GDPR – Atenție la termenul limită care se apropie pentru conformare: 25 mai 2018!
Avertizare ROTLD pentru deținătorii de domenii .RO
February 5, 2018
Telemunca – reglementarea a fost publicată în Monitorul Oficial
April 16, 2018
Show all

INFORMAȚII GENERALE DESPRE GDPR

Au mai rămas doar două luni până la intrarea în vigoare a noilor reglementări europene privind protecția datelor personale. Este vorba despre două acte normative europene care, cu siguranță, vor avea un impact deosebit de puternic:

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (GDPR, care se va aplica direct, începând cu data de 25 mai 2018, fără a fi necesară vreo transpunere.

Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, care are termen limită de implementare 6 mai 2018. Această directivă va trebui transpusă, desigur, în legislația națională. La acest moment există un proiect de lege care a fost în dezbatere publică pe site-ul Ministerului Afacerilor Interne, acesta fiind autoritatea desemnată pentru implementarea Directivei (UE) 2016/680.

Proiectul de lege care implementează GDPR și Directiva (UE) 2016/680 a fost publicat pentru dezbatere publică pe site-ul MAI, în data de – 05.09.2017 – 15:33. Este un proiect de modificare și completare a nr. Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Acesta abrogă și  Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, întrucât Regulamentul GDPR este aplicabil direct, în toate țările UE, nefiind necesară nicio transpunere. Acest proiect n-a mai avansat după faza dezbaterilor publice, însă, cel mai probabil, se vor lua măsuri de autorități pentru a nu intra în procedura de infringement.

Practic, s-a acordat un termen de 2 ani pentru ca entitățile să aibă timp să se alinieze reglementărilor.

CE ESTE GDPR?

Printr-o simplă căutare pe internet, veți găsi referiri la un act denumit “GDPR” (General Data Protection Regulation), act ce a fost adoptat de Parlamentul European încă din aprilie 2016. Spre deosebire de Directivele Europene, pentru Regulamentele Europene nu este necesară o transpunere a prevederilor în legislația națională a fiecărui stat al UE, ci acestea intră direct în vigoare, fără nicio altă formalitate, în toate statele Uniunii Europene.

CÂND INTRĂ ÎN VIGOARE GDPR?

Potrivit textului acestui Regulament, intrarea în vigoare a fost stabilită pentru 25 mai 2018, la aproximativ doi ani de la publicare, tocmai pentru a permite instituțiilor publice și companiilor de stat și private să își poată pregăti și implementa propriul cadru de conformitate la prevederile Regulamentului. Astfel, va fi necesară rezolvarea problemele impuse de GDPR anterior intrării în vigoare, deoarece după această dată există sancțiuni importante pentru lipsa de conformitate.

DEFINIȚII

  • date cu caracter personal = orice informații cu privire la o persoană fizică identificată sau identificabilă
  • operator = entitatea care stabilește scopul și mijloacele prelucrării datelor
  • împuternicit = entitatea care prelucrează datele în numele operatorului
  • persoana vizată = orice persoană fizică
  • prelucrare = orice operațiune asupra datelor personale (cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, consultarea etc)

CARE SUNT DATELE CU CARACTER PERSONAL?

Esența GDPR se bazează pe drepturile fundamentale ale omului. Art.8, Alin.1 din „Carta drepturilor fundamentale a Uniunii Europene” și Art.16, Alin.1 din „Tratatul privind funcționarea Uniunii Europene” prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

Termenul de „Date cu caracter personal” este destul de general în contextul schimbărilor din Regulamentul european. Conform Articolului 4 – Definiții, Date cu caracter personal „înseamnă orice informații privind o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.”

Exemple de date cu caracter personal:

  • nume, prenume
  • adresa
  • CNP
  • serie și număr CI
  • e-mail
  • telefon
  • venit
  • date biometrice
  • imagine
  • adresa IP
  • date medicale
  • orice alte informații cu privire la o persoana fizică identificată sau identificabilă

Nu există nicio listă care să enumere în totalitate datele cu caracter personal.

