REGULAMENTUL GENERAL PRIVIND PROTECŢIA DATELOR

Regulamentul General de Protecția Datelor este un instrument care stabileşte o relaţie de responsabilitate şi între persoanele  de la care sunt prelucrate datele, și operatorii care adună, procesează sau transferă datele. 

Acest regulament stabileşte în cuprinsul său domeniul de aplicare, oferindu-i oportunitatea de a fi aplicat în mai multe direcţii  cu scopul de a maximiza protectia drepturilor persoanelor implicate, de la care se colectează datele și ale căror date sunt transferate, favorizând extensiea efectelor către operatori/colectorii de date cu sediul în state din afara Uniunii Europene.

Complexitatea noului Regulament se învârte în jurul a trei concept de bază:

- crează un cadru transparent pentru persoanele de la care se colectează datele, asigurându-le un rol mult mai activ și facil în retragerea instant a consimțământului, solicitarea de ștergere a datelor, posibilitatea de transmitere a datelor intre operatori.

- renunță la formalism si la barierele birocratice impuse pentru obținerea unor autorizații de transfer al datelor, astfel statele putând fixa cadrul normativ pentru a spori protectia datelor.

- notificările și autorizațiile de transfer vor deveni istorie, după data de 25 mai 2018 acestea ramânând în amintirea noastră ca mijloace rudimentare de transferare.

Prin simplificarea formalismului și limitarea rolului Autorităților naționale de supraveghere, se transferă atribuțiile direct catre operatori și colectorii care au responsabilitatea de a asigura obligațiile legale și de a monitoriza atent standardele de prelucrare şi transfer a datelor. Elementul principal al raportului creat de regulament, raport care poate fi asimilat unei relații contractuale între subiecte, este consimțământul.

Intrând în adancul acestui raport, observăm faptul ca se reduce aportului autorităților publice și plasarea în sfera privată din perspectiva administrativă, în care părțile își gestionează singure drepturile, obligațiile și interesele respectând cu exactitate consimțământul dat, care este revocabil, avand rolul de a spori încrederea între subiecții raportului.

Responsabilitatea operatorilor este desprinsa din rolul  dublu pe care ei îl asigura acesta fiind:

  • îndeplinirea obligaţiilor și urmărirea permanentă
  • acțiunile de prevenire și măsurile de control al posibilelor încălcări

Mai jos sunt prezentate schimbările pe care le aduce noul regulament:

DOMENIUL DE APLICARE

CONTEXT LEGISLATIV

- În 27 aprilie 2016 Parlamentul European și Consiliul au adoptat Regulamentul 2016/679  privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și   libera circulaţie  a acestor date și de abrogare a Directivei 95/46/CE;

- Regulamentul (UE) 2016/679 (Regulamentul general privind protecţia datelor – RGPD), a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018;

- Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal,  înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

SCOPUL ELABORĂRII GDPR

- Transparenţa și responsabilizarea din partea operatorului pentru persoana vizata si faţă de modul în care prelucrează datele cu caracter personal;

- Imprementarea unui set de garanţii clare pentru protectia minorilor, în special în mediul online;

- Consolidarea drepturilor persoanelor vizate și introducerea a noi drepturi: dreptul de a fi uitat, la portabilitatea datelor și dreptul la restricţionarea prelucrării;

- Înăsprirea sancțiunilor de până la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.

APLICAREA GDPR

- Prelucrarea datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii (Weltimmo v Naih – (C-230/14) ; Google Spain, Google Inc. v AEPD, Mario González).

- Prelucrarea datelor personale ale persoanelor care se află în Uniune de către un operator/persoană  împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile au legatura cu:

- oferirea de bunuri sau servicii persoanelor în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de catre aceasta persoană;

- monitorizarea atitudinii, dacă acesta se manifestă în cadrul Uniunii.

- Prelucrarea datelor personale de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.

EXCEPȚII – SITUAȚIILE ÎN CARE NU SE APLICĂ GDPR

  • GDPR nu se aplică prelucrării datelor cu caracter personal :
  • În activitățile care nu intră sub incidența legislației UE (Ex: securitatea națională);
  • În politica externă și de securitate comună a UE;
  • De autoritățile competente pentru a prevenirii, investigsrea, detectarea sau urmărirea  infracțiunilor;
  • De către instituțiile UE, în cazul în care se va aplica Regulamentul 45/2001 / CE în locul GDPR. 
  • De o persoană fizică, ca parte a unei “persoane pur personale sau de uz casnic

 ELEMENTE  INTRODUSE  DE  GDPR

TRANSPARENȚĂ ȘI OBLIGAŢII

- organizațiile trebuie să furnizeze informații extinse cu privire la prelucrarea datelor  personale;

