Ghid referitor la aplicare Regulamentului General privind Protecţia Datelor destinat operatorilor

 

CONTEXT

 

Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor - GDPR).

 

Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018.

 

Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

 

NOUTĂŢI

Regulamentul (UE) 2016/679 pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal.

Regulamentul (UE) 2016/679 stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line.

Regulamentul (UE) 2016/679 consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării.

Regulamentul (UE) 2016/679 introduce sancţiuni severe, pâna la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.

 

DOMENIU DE APLICARE GDPR se aplică:

- Prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.

- Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau
  • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
  • Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.

 

 

PRINCIPALELE OBLIGAŢII PENTRU OPERATORII DE DATE ÎN APLICAREA GDPR:

 

I. DESEMNAREA UNUI RESPONSABIL CU PROTECŢIA DATELOR

 

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune de informare, de consiliere și de control în plan intern: responsabilul cu protecţia datelor.

Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:

  • este o autoritate publică sau un organism public, cu excepţia instanţelor în exercitarea funcţiei lor jurisdicţionale;
  • desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
  • desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor, ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.

Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii și respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.

 

Rolul responsabilului cu protecţia datelor

  • să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter personal;
  • să monitorizeze respectarea GDPR și a legislaţiei naţionale în domeniul protecţiei datelor;
  • să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor și să verifice efectuarea acestora;
  • să coopereze cu autoritatea pentru protecţia datelor și să reprezinte punctul de contact în relaţia cu aceasta.

II. CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

 

Toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii prelucrărilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protecţia Datelor.

Chiar și operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia  cartografierii prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni. În acest sens:

Pentru a evalua în mod eficient impactul GDPR asupra activităţii entităţii, este necesară identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenţei activităţilor de prelucrare.

Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter personal efectuate și pentru a răspunde noilor exigenţe, trebuie identificate, în prealabil, cu precizie:

  • diferitele prelucrări de date cu caracter personal;
  • categoriile de date cu caracter personal prelucrate;
  • scopurile urmărite prin operaţiunile de prelucrare a datelor;
  • persoanele care prelucrează aceste date;
  • fluxurile de date, indicând originea și destinaţia datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene.

 

Evidenţa păstrată de operator va cuprinde:

 

(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecţia datelor;

(b) scopurile prelucrării;

(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;

(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;

(e) dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective și, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General privind Protecţia Datelor, documentaţia care dovedește existenţa unor garanţii adecvate;

(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;

(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de Securitate menţionate la articolul 32 alineatul (1) din Regulamentul General privind Protecţia Datelor.

 

III. CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

 

Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea în vedere urmatoarele:

 

CINE ?

Se înscriu în evidenţa numele și coordonatele operatorului (și ale reprezentantului sau legal) și, dupa caz, ale responsabilului cu protecţia datelor;

Se întocmește lista persoanelor împuternicite, după caz.

 

CE ?

Se identifică categoriile de date cu caracter personal prelucrate;

Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite (datele privind sănătatea sau infracţiunile)

 

DE CE ?

Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (ex. gestionarea relaţiei comerciale, managementul resurselor umane, geolocalizare, videosupraveghere etc.)

 

UNDE ?

Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor.

Se stabilesc statele către care sunt, eventual, transferate datele.

 

PÂNĂ CÂND?

Se precizează, pentru fiecare categorie de date, perioada de stocare.

 

CUM ?

Se precizează masurile de securitate implementate pentru a reduce la minimum riscurile de acces neautorizat la date și, în consecinţa, impactul asupra vieţii private a persoanelor vizate.

 

IV. PRIORITIZAREA ACŢIUNILOR DE ÎNTREPRINS

 

Operatorul și persoana împuternicită de operator identifică acţiunile care trebuie întreprinse pentru conformarea la cerinţele impuse de GDPR.

Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertăţile persoanelor vizate.

După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de Regulamentul General privind Protecţia Datelor.