Date cu caracter personal speciale sunt:

  • originea rasială sau etnică
  • datele medicale
  • date genetice, biometrice pentru identificarea unică a unei persoane fizice
  • convingerile politice, religioase, filozofice
  • date privitoare la fapte penale sau contravenții
  • datele cu privire la viața sexuală

Datele speciale se prelucrează în condiții riguroase!

CARE SUNT ACTIVITĂȚILE ASUPRA CĂRORA GDPR VA AVEA UN IMPACT MAJOR?

Sunt vizați toți operatorii de date. Cei existenți vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor. Prin actuala definiție,  interpretabilă de altfel, multe companii care credeau că nu au motive să se alinieze la prevederile GDPR au aflat că din pricina parteneriatelor existente sunt asimilați în sistemele de operatori  și  procesatori  de  date. Practic, orice organizație (firmă, companie, cabinet profesional, website, etc), indiferent de mărime și domeniul de activitate, este vizată de noua legislație cu privire la datele personale.

Exemple de domenii unde există operatori de date personale:

  • furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data center, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW;
  • organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.;
  • companii comerciale de retail, distribuție, magazine online;
  • financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.;
  • utilități: energie, gaze, apă, salubritate, transport public;
  • organizații media, , agenții de publicitate, cabinete de consultanță tehnică, economică sau juridică, agenții de marketing și PR, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare;
  • autorități și instituții publice.

SE APLICĂ GDPR FIRMEI MELE?

Răspunsul este “DA”, în 99,99% din situații. În majoritatea cazurilor, companiile procesează sub diferite forme date cu caracter personal, fie în interes propriu, fie în interesul altor firme. Este practic imposibil ca o organizație să nu prelucreze astfel de date. Fie că vorbim despre prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing sau a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal sau judiciar etc.), toate aceste situații fac ca orice firmă să devină subiect al GDPR.

Trebuie reținut faptul că GDPR se aplică nu doar firmelor cu sediul în Uniunea Europeană, ci și celor cu sediul în alte state ale lumii, în măsura în care ele prelucrează date personale ale unor persoane din Uniunea Europeană. Cu alte cuvinte, dacă un retailer mare din spațiul non-UE vinde online și livrează bunuri către persoane din UE, atunci compania respectivă este obligată să respecte condițiile impuse de GDPR.

CÂTEVA ACTIVITĂȚI NECESARE PENTRU A VĂ PREGĂTI PENTRU INTRAREA ÎN VIGOARE A GDPR

Companiile ar trebui să parcurgă, până la momentul intrării în vigoare a GDPR, mai mulți pași care să le ajute să se conformeze la obligațiile impuse de acesta. Iată câteva dintre activitățile care ar putea ajuta la evaluarea și maximizarea gradului de conformare a politicilor interne ale companiei la prevederile GDPR:

  • Evaluați gradul de pregătire pentru GDPR și verificați unde sunt discrepante și ce trebuie făcut în privința lor .
  • Verificați dacă trebuie să numiți un responsabil cu protecția datelor. Implementați programe de training pentru personalul care lucrează cu date personale.
  • Inventariați categoriile de date prelucrate și operațiunile de prelucrare, și realizați evidența activităților de prelucrare. Totodată, trebuie analizat dacă datele deținute respectă cerințele GDPR (dacă sunt necesare si proporționale scopului, de exemplu) și dacă, acolo unde era necesară obținerea consimțământului, acesta respectă cerințele GDPR.
  • Verificați contractele care implică date personale, în special alocarea responsabilităților și răspunderea fiecărei părți, precum si soluționarea disputelor si limitarea răspunderii. Sancțiunile ridicate și răspunderea solidară între operator și împuternicit sau între operatorii asociați, face ca limitarea de răspundere pentru chestiuni de prelucrare a datelor să trebuiască analizată cu deosebită atenție.
  • Clarificați temeiurile prelucrărilor. Nu abuzați de consimțământ acolo unde nu e oportun (de exemplu, în relația angajat-angajator, acolo unde nu există opțiune reală, unde nu puteți opri prelucrarea chiar fără consimțământ), documentați analiza interesului legitim.

