, ">

(   0770 727 088 , 031 333 4578
HOME | LEGISLATIE | CONTACT

Regulamentul privind Protecţia Datelor Personale
General Data Protection Regulation

GDPR sunt iniţialele de la „General Data Protection Regulation”, Regulamentul privind Protecţia Datelor Personale. Este un regulament adoptat de Parlamentul European sub numărul 679 la data de 27 aprilie 2016 şi reprezintă cea mai importantă decizie luată în ultimii 20 de ani la nivelul Uniunii Europene în domeniul protecţiei vieţii private a cetăţenilor europeni, prin protecţia împotriva prelucrării abuzive a datelor personale ale acestora. Deşi a fost adoptat încă din 2016, Regulamentul beneficiază de un termen de graţie de doi ani până la intrarea în vigoare. Acest termen a fost impus de complexitatea regulilor instituite pentru toate instituţiile sau companiile private care prelucrează indiferent prin ce mijloace, date personale ale cetăţenilor europeni, de asemenea, indiferent de locul în care îşi are sediul pe glob acea organizaţie.



Data de 25 mai 2018 este data de la care Regulamentul intră în vigoare, prevederile sale devenind obligatorii. Deşi cel mai adesea această dată a fost asimilată cu amenzile enorme prevăzute de Regulament, maximul acestora ajungând la 20.000.000 euro sau 4% din cifra de afaceri mondială cu obligativitatea de alegere a celei mai mari valori, trebuie ţinut cont de faptul că aceste amenzi nu pot fi aplicate peste noapte (şi în niciun caz în noaptea dintre 25 şi 26 mai 2018...), şi mai ales, de către oricine. Doar autoritatea de supraveghere descrisă şi prevăzută prin Regulament, poate aplica astfel de amenzi. În momentul de faţă, legea de funţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, necesită modificări majore pentru ca această instituţie să poată aplica la nivel naţional prevederile Regulamentului. Deşi iniţiate din luna septembrie 2017 modificările legislative par încă departe de momentul finalizării.

Revenind la amenzi, Regulamentul prevede în plus circumstanţe atenuante şi agravante (care pot micşora cuantumul amenzii sau dimpotrivă, îl pot apropria de valoarea maximă) dar mai ales, impune pentru autoritatea care aplică amenda, obligativitatea de a respecta condiţiile stabilite de Regulament pentru impunerea amenzilor administrative. Iar multe din aceste condiţii necesită analiza acţiunilor desfăşurate în timp, de operator, în ceea ce priveşte încălcările comise şi constatate sau semnalate.



Aşadar, nicio companie sau instituţie europeană nu poate fi amendată încă din data de 26 mai 2018, căci tehnic şi legal, nu este posibil a fi întrunite toate condiţiile privind aplicarea amenzilor. Dar asta nu înseamnă că măsurile care trebuie implementate, pot fi amânate şi după 25 mai 2018 fără nicio grijă. Aţi putea sta liniştiţi în ceea ce priveşte acest termen, doar dacă aveţi garanţia că datele prelucrate prin instituţia sau compania dvs. nu sunt accesate ilegal de alte persoane, nu pot fi transferate ilegal pe suporţi de date care nu vă aparţin şi nici nu fac obiectul unor transferuri periodice cu alţi operatori. Adică garanţia unor riscuri egale cu 0, legat de siguranţa datelor. Şi în plus, mai trebuie să aveţi garanţia ca nicio persoană ale cărei date le prelucraţi, nu vă adresează încă din 26 mai 2018 vreo solicitare cu privire la noile drepturi pe care le are conform acestui Regulament, solicitare pe care dacă nu o soluţionaţi corespunzător, dă posibilitatea acelei persoane de a formula o plângere autorităţii de supraveghere. Care, însă, în acest moment, încă nu există în România cu atribuţiile stabilite conform acestui Regulament.

Care sunt paşii de urmat pentru ca prelucrarea datelor personale, să se facă într-un mod compatibil cu prevederile Regulamentului ?

1. Asiguraţi-vă că aţi înţeles corect care sunt obiectivele Regulamentului. Aceste obiective trebuie să le aveţi permanent în „minte” atunci când operaţi datele personale ale celor cu care intraţi în contact. Chiar dacă uneori mai pot apare derapaje de la prevederile Regulamentului, mai ales la început, urmărind aceleaşi obiective ca şi iniţiatorii acestuia va fi imposibil ca derapajele în cauză să fie atât de grave încât să puteţi fi amendat legal cu sumele acelea imense prevăzute în textul reglementării.



2. Analizaţi datele personale de care aveţi nevoie pentru derularea activităţilor dumneavoastră şi verificaţi dacă nu reţineţi date în plus fără să aveţi neapărat nevoie de ele. Identificaţi situaţiile în care este necesar obţinerea consimţământului (dacă nu aveţi altă bază legală privind prelucrarea) şi identificaţi tipul de consimţământ pe care trebuie să-l elaboraţi, procedând apoi la distribuirea acestuia către persoanele vizate de prelucrările dvs. de date.



