabil cu protecția datelor?
Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabilește ca responsabilul cu protecția datelor să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”

Responsabilul cu protecția datelor:
Responsabilul cu protecția datelor poate fi angajat al operatorului/persoanei împuternicite de operator sau poate să-și îndeplinească sarcinile pe baza unui contract de prestări servicii.

Calități și competențe:
Trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt necesare anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și o anumită poziție în cadrul organizației.

Trebuie să aibă anumite calități profesionale, astfel:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere adecvată a RGPD;
  • nivelul necesar de cunoștințe în  domeniul protecției  datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  • să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor prelucrate de operator;
  • în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor trebuie să dețină, de asemenea, cunoștințe privind reglementările legale referitoare la organizarea și funcționarea acestora, precum și a procedurilor interne administrative ce vizează desfășurarea activității.

Principala preocupare a responsabilului cu protecția datelor trebuie să fie respectarea Regulamentului General privind Protecția Datelor și a reglementărilor naționale incidente.

Este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este obligat să:

  • publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special).
  • comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Sarcinile responsabilului cu protecția datelor:

  • de a informa şi consilia operatorul, sau persoana împuternicită de operator, precum şi angajaţii care se ocupă de prelucrările de date;
  • de a monitoriza respectarea Regulamentului, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor;
  • de a consilia operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia;
  • de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;
  • de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.

De asemenea, Regulamentul stabileste reguli noi pentru consimțământ:
Astfel, consimțământul pentru prelucrare, va avea un regim mult mai restrictiv. Astfel, solicitarea acordului trebuie sa fie in formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu; dacă sunt incluse mai multe aspecte, solicitarea acordului trebuie clar diferențiată de celelalte aspecte; retragerea consimțământului trebuie să poată fi făcută la fel de simplu cum a fost dat; și, mai ales, nu este admisă condiționarea consimțământului (de exemplu, condiționarea prestării unui serviciu sau livrării unui bun de acordul de prelucrare a datelor pentru marketing direct).

Sanctiuni:
Cu privire la sanctiuni, aratam ca nerespectarea Regulamentul General Privind Protecția Datelor poate atrage mai multe tipuri de sancțiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obține despăgubiri care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.

IN URMATOARELE SITUATII ESTE NECESARA NOTIFICAREA AUTORITĂŢII NAŢIONALE DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL:
a) prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa sindicală sau starea de sănătate şi viaţa sexuală; (ex: sondaje şi cercetare de piaţă,  colectare donaţii pentru persoane cu dizabilităţi);

b) prelucrarea datelor genetice şi biometrice; (ex: cercetare ştiinţifică);

c) prelucrarea datelor care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice; (ex: monitorizarea/securitatea persoanelor şi/sau bunurilor publice/private prin utilizarea  GPS-ului);

d) prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate; (ex: sisteme de evidenţă de tipul birourilor de credit);

e) prelucrarea datelor cu caracter personal prin mijloace electronice, având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea  (ex: crearea şi utilizarea de profiluri ale persoanelor vizate în vederea transmiterii unor newsletteruri, monitorizarea activităţii angajaţilor pe internet, semnalarea încălcării codurilor de conduită în mediul privat -  whistleblowing);

f) prelucrarea datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidenţă având ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a persoanelor fizice; (ex: rapoarte de credit);

g) prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul activităţilor de marketing direct;

h) prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul internetului sau al mesageriei electronice; (ex: publicarea rezultatelor la diferite concursuri şcolare şi extraşcolare, utilizarea catalogului on-line );

i) prelucrarea datelor cu caracter personal prevăzute la lit. a) referitoare la propriii membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei vizate.

Prelucrarea datelor personale prin sisteme de supraveghere video, inclusiv transferul acestora într-un stat terţ, trebuie notificată Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, anterior începerii prelucrării, conform prevederilor Deciziei nr. 52/2012 (excepţie: prelucrarea efectuată de o persoană fizică, pentru uz personal, printr-un sistem de supraveghere care captează imagini inclusiv din spaţii publice).

Precizam ca in acest moment nu sunt disponibile nici formulare si nici proceduri privind obligatiile instituite de Regulament. Urmeaza ca in perioada urmatoare Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal sa publice aceste proceduri si formulare.