 

Indiferent de prelucrările efectuate, se vor avea în vedere, în principal, următoarele aspecte:

  • colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;
  • identificarea temeiului legal în baza căruia se efectuează prelucrarea raportat la art. 6 din Regulamentul General privind Protecţia Datelor (ex. consimţământul persoanelor vizate, contract, obligaţie legală);
  • revizuirea/ completarea informaţiilor furnizate persoanelor vizate, astfel încât să respecte cerinţele impuse de Regulamentul General privind Protecţia Datelor (articolele 12, 13 și 14);
  • asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;
  • verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate;
  • stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
  • verificarea măsurilor de securitate

 

Se pot aplica măsuri speciale, precum: evaluarea impactului asupra protecţiei datelor, extinderea dreptului la informare al persoanelor vizate, obţinerea consimţământului persoanelor vizate (după caz), obţinerea autorizării pentru transferurile de date în state terţe (dacă este cazul), în cazul în care prelucrările de date cu caracter personal efectuate în cadrul operatorului sau persoanei împuternicite de operator îndeplinesc următoarele caracteristici:

- Prelucrarea efectuată vizează și categorii de date precum:

  • - date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau religioase, apartenenţa sindicală;
  • - date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
  • - date referitoare la infracţiuni sau condamnări penale;
  • - date referitoare la minori.

- Prelucrarea efectuată are ca scop și ca efect:

- monitorizarea permanentă pe scară largă a unei zone accesibile publicului;

- evaluarea sistematică și aprofundată a unor aspecte personale, inclusiv profilarea, pe baza căreia sunt luate decizii care produc efecte juridice referitoare la o persoană fizică sau care o afectează pe aceasta în mod semnificativ.

- Prelucrarea efectuată implică transferuri de date în afara Uniunii Europene, către state care nu asigură un nivel de protecţie adecvat recunoscut de Comisia Europeană.

Se realizează o analiză aprofundată a legislaţiei privind protecţia datelor și a cerinţelor impuse de Regulamentul General privind Protecţia Datelor pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

 

V. GESTIONAREA RISCURILOR

 

În cazul în care au fost identificate prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul va efectua o evaluare a impactului asupra protecţiei datelor, în condiţiile art. 35 din Regulamentul General privind Protecţia Datelor.

 

Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării.

Se va pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere al persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și scopurile prelucrării și utilizarea noilor tehnologii.

 

Evaluarea impactului asupra protecţiei datelor presupune:

  • o descriere a prelucrării de date efectuate și a scopurilor acesteia;
  • o evaluare a necesităţii și a proporţionalităţii prelucrării de date efectuate;
  • o estimare a riscurilor asupra drepturilor și libertăţilor persoanelor vizate;
  • măsurile prevăzute pentru a trata riscurile și a asigura conformitatea cu dispoziţiile GDPR.

 

Evaluarea impactului asupra protecţiei datelor permite:

  • realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă viaţa privată;
  • estimarea impactului asupra vieţii private a persoanelor vizate;
  • demonstarea faptului că principiile fundamentale ale Regulamentul General privind Protecţia Datelor sunt respectate.

 

Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:

(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

(b) prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul 10; sau

(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

 

Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de operator pentru atenuarea acestora, se consultă Autoritatea naţională de supraveghere.

 

VI. ORGANIZAREA PROCEDURILOR INTERNE

 

Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum:

  • breșe de securitate;
  • solicitări privind exercitarea drepturilor persoanelor vizate;
  • modificarea datelor cu caracter personal colectate;
  • schimbarea prestatorului.