PRINCIPALELE 10 OBLIGAȚII PE CARE GDPR LE IMPUNE COMPANIILOR

  1. Stabilirea fermă și unitară a acelor informații care au un caracter personal. Fiecare firmă are libertatea, dar și sarcina, de a-și standardiza propriul formular de date personale, formular care trebuie să țină cont de faptul ca noua Ordonanță definește ca fiind date personale orice informații care poate duce, direct sau indirect, la identificarea acelei persoane.
  2. În cazul firmelor care își desfășoară activitatea online, va exista o acțiune afirmativă cum ar fi bifarea unei căsuțe sau orice altă acțiune care marchează ferm acordarea dreptului de a colecta informațiile cu caracter personal. Astfel, anunțurile de genul “Navigarea pe acest site presupune acordul dumneavoastră de a…” sunt în afara Ordonanței, ele putând fi sancționate.
  3. Inventarierea informațiilor cu caracter personal deja stocate. Cu cât compania este mai mare sau are o vechime mai mare în câmpul de activitate, cu atât va fi mai dificilă inventarierea acestor informații și stabilirea surselor din care ele provin, mai ales daca totul se desfășoară online.
  4. Informarea corespunzătoare a clienților despre modul în care aceste informații vor fi utilizate.
  5. Ordonanța permite clienților să revoce orice informație din trecut. De aceea firmele trebuie să fie pregătite să justifice sursa acelor informații și, eventual, să obțină noul acord din partea clienților pentru a păstra datele respective.
  6. Se va asigura securitatea datelor colectate. Orice firmă sau companie care colectează informații cu caracter personal despre clienții ei, va avea obligația și sarcina să păstreze și să asigure confidențialitatea acestora. Orice abatere intrând sub incidenta Ordonanței și putând fii sancționată cu amenzi mari.
  7. Revizuirea acordurilor – firmele au obligația de a rescrie acordurile de folosire a datelor cu caracter personal într-un limbaj cat mai simplu si mai accesibil, astfel încât acesta să fie înțeles de oricine, fără dubii și posibilități de interpretare.
  8. Introducerea opțiunii de retragere a acordului – chiar dacă utilizatorul site-ului sau clientul, și-a dat acordul pentru stocarea informațiilor cu caracter personal, el trebuie să aibă și posibilitatea de a-și retrage acest acord. Astfel, companiile au obligația de a lua în considerare și conceperea unui formular de retragere a acordului.
  9. Companiile au obligația să se informeze din timp despre aceste prevederi, să înceapă demersurile și chiar să informeze clienții despre noile implementări.
  10. Proprietarii de site-uri si cei care găzduiesc domenii au datoria să se informeze dacă cei care le-au oferit infrastructura au început demersurile de adaptare la noile prevederi și fac modificările necesare. Astfel, ar trebui să întrebe: unde se află data-center-ul, unde sunt stocate datele – în UE sau în afara ei, ce măsuri de siguranță și protecție au implementat pentru datele pe care ei le colectează?

CÂND ESTE NECESARĂ PĂSTRAREA EVIDENȚEI ACTIVITĂȚILOR DE PRELUCRARE?

  • când firma are peste 250 de angajați
  • când prelucrarea implică un risc pentru persoana vizata
  • când prelucrarea nu este ocazională
  • se prelucrează categorii speciale de date

ÎNȘTIINȚAREA ANGAJAȚILOR

Informați și instruiți angajații privind colectarea și prelucrarea datelor cu caracter personal, conform GDPR. Toți cei care au acces la date personale trebuie să fie conștienți de riscurile care pot apărea și trebuie să fie pregătiți să preîntâmpine abuzurile.

OFIȚERUL PENTRU PROTECȚIA DATELOR

Responsabilul cu protecția datelor sau DPO (așa cum este numit în Regulamentul UE 2016/679),  devine un ”actor-cheie” în noul sistem de protecție a datelor. Toate instituțiile publice precum și  majoritatea companiilor private vor avea obligativitatea de a numi un DPO începând cu data de 25 mai 2018.

Ofițerul responsabil pentru protecția datelor cu caracter personal sau DPO-ul, poate fi intern (angajat din cadrul organigramei) sau poate fi contractat extern (SRL, PFA, avocat) și trebuie să aibă cunoștințe de specialitate și experiență în domeniul protecției datelor cu caracter personal.