- informațiile să fie transmise clar, transparent și ușor;

- sa se introduca pictograme pentru evidentierea informatiilor importante;

- sa nu se introducă, campuri completate de tip by default pentru acordarea cosimțământului;

- prelucrarea datelor angajatului se efectuează în baza unui interes legitim invocat de angajator;

CONSIMȚĂMÂNTUL COPIILOR

- este interzisă prelucrarea datelor de la copii cu vârsta mai mică de 13 ani;

- este interzisă oferirea de servicii online direct unui copil, sub16 ani;

- dacă are sub vârsta de 16 ani, prelucrarea este legală numai dacă consimțământul respectiv este acordat sau autorizat de către părintele sau tutorele copilului;

PSEUDONIMIZARE

- implica prelucrarea datelor personale pentru a nu se atribui unei anume persoane fără a se utiliza informații suplimentare;

- este necesar ca informațiile să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure lipsa conexiunii dintre ele și persoana vizată;

- este un factor care trebuie luat în considerare daca se stabileste ca prelucrarea este “incompatibilă” cu scopurile pentru care datele cu caracter personal au fost inițial colectate.

- este ca un exemplu al unei tehnici care îndeplineste cerințele pentru punerea în aplicare a conceptelor privacy by design,privacy by default; se poate să contribuie  la îndeplinirea securității datelor GDPR;

- este necesară pentru organizațiile care intentioneaza să utilizeze date personale ca open data pentru cercetări istorice, științifice sau statistice.

ÎNCĂLCAREA SIGURANŢEI  DATELOR CU CARACTER PERSONAL

Prin GDPR este introdus un cadru pentru toți operatorii de date, indiferent de ramura de activitate în care operează; obligația de a se notifica este atunci când are loc o încălcare a securității datelor cu caracter personal. 

DEFINIREA DATELOR SENSIBILE

- date genetice – sunt datele cu caracter personal referitoare la elemente genetice moștenite sau dobândite, care oferă informații speciale privind fiziologia sau sănătatea persoanei și care rezultă după analizarea unei probe de material recoltate de la persoana în cauză;

- date biometrice – sunt datele cu caracter personal rezultate în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane (imaginile faciale sau datele dactiloscopice);

PRIVACY BY DESIGN, PRIVACY BY DEFAULT

- privacy by design – obligația operatorului de crea o infrastructură care sa ofere siguranţa că aplicaţia va respecta regulile şi principiile stabilite de GDPR;

- privacy by default – trebuie să se asigure că setările iniţiale, de fabrică, vor permite utilizatorilor să îşi menţină controlul asupra vieţii lor private asupra a ceea ce postează sau împărtăşesc cu alţi utilizatori.

DREPTURI ALE PERSOANELOR DE LA CARE SE ADUNĂ DATELE

- dreptul de a fi uitat – ştergerea datelor personale dacă sunt prelucrate ilegal, fără acordul persoanei sau dacă nu mai folosesc la motivul pentru care au fost colectate.

- dreptul la portabilitatea datelor–ofera libertate în favoarea subiecților carora li se prelucrează datele. 

AUTORITATE DE SUPRAVEGHERE

- urmareşte aplicarea regulamentului, pentru protejarea drepturilor și libertăților fundamentale  ale persoanelor fizice în cadrul prelucrarii;

- uşurează circulatia datelor cu caracter personal în cadrul Uniunii;

- funcţionează ca şi interlocutor sau punct de contact, când operatorul  este stabilit în alt stat.

RESPONSABIL CU  PROTECŢIA DARELOR

Numirea unui DPO reprezintă una dintre măsurile prin care se încearcă responsabilizarea operatorilor de date si oferă operatorului consultanţa necesară în vederea respectării tuturor obligaţiilor acestuia şi asigurării transparenţei necesare

CONSECINŢE ALE APLICĂRII GDPR-ULUI ÎN ROMÂNIA

- eliminarea formalismului – nu mai este necesară notificarea Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

- responsabilizarea operatorilor de date prin obligațiile de a asigura respectarea dispozițiilor GDPR-ului prin intermediul persoanelor desemnate; în cazul transferului de date în străinătate nu este necesară obținerea autorizației de transfer, dar se impune depunerea documentației necesare;

- operatorul are obligaţia de a asigura îndeplinirea obligațiilor privind informarea clară și neechivocă a subiecților de la care se prelucrează datele și să obțină acordul lor în vedera utilizării datelor.

SANCȚIUNI

La încălcarea ordinelor emise de autoritatatea de supreveghere se aplică amenzi  până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.