 

Organizarea procedurilor interne implică, în special:

  • luarea în considerare a protecţiei datelor cu caracter personal încă de la momentul conceperii (privacy by design) unei aplicaţii sau a unei prelucrări: minimizarea colectării datelor în funcţie de scop, cookie-uri, perioada de stocare, informaţiile furnizate persoanelor vizate, obţinerea consimţământului persoanelor vizate, securitatea și confidenţialitatea datelor cu caracter personal, garantarea rolului și responsabilităţii părţilor implicate în efectuarea prelucrării datelor;
  • aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării (privacy by default), având în vedere: volumul de date colectate, gradul de prelucrare a acestora, perioada de stocare și accesibilitatea lor, astfel încât datele cu caracter personal să nu fie accesate, fără intervenţia persoanei, de un număr nelimitat de persoane;
  • sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui plan de pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal;
  • soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora; exercitarea drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în cazul în care datele au fost colectate prin astfel de mijloace;
  • anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite cazuri, obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de ore și a persoanelor vizate în cel mai scurt timp;
  • asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și organizatorice adecvate, incluzând printre altele, după caz:
  1. pseudonimizarea și criptarea datelor cu caracter personal;
  2. capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și rezistenţa continue ale sistemelor și serviciilor de prelucrare;
  3. capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  4. un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

 

 

Noul Regulament General privind Protecţia Datelor 2017

 

Comisia Europeană a semnalat, în anul 2012, necesitatea actualizării cadrului normativ  european aplicabil în domeniul protecţiei datelor şi a propus noi reguli utilizând ca instrument normativ regulamentul.

Regulamentul (UE) 2016/679 a intrat în vigoare pe 25 mai 2016, iar prevederile lui vor fi aplicabile începând cu data de 25 mai 2018.

Deşi principiile şi obiectivele principale stabilite de Directiva 95/46/CE rămân valabile, scopul principal al Regulamentului este acela de a adapta şi actualiza aceste principia în acord cu evoluţia tehnologiei.

Regulamentul stabileşte un set unic de reguli, direct aplicabile în toate statele membre ale Uniunii, destinat protejării mai eficiente a vieţii private a persoanelor fizice de pe teritoriul

Uniunii Europene.

Principiile şi regulile stabilite de Regulament privesc un drept fundamental al persoanei – dreptul la protecţia datelor personale, garantat de art. 8 al Cartei Drepturilor Fundamentale a UE şi art. 16 al Tratatului UE.

Regulamentul accentuează responsabilitatea operatorilor care prelucrează date personale, simplificând, în acelaşi timp, formalităţile administrative pe care aceştia trebuie să le parcurgă. Prevederile Regulamentului consolidează drepturile garantate persoanelor vizate (persoanele ale căror date sunt prelucrate).

Astfel, dreptul la informare este extins, în sensul că persoanele vizate pot obţine de la operatorul de date informaţii mai clare şi cuprinzătoare cu privire la scopul şi temeiul legal în care se prelucrează datele personale, perioada de stocare a acestora şi drepturile de care beneficiază.

Dreptul de a fi uitat cu aplicabilitate în mediul on-line este consacrat expres.

Regulamentul mai prevede şi un drept nou, cel la portabilitatea datelor - mai exact posibilitatea persoanelor vizate de a cere transferarea datelor la un alt operator de date.

 

Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

 

Scopul Regulamentului este să contribuie la asigurarea unei zone de libertate, securitate şi justiţie pe teritoriul Uniunii Europene, o zonă în care este asigurat atât progresul economic şi social, cât şi binele individual.

Regulile şi principiile stabilite de Regulament protejează viaţa privată a tuturor persoanelor aflate pe teritoriul Uniunii Europene, ale căror date personale sunt prelucrate de companii/ persoane fizice/ instituţii/ orice alte entităţi de drept public sau privat.

Aceste reguli şi principii sunt aplicabile tuturor persoanelor, indiferent de cetăţenia acestora sau de reşedinţă (în interiorul UE).

Operatorilor de date le este oferită posibilitatea de a interacţiona cu o singură autoritate de supraveghere, respectiv cea din statul membru în care este stabilit sediul principal al operatorului de date.

Minorii beneficiază de mai multă atenţie întrucât regulamentul stabileşte o serie de garanţii  specifice pentru a proteja cât mai eficient viaţa privată a acestora, în special, în mediul on-line.