3. Dacă datele sunt prelucrate în cadrul unei instituţii publice, sau sunteţi o persoană juridică de drept privat aflată în situaţia de a prelucra date considerate de Regulament ca având un regim special, începeţi să căutaţi printre angajaţii dvs. o persoană care ar putea îndeplini rolul de Responsabil cu protecţia datelor. Ideal ar fi să aibă o dublă specializare: jurist şi IT-ist, dar poate fi jurist cu cunoştinţe în domeniul IT-ului, sau un IT-ist cu experienţă, cunoştinţe şi/sau certificări în domeniul protecţiei datelor prelucrate electronic. După ce aţi făcut o analiză a costurilor rezultate prin desemnarea unei persoane din rândul personalului propriu, incluzând şi instruirile la care va trebui poate să-l trimiteţi, puteţi compara rezultatul cu ofertele de achiziţie a unui serviciu externalizat de Responsabil cu protecţia datelor.



Din acest moment, toate activităţile descrise mai departe vor trebui derulate sub coordonarea şi consilierea Responsabilului cu protecţia datelor, dacă vă aflaţi în situaţia în care Regulamentul vă obligă să desemnaţi unul.



4. Elaboraţi-vă un set de proceduri de securitate menite să asigure prelucrarea datelor în conformitate cu obligaţiile care vă revin, cu drepturile persoanelor şi mai ales cu cerinţele de securitate impuse de Regulament, precum şi un plan prevăzut pentru situaţii de urgenţă, prin care datele să continue să fie disponibile. Verificaţi dacă sistemele informatice proprii permit implementarea tehnică a măsurilor de securitate descrise în proceduri. Consultaţi departamentul IT sau achiziţionaţi un serviciu de consultanţă în acest sens, cu privire la modul în care vor trebui adaptate sistemele informatice din perspectiva măsurilor de securitate impuse de Regulament. Abia după acest moment puteţi estima ce se poate implementa cu resursele pe care le aveţi deja şi ce investiţii mai aveţi de făcut.



5. Elaboraţi un plan de verificare şi monitorizare continuă a modului de respectare a prevederilor Regulamentului. Acest plan trebuie să includă şi monitorizarea evoluţiei legislaţiei interne în domeniu, întrucât Regulamentul dă posibilitatea statelor membre să adauge în anumite limite, restricţii şi obligaţii suplimentare pentru operatori.



6. După ce România va desemna o Autoritate de supraveghere în sensul cerut de Regulament, urmăriţi organismele de certificare acreditate de aceasta şi analizaţi dacă obţinerea vreunui certificat privind conformitatea cu prevederile Regulamentului, pot sprijini încrederea partenerilor dvs. în afacerea (sau instituţia) pe care o coordonaţi. Ţineţi cont de faptul că aceste certificări sunt voluntare şi nu vă absolvă de la respectarea prevederilor Regulamentului. Şi mai trebuie să reţineţi că până la autorizarea unor astfel de organisme de certificare de către ANSPDCP, care nu are încă atribuţiile impuse prin GDPR, certificările şi acreditările cu referire la GDPR care sunt vândute în acest moment prin diverse forme, riscă să nu fie recunoscute prin viitoarele dispoziţii ale autorităţii.

În ce situaţii se aplică prevederile acestui Regulament ?



O simplă citare a art. 2 din Regulament, este edificatoare:

"...se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor."



Practic, în orice situaţie în care organizaţia pe care o coordonaţi sau din care faceţi parte, intră în contact cu cetăţeni ai Uniunii Europene păstrând orice date de identificare a acestora, în indiferent ce scopuri sau forme de păstrare, se impune cunoaşterea şi repspectarea prevederilor acestui Regulament.



Există şi câteva excepţii. Acestea se referă la acele activităţi care respectă cel puţin una din condiţiile de mai jos:

se desfăşoară în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii;
sunt desfăşurate de către o persoană fizică în cadrul unor activităţi strict personale sau domestice;
sunt desfăşurate de autorităţi cu competenţe în domeniul siguranţei publice sau executării sancţiunilor penale.
Ce aduce nou Regulamentul ?



Domeniul de aplicare sporit teritorial. Cea mai mare schimbare în materie de confidențialitate a datelor se referă la competența extinsă a GDPR, deoarece Regulamentul va fi obligatoriu tuturor operatorilor care prelucrează date cu caracter personal ale cetăţenilor din ţările membre ale Uniunii Europene, indiferent de locația companiei. iar această obligaţie este independentă de domeniul de activitate: vânzarea unor bunuri sau servicii cetățenilor UE (indiferent dacă este necesară plata acestora) ori monitorizarea comportamentală a anumitpr categorii de cetăţeni ai Uniunii.