Este necesară existența unui DPO în următoarele cazuri:

  • operatorul de date cu caracter personal este o instituție publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • principala activitate a companiei este prelucrarea datelor cu caracter personal, efectuând o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online)
  • principala activitate a companiei este prelucrarea datelor sensibile, facându-se o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiuni
  • operatorul de date procesează date provenite de la mai mult de 5000 de persoane

Dacă DPO-ul este un angajat intern, este necesar:

  • să îi puneți la dispoziție resursele necesare pentru îndeplinirea atribuțiilor care îi revin
  • garantarea accesului la datele cu caracter personal și la procesul de prelucrare a acestora
  • ca datele sale de contact să fie publice și să anunțați Autoritatea Națională

CARE SUNT DREPTURILE PERSOANELOR VIZATE

GDPR aduce elemente de noutate introducând drepturi noi pentru persoanele vizate și consolidează unele dintre drepturile care existau deja în legislația europeană. Astfel, persoanele fizice vizate de prelucrarea datelor cu caracter personal au următoarele drepturi generale:

  • Dreptul de a fi informat
  • Dreptul de acces
  • Dreptul la rectificare
  • Dreptul de ștergere
  • Dreptul de a restricționa procesarea
  • Dreptul la portabilitatea datelor
  • Dreptul la obiecții
  • Drepturi legate de luarea de decizii automatizate și de profilare

CINE SUPERVIZEAZĂ GDPR ÎN ROMÂNIA

În România, organismul care coordonează problemele legate de securitatea datelor personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

site-ul Autorității: http://www.dataprotection.ro/

SANCȚIUNI

  • Amenzi de până la 10.000.000 EUR sau până la 2% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru încălcări privind obligațiile operatorului și împuternicitului
  • Amenzi de până la 20.000.000 EUR sau până la 4% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru încălcarea principiilor de bază privind prelucrarea datelor, inclusiv consimțământul, încălcarea drepturilor persoanelor vizate, transferurilor internaționale de date și nerespectarea măsurilor unei autorități de supraveghere

CARE SUNT SITUAȚIILE ÎN CARE AMENDA E DE 2% DIN CIFRA DE AFACERI?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supraveghere constată încălcarea articolelor cu privire la:

  • Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
  • Obligațiile corpului de certificare conforme cu Articolele 42 și 43
  • Obligațiile corpului de monitorizare aferente Articolelor: 41 (Alineat 4)

Mai exact, această penalitate se va aplica pentru încălcarea prevederilor articolelor:

  • 8: Consimțământul copilului
  • 11: Prelucrarea care nu necesită identificare
  • 25: Protecția datelor prin design și implicit
  • 26: Controlori comuni
  • 27: Reprezentanți ai controlorilor care nu sunt stabiliți în UE
  • 26, 29 și 30: Prelucrarea
  • 31: Cooperarea cu autoritatea de supraveghere
  • 32: Securitatea datelor
  • 33: Notificarea încălcărilor autorității de supraveghere
  • 34: Comunicarea încălcărilor la persoanele vizate
  • 35: Evaluarea impactului protecției datelor
  • 36: Consultare prealabilă
  • 37, 38 și 39: Protecția datelor
  • 41 (4): Monitorizarea codurilor de conduită aprobate
  • 42: Certificare
  • 43: Organisme de certificare

CARE SUNT SITUAȚIILE ÎN CARE AMENDA E DE 4% DIN CIFRA DE AFACERI?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:

  • Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
  • Drepturile subiecților aferente Articolelor de la 12 la 22;
  • Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.

Mai exact, această penalitate se va aplica pentru încălcarea prevederilor articolelor:

  • 5: Principii privind prelucrarea datelor cu caracter personal;
  • 6: Legalizarea procesării;
  • 7: Condiții pentru consimțământ;
  • 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
  • 12 – 22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
  • 44 – 49: Transferuri către țări terțe;
  • 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
  • 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.

 

Sursa: https://legalup.ro 

Apreciem activitatea în domeniul GDPR a Cabinetului de Avocat „Mihaela – Ruxandra Sava

Leave a Reply

Your email address will not be published. Required fields are marked *