Regulile stabilite de Regulament vor fi aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliţi aceştia, în anumite condiţii. Astfel, în măsura în care bunurile sau serviciile oferite de o companie aflată în afara UE, care presupun prelucrarea datelor personale, sunt adresate în mod vădit şi cetăţenilor Uniunii Europene, regulile stabilite de Regulament îi vor fi aplicabile şi acestei companii.

 

Domeniul de aplicare:

  • este direct aplicabil în toate statele membre UE
  • protejează drepturile tuturor persoanelor fizice aflate pe teritoriul UE, indiferent de situarea geografică a operatorului de date
  • extinde sfera de aplicare şi asupra operatorilor de date stabiliţi în afara UE, în măsura în care bunurile şi/ sau serviciile acestora sunt adresate (şi) persoanelor aflate pe teritoriul UE

 

Regulamentul priveşte atât companiile aflate pe teritoriul Uniunii Europene, cât şi cele din afara acestui spaţiu care prelucrează, însă, date personale pentru a oferi bunuri şi servicii persoanelor aflate pe teritoriul Uniunii Europene, indiferent dacă bunurile şi serviciile respective sunt condiţionate sau nu de efectuarea unei plăţi.

Importantă este intenţia companiei de a oferi în mod efectiv bunuri şi/ sau servicii persoanelor aflate pe teritoriul UE.

Pentru a identifica intenţia de a oferi bunuri sau servicii pe teritoriul Uniunii Europene sunt analizaţi mai mulţi factori, cum ar fi: utilizarea limbii oficiale a unuia dintre statele membre, posibilitatea de a plăti în euro sau altă monedă oficială a statelor membre ori de a livra produsele comandate pe teritoriul UE sau orice alte asemenea indicii.

 

De asemenea, Regulamentul va fi aplicabil şi companiilor aflate în afara Uniunii Europene în măsura în care prelucrarea de date efectuată presupune monitorizarea comportamentului persoanelor aflate pe teritoriul UE.

O astfel de monitorizare presupune, spre exemplu, urmărirea comportamentului în mediul on-line, inclusiv folosirea unor tehnici ulterioare de prelucrare a datelor cum ar fi crearea de profiluri. Astfel de tehnici sunt folosite pentru a stabili preferinţele persoanelor, comportamentele şi atitudinile acestora.

 

Excepţii:

  • prevederile Regulamentului nu vor fi aplicabile prelucrărilor efectuate în scopul prevenirii, cercetării şi urmăririi penale a infractorului sau executarea sancţiunii penale. În cazul acestora vor fi aplicabile prevederile unei reglementări naţionale în aplicabilitatea Directivei (UE) 2016/680, (care face parte din acelaşi „pachet legislativ” cu Regulamentul UE 2016/679).
  • Regulamentul nu va fi aplicabil activităţilor aflate în afara dreptului Uniunii – aici se încadrează şi prelucrările de date referitoare la securitatea naţională a statelor membre şi relaţiile externe.
  • Regulamentul nu va fi aplicabil prelucrărilor de date efectuate de o persoană fizică în cadrul unei activităţi exclusiv personale.

 

Dreptul de a fi uitat - persoanele fizice pot cere ştergerea datelor personale dacă acestea au fost prelucrate ilegal, fără consimţământul acestora sau dacă datele nu mai sunt necesare scopului în care au fost prelucrate iniţial. În cazul dreptului de a fi uitat, a fost avută în vedere în special prelucrarea datelor în mediul on-line.

Dreptul de a fi uitat nu este unul absolut – vor fi analizate întotdeauna circumstanţele specifice fiecărui caz în parte. Regulamentul permite păstrarea în continuare a datelor cu caracter personal în cazul în care aceasta este necesară pentru respectarea libertăţii de exprimare şi a dreptului la informare, pentru respectarea unei obligaţii legale, pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul, din motive de interes public în domeniul sănătăţii publice, în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă.