Sancțiuni clar definite ca şi cuantum, care pot ajunge până la 4% din cifra de afaceri globală anuală sau 20 de milioane de euro (oricare dintre acestea este mai mare). Aceasta este amenda maximă prevăzută pentru cele mai grave încălcări, cum ar fi de exemplu, procesarea datelor fără o bază legală, sau modul în care sunt proiectate aplicaţiile informatice prin care sunt prelucrate datele nu respectă principiul confidenţialităţii. Există însă o abordare diferențiată a amenzilor, de exemplu, o întreprindere poate fi amendată şi cu 2% (sau 10 milioane de euro) dacă nu a notificat autoritatea naţională de supraveghere și persoana vizată despre o încălcare a confidenţialităţii datelor privitoare la aceasta, sau de a nu efectua o evaluare a impactului asociat prelucrării datelor personale.



Elementele legate de consimţământ au fost întărite, iar companiile nu vor mai putea folosi termene și condiții ilizibile prin lungime sau termeni juridici de specialitate, deoarece solicitarea de consimțământ trebuie furnizată într-o formă inteligibilă și ușor accesibilă, menţionându-se clar scopul de prelucrare a datelor. Totodată, persoanei care i se solicită consimţământul, trebui ca prin acesta să i se aducă la cunoştinţă şi perioada pentru care se solicită accesul la prelucrarea datelor, precum şi faptul că în orice moment, consimţământul dat poate fi retras.



Dreptul de acces la date, reprezintă dreptul persoanelor vizate de a obține de la operatorul de date confirmarea dacă datele personale referitoare la ele sunt prelucrate sau nu, unde și în ce scop. În plus, operatorul este obligat să furnizeze gratuit o copie a datelor cu caracter personal într-un format electronic uzual, editabil prin aplicaţiile curente.



Dreptul de a fi uitat, reprezintă de asemenea o schimbare majoră de paradigmă. Acesta dă dreptul persoanei vizate de a solicita ștergerea datelor personale din unităţile de stocare ale operatorului de date, de a opri diseminarea în continuare a datelor și, eventual, de a stopa prelucrarea datelor de către terți. Respectarea acestui drept impune astfel pentru orice operator un control absolut asupra terţilor cărora, cu acceptul persoanei vizate, le-a transferat datele personale ale acesteia.

Condițiile de ștergere includ datele care nu mai sunt relevante în scopul iniţial pentru care au fost solicitate sau situaţiile în care persoanele își retrag consimțământul. De asemenea, trebuie remarcat faptul că acest drept cere operatorilor să analizeze astfel de solicitări şi din perspectiva "interesului public pentru disponibilitatea datelor".



Portabilitatea datelor, reprezintă dreptul persoanelor vizate de a obţine de la operator, datele personale, într-un format electronic uzual, în scopul de a le furniza altui operator.



Confidenţialitatea prin design, ca şi concept a existat de ani de zile, dar acum devine una din cerințele legale impuse prin Regulament. La baza sa, confidențialitatea prin design solicită includerea protecției datelor încă de la debutul proiectării sistemelor informatice, şi mai puţin decât ca o adăugare a unei măsuri de protecţie. Mai precis, "operatorul trebuie să <...> elaboreze măsuri tehnice și organizatorice adecvate, într-un mod eficient <...> pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate". De asemenea, se solicită operatorilor să dețină și să prelucreze numai datele absolut necesare pentru îndeplinirea sarcinilor sale (minimizarea datelor), precum și limitarea accesului la datele cu caracter personal celor care trebuie să efectueze procesarea.



Responsabilii cu protecţia datelor, reprezintă o obligativitate pentru acei operatori și procesatori de date cu caracter personal ale căror activități principale constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă, sau presupune prelucrarea unor categorii de date considerate de Regulament ca fiind speciale, ori date privind condamnările penale și infracțiunile.



Condiţiile de numire a acestor responsabili, sunt următoarele:

Trebuie să fie numiți pe baza calităților profesionale și în special, a cunoștințelor privind legislația din domeniul protecţiei datelor dar și a practicilor privind securitatea datelor prelucrate prin mijloace electronice;

Poate fi un membru al personalului sau un furnizor extern de servicii;
Detaliile privind contractul de servicii, dacă se alege varianta unui serviciu externalizat, trebuie furnizat şi autorităţii naţionale de supraveghere care funcţionează conform cerinţelor Regulamentului;
Trebuie să li se ofere acces la toate resursele de care au nevoie pentru a-și îndeplini sarcinile și pentru a-și păstra cunoștințele de specialitate;
Trebuie să se afle direct în subordinea celui mai înalt nivel de management
poate îndeplini şi alte sarcini, dar cu condiţia ca acestea să nu se afle într-un conflict de interese cu sarcinile rezultate din responsabilitatea de protecţie a datelor informatice.

   
   

 

HOME | LEGISLATIE | CONTACT