REGULAMENTUL GENERAL DE PROTECȚIE A DATELOR CU CARACTER PERSONAL

(GDPR – Reg 679/2016)

Regulamentul General de Protecție a Datelor Personale (GDPR), intră în vigoare în 25 mai 2018, reprezintă o reformă de amploare în domeniul protecției datelor persoanelor din Uniunea Europeană.

Impactul GDPR nu este restrâns la un domeniu anume, ci dimpotrivă efectele sale se vor produce în absolut toate industriile și deopotrivă în sectorul public și cel privat, inclusiv non-profit.

Mai mult, de la această dată regulile noi se vor aplica inclusiv cu privire la prelucrările în curs de date deja colectate anterior, ceea ce înseamnă că modul în care aceste date au fost colectate și sunt prelucrate trebuie reanalizat din perspectiva modificărilor aduse de GDPR.

De asemenea, GDPR vine cu obligații și răspunderi suplimentare pentru operatorii de date, precum și cu drepturi sporite pentru persoanele vizate. În caz contrar, sancțiunile reglementate de GDPR sunt extrem de ridicate (amenda minima de 10 000 euro, aceasta putând ajunge până la 10-20 milioane euro sau între 2%si 4% din cifra de afaceri la nivel internațional, pentru companiile din sistemul privat).

 

CUI SE APLICĂ

Nu chiar, dar aproape tuturor.  Art. 2 din GDPR  arată:

“(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

 

Există căteva excepții:

  • Prevederile Regulamentului nu vor fi aplicabile prelucrărilor efectuate în scopul prevenirii, cercetării și urmăririi penale a infractorilor sau executarea sancțiunilor penale. Pentru aceste cazuri se vor aplica prevederile Directivei (UE) 2016/680
  • Prevederile Regulamentului nu se vor aplica activităților aflate în afara dreptului UE. GDPR se va aplica prelucrării datelor personale și de către un operator care nu este stabilit în UE, dar oferă bunuri și servicii cetățenilor din UE, adica efectele se produc in UE
  • Regulamentul nu va fi aplicabil prelucrărilor de date efectuate de o persoană fizică în cadrul unei activități exclusiv personale.

 

CARE SUNT DATELE CU CARACTER PERSONAL

Orice informație privind o persoană fizică identificată sau identificabilă prin referire la un element de identificare cum ar fi:

  • nume;
  • număr identificare (CNP);
  • date de localizare;
  • adrese de email (personală sau de serviciu dacă are în componența sa nume și prenume gen prenume@companie.ro/com);
  • număr de telefon (personal sau de serviciu);
  • identificatori online (IP-urile);
  • elemente de natură fizică, fiziologică (fotografii, înregistrări video), genetică sau psihică, elemente biometrice (amprenta, imaginea facială);
  • plăcuțele de înmatriculare ale autovehiculelor;
  • elemente economice, culturale sau sociale.

Persoanele vizate sunt: angajați, clienți, potențiali clienți, potențiali angajați, furnizori, alți contractori sau beneficiari, vizitatorii etc.

 

CE TREBUIE SĂ FACĂ COMPANIILE

1. Să numească un Responsabil cu protecția datelor cu caracter personal (DPO Zi de Zi) – care se ocupă cu coordonarea și supravegherea implementării condițiilor de conformitate GDPR, evidențierea procesărilor și efectuarea raportărilor periodice necesare;

Nu toate organismele sunt obligate să numeasca DPO ci numai:

  • Instituțiile publice;
  • Organizațiile care prelucrează pe scară largă a unor categorii de date speciale (date care dezvăluie originea rasială sau etnică, religia, opiniile politice, apartenența la sindicate, precum și date genetice biometrice, etc.);
  • Organizațiile monitorizează periodic și sistematic datele persoanelor vizate, pe o scară largă.

Acest serviciu poate fi externalizat. Dacă se numește o persoană din interiorul organizației nu trebuie să fie din managementul societății pentru a fi evitat conflictul de interese. Această poziție trebuie văzută ca a unui controller sau auditor.

Sarcinile DPO sunt prevăzute la art. 39 din GDPR. Este important ca DPO să fie implicat în toate aspectele legate de protecția datelor.

2. Să efectueze un audit intern de securitate (GAP Analisys) adică un audit al stării de facto (o analiză inițială a conformității), să evalueze impactul asupra protecției datelor (riscul – DPIA) și să stabilească un plan de măsuri în vederea conformității cu GDPR, atenuare riscuri (alterare/ înstrăinare/ pierdere). NB Trebuie dovedită asigurarea protecției datelor începând cu momentul conceperii și în mod implicit;

3. Să efectueze cartografierea datelor, respectiv să evidențieze operațiunile de prelucrare a datelor (obligatoriu pentru întreprinderile cu peste 250 de salariați) – Registrul de prelucrare a datelor cu caracter personal;

4. Să stabilească Politici de securitate și de respectare a drepturilor persoanelor vizate (Procedurile trebuie să conțină informații privind respectarea drepturilor persoanelor vizate, informarea persoanelor vizate, modele de cereri, modele de răspuns etc.);

5. Să implementeze măsuri tehnice de securitate (departamentele cele mai vizate sunt: HR, IT, Jurdic, Marketing, Vânzări);

6. Să efectueze teste de securitate și să le documenteze;

7. Să efectueze un audit anual de securitate;

8. Să se realizeze informarea persoanelor vizate (în scris);

9. Să realizeze instruirea angajaților;

10. Să se informeze și să se încheie acte juridice adecvate cu persoanele împuternicite, care și ele la rândul lor trebuie să țină evidențe legate de prelucrare;

11. Să monitorizeze, să gestioneze și să informeze Autoritatea dacă apar breșe în sistemul de securitate;

12. Să încheie o asigurarea de răspundere civilă.

 

CE URMĂREȘTE AUTORITATEA

Autoritatea urmărește respectarea drepturilor persoanei vizate:

  • Dreptul la informare (independent de existența unei cereri);
  • Dreptul la acces (are la bază o cerere);
  • Dreptul la rectificare;
  • Dreptul la ștergerea datelor (în cazul în care datele au fost făcute publice, operatorul va trebui să ia măsuri rezonabile din punct de vedere tehnic și economic pentru a informa ceilalți operatori că persoana vizată a solicitat ștergerea datelor);
  • Dreptul la restricționarea prelucrării;
  • Dreptul la portabilitatea datelor (va putea solicita și transmiterea acestor date către un alt operator);
  • Dreptul la opoziție.

 

RĂSPUNDEREA SOCIETĂȚII:

Oricine persoană fizică, orice persoană vizată are dreptul de a depune o plângere la Autoritatea Națională de Supraveghere (ANSDCP), în cazul în care consideră că prelucrarea dateloc cu caracter personal încalcă drepturile sale.