 

Pentru persoanele vizate: Sunt consolidate drepturile garantate persoanelor şi sunt introduse drepturi noi:

Activităţile cuprinse în ultima excepţie sunt unele strict personale şi exclud orice legătură cu profesia sau cu orice activitate comercială. Sunt incluse în această excepţie, spre exemplu, corespondenţa personală prin e-mail, socializarea în mediul on-line şi orice altă asemenea activitate.

Dreptul la portabilitatea datelor - oferă posibilitatea persoanei fizice de a cere să se transmită datele la un alt operator sau de a primi datele personale care o privesc şi pe care le-a furnizat operatorului.

Operatorul de date trebuie să ofere datele într-un format structurat, utilizat în mod curent, prelucrabil automat şi interoperabil, tocmai pentru ca şi un alt operator de date să le poată prelucra ulterior.

 

Dreptul la portabilitatea datelor este aplicabil în măsura în care persoana vizată a oferit operatorului datele personale, iar acesta le prelucrează în baza consimţământului sau în executarea unui contract.

 

Nu se va putea exercita dreptul la portabilitatea datelor în cazul operatorilor de date care prelucrează datele persoanelor fizice în cadrul exercitării funcţiilor lor publice, în cazul în care prelucrarea este necesară în vederea respectării unei obligaţii legale căreia îi este supus operatorul ori în cazul îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă din exercitarea unei autorităţi publice cu care este învestit operatorul de date.

 

În exercitarea dreptului la portabilitatea datelor, nu trebuie aduse atingeri drepturilor şi libertăţilor altor persoane – spre exemplu cazul unui set de date care priveşte mai multe persoane sau dreptul altei persoane de a obţine ştergerea datelor care o privesc.

 

Atunci când se exercită dreptul la portabilitatea datelor, operatorul de date poate transmite datele personale direct altui operator de date ales de persoana vizată.

 

Aspecte diverse: Regulamentul stabileşte obligaţia operatorului de a demonstra obţinerea

consimţământului persoanei pentru prelucrările de date personale.

Persoana vizată are dreptul să îşi retragă în orice moment consimţământul, în situaţia în care acesta constituie temei de prelucrare a datelor.

 

Absenţa unei manifestări clare de acord nu poate fi privită ca o formă de exprimare a consimţământului.

Spre exemplu, în cazul căsuţelor bifate (prin care este prestabilit acordul) nu poate fi prezumat un consimţământ exprimat în cunoştinţă de cauză.

În cazul în care datele sunt prelucrate în mai multe scopuri, este important ca operatorul de date să poată demonstra că a obţinut acordul persoanei pentru a-i prelucra datele în toate acele scopuri.

Regulamentul stabileşte obligaţia operatorului de date de a asigura un anumit nivel de transparenţă faţă de persoanele vizate. Acestea trebuie să ştie cine este operatorul de date, scopul în care le vor fi prelucrate datele, ce date sunt utilizate, ce drepturi le sunt garantate,

cum îşi pot exercita aceste drepturi şi cine sunt/vor fi terţii cărora operatorul le va dezvălui datele, dacă este cazul.

În cazul în care sunt prelucrate date personale ale minorilor, operatorul de date trebuie să ofere informaţiile respective utilizând un limbaj cât mai simplu şi clar, astfel încât copilul/ minorul să poată înţelege cu uşurinţă scopul şi modul în care îi vor fi prelucrate datele personale.

Proximitatea faţă de persoana vizată - autoritatea de supraveghere din statul membru în care se află persoana vizată acţionează ca interlocutor/ punct de contact atunci când operatorul de date este stabilit într-un alt stat.

În cazul prelucrărilor de date care vizează persoane din mai multe state membre, fiecare persoană are posibilitatea de a se adresa (după caz, de a depune plângere) autorităţii de

supraveghere din statul (membru UE) în care îşi are domiciliul/ reşedinţa. În acest fel, este asigurată implicarea autorităţii de supraveghere din statul membru în care se află persoana în procedura de adoptare a unei decizii în cazul unui operator de date stabilit într-un alt stat membru.

Cooperare consolidată între autorităţile de supraveghere - în cazul prelucrărilor de date transnaţionale (cele care privesc persoane din mai multe state membre UE), autorităţii de

supraveghere din statul respectiv îi sunt oferite competenţe pentru a se asigura, alături de autorităţile din celelalte state implicate, că datele sunt prelucrate conform regulilor şi principiilor stabilite de Regulament.

 

Pentru operatorii de date: One stop shop - formalităţi reduse pentru operatorii de date (interlocutor unic la nivel UE).

Operatorii de date care îşi desfăşoară activităţile în mai multe state membre UE îşi pot alege un singur interlocutor - autoritatea de supraveghere din statul membru în care îşi au stabilit sediul principal.

Responsabilizarea operatorilor de date - accentul este pus pe transparenţa faţă de persoana vizată şi responsabilitatea operatorului de date faţă de modul în care prelucrează datele.

În cazul prelucrărilor de date care pot presupune un risc ridicat pentru viaţa privată a persoanelor, operatorul trebuie să efectueze un studiu de impact asupra vieţii private.

Rezultatul unui astfel de studiu îi va permite să identifice riscuri specifice şi să adopte măsuri care să împiedice apariţia/ producerea acestor situaţii.

Prelucrarea categoriilor de „date sensibile” poate presupune, de cele mai multe ori, apariţia unor riscuri specifice referitoare la viaţa privată a persoanelor.

O asemenea evaluare va începe întotdeauna cu inventarierea datelor/ categoriilor de date personale pe care operatorul intenţionează să le prelucreze.

Acestea vor fi supuse unei analize de necesitate pentru a verifica dacă sunt, într-adevăr, necesare toate acele date/ categorii de date pentru a atinge scopul urmărit de operator, în

vederea respectării principiului minimizării datelor.

Ulterior pot fi identificate şi riscurile presupuse de prelucrarea acelor date, spre exemplu dezvăluirea neautorizată/accidentală/ilicită a datelor şi atingerile pe care producerea unui astfel de risc le pot aduce dreptului persoanei la viaţă privată.

În funcţie de riscurile identificate, operatorul de date îşi va stabili şi măsuri tehnice şi organizatorice (proceduri interne) pentru a preveni producerea acestora.

 

 

Privacy by design & Privacy by default - două principii esenţiale pentru operatorii de date.

 

Privacy by design – eşti dezvoltator de aplicaţii prin care se vor prelucra şi date personale? Trebuie să te asiguri, încă din stadiul dezvoltării, că aplicaţia ta va respecta regulile şi principiile stabilite de Regulament.

 

Privacy by default - furnizezi o aplicaţie care prelucrează date personale? Trebuie să te asiguri că setările iniţiale le vor permite utilizatorilor să îşi menţină controlul asupra vieţii lor private/ ceea ce postează sau împărtăşesc cu alţi utilizatori. Utilizatorul poate alege să dezvăluie mai multe informaţii/ date personale, însă trebuie să o facă în cunoştinţă de cauză, nu implicit (datorită setărilor iniţiale).

 

Transferul datelor în afara UE - atunci când datele personale sunt transferate în afara Uniunii Europene, acestea vor beneficia în continuare de nivelul de protecţie asigurat de regulile şi principiile stabilite de Regulament.

Operatorul de date utilizează unul dintre instrumentele prevăzute de Regulament:

  • BCR (binding corporate rules) - reguli corporatiste obligatorii
  • clauze contractuale standard
  • Decizii privind caracterul adecvat al nivelului de protecţie emise de către Comisia Europeană.

 

Pentru a se asigura nivelul de protecţie a datelor persoanelor fizice, transferul datelor cu caracter personal într-un stat terţ sau către o organizaţie internaţională se poate realiza doar cu respectarea unor condiţii de către operator şi persoana împuternicită de operator, inclusiv în ceea ce priveşte transferurile ulterioare de date din statul terţ către un alt stat terţ sau către o altă organizaţie internaţională.

 

Transferul datelor cu caracter personal către un stat terţ, un teritoriu sau un sector specificat dintr-un stat terţ sau o organizaţie internaţională nu necesită autorizare atunci când Comisia Europeană a decis că statul terţ, teritoriul, sectorul specificat sau organizaţia internaţională oferă un nivel de protecţie adecvat.

 

În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau persoana împuternicită trebuie să adopte măsuri care să compenseze lipsa protecţiei datelor într-un stat terţ prin adoptarea unor garanţii eficiente pentru persoanele vizate, cum ar fi:

  • un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice (acorduri administrative);
  • reguli corporatiste obligatorii/ BCR (binding corporate rules);
  • clauzele standard de protecţie a datelor adoptate de Comisia Europeană;
  • clauzele standard de protecţie a datelor adoptate de autoritatea de supraveghere;
  • un cod de conduită aprobat;
  • un mecanism de certificare aprobat;
  • clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor din statul terţ sau organizaţia internaţională;
  • dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate (autorizaţia autorităţii competente ar trebui obţinută când garanţiile sunt oferite prin acorduri administrative fără caracter juridic obligatoriu).

 

Un transfer către un stat terţ sau o organizaţie internaţională mai poate avea loc, în absenţa unei decizii privind caracterul adecvat al nivelului de protecţie sau a unor garanţii adecvate, în una din următoarele condiţii:

  • persoana vizată şi-a exprimat în mod explicit acordul cu privire la transferul propus;
  • transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
  • transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;
  • transferul este necesar din considerente importante de interes public;
  • transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanţă;
  • transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul;
  • transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în condiţiile în care sunt îndeplinite condiţiile cu privire la consultare prevăzute de dreptul Uniunii Europene sau de dreptul intern în acel caz specific.

 

Responsabilul pentru protecţia datelor - DPO

Numirea unui responsabil pentru protecția datelor la nivelul operatorului de date reprezintă una dintre măsurile prin care se încearcă responsabilizarea operatorilor de date.

Responsabilul pentru protecţia datelor oferă consultanţa necesară în vederea respectării tuturor obligaţiilor operatorului de date şi asigurării transparenţei necesare faţă de persoanele vizate.

Responsabilul pentru protecţia datelor poate oferi operatorului de date consultanţa necesară în vederea efectuării studiului de impact asupra vieţii private.

Operatorul de date trebuie să îşi desemneze un responsabil pentru protecția datelor în următoarele situaţii:

  • atunci când operatorul de date este o autoritate publică (cu excepţia instanţelor sau a autorităţilor judiciare);
  • în cazul în care activitatea principală a operatorului de date constă în operaţiuni de prelucrare care necesită o monitorizare regulată şi sistematică a persoanelor vizate pe scară largă;
  • în cazul în care activitatea principală a operatorului de date (sau a împuternicitului acestuia) constă în prelucrarea pe scară largă de categorii speciale de date cu caracter personal şi de date privind condamnările penale şi infracţiunile.

Este recomandată numirea unui responsabil pentru protecția datelor la nivelul operatorului de date şi în afara cazurilor de mai sus, întrucât în acest fel poate fi asigurată respectare a prevederilor Regulamentului în cadrul prelucrării de date efectuată de către operatorul de date/ împuternicitul acestuia.

 

Sancţiuni severe - până la 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.

 

Regulamentul stabileşte criterii clare de individualizare a sancţiuni – vor fi avute în vedere în mod corespunzător natura, gravitatea şi durata încălcării, caracterul deliberat al încălcării, acţiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită şi orice alt factor agravant sau atenuant. Fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi autorităților publice.

 

În considerarea modificărilor menționate, aplicabile și în legislația din România, recomandăm să implementați și în cadrul unității dumneavoastră măsurile necesare pentru a evita sancționarea. Pentru detalii suplimentare, la cerere, va putem furniza modele de acte și raport personalizat pentru firma dumneavoastră.