Publicatii

0

General Data Protection Regulation – Regulamentul European nr. 679/27.04.2016 privind protecția datelor cu caracter personal și libera circulație a acestor date

În cursul acestui an în România urmează să intre în vigoare Regulamentul Parlamentului European nr. 679/27.04.2016, un regulament european ce va avea un impact major asupra domeniului protecției datelor cu caracter personal și a liberei circulații a acestor date. Acest regulament este un act normativ adoptat la nivelul Uniunii Europene, având aplicabilitate directă în statele membre, fără a fi necesar ca autoritățile statale să facă vreo transpunere sau să adopte norme pentru punerea în aplicare a Regulamentului. În acest context, Regulamentul va fi aplicabil în Romania începând cu data de 25 mai 2018.

Una dintre schimbările majore ce va opera odată cu intrarea în vigoare a acestui regulament va fi apariția obligației asupra oricărui operator de date cu caracter personal de a fi responsabil pentru modul de prelucrare a datelor cu caracter personal, chiar și în situația în care aceste date vor fi  transferate către terți. De asemenea, prevederile legislative ale Regulamentului impun desemnarea unui Responsabil cu protecția datelor (DPO) pentru anumiți operatori de date personale, astfel dupa cum vom detalia în continuare.

Menționăm faptul că dispozițiile Regulamentului european nr. 679/27.04.2016 vor reprezenta cadrul legal european unic al prelucrărilor de date personale pe care orice operator de date cu caracter personal va trebui să îl respecte.

  1. Operatorii de date cu caracter personal ce vor avea obligativitatea desemnării unui Responsabil cu protecția datelor cu caracter personal

Conform prevederilor Regulamentului, există 3 situații, stipulate expres în cadrul acestuia, în care este obligatorie desemnarea unui Responsabil cu protecția datelor, respectiv atunci când:

  • prelucrarea datelor personale este efectuată de către o autoritate sau un organism public, cu excepția instanțelor de judecată care acționează în exercițiul funcției lor jurisdicționale;
  • în sectorul privat, în cazul în care activitățile principale ale operatorului constau în operațiuni de prelucrare pe scara larga a datelor cu caracter personal care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate;
  • în sectorul privat, în situația în care activitățile principale ale operatorului constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Prin sintagma „activități principale ale unui operator” se face referire la activitățile de bază ale unui operator, iar nu la activitățile auxiliare ale acesteia. De asemenea, prelucrare de date personale este considerată a fi făcută  „pe scară largă” în funcție de anumiți factori, precum: numărul persoanelor vizate, volumul/categoriile de date personale prelucrate, aria geografică acoperită de prelucrare, durata activității de prelucrare.

  1. Măsurile ce se impun a fi luate de către toți operatorii de date cu caracter personal, indiferent de incidența obligației de desemnare a unui Responsabil cu protecția datelor

Atragem atenția asupra faptului că, anterior intrării în vigoare a prevederilor Regulamentului, este necesar ca toți operatorii de date personale să se asigure că respectă principiile legate de prelucrarea datelor cu caracter personal, respectiv:

  • prelucrarea datelor cu caracter personal să fie făcută în mod legal, echitabil și transparent față de persoana vizată;
  • colectarea datelor cu caracter personal să fie făcută în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  • datele colectate să fie exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;
  • datele cu caracter personal să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele;
  • prelucrarea să se facă într-un mod care să asigure securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

De asemenea, prelucrarea datelor cu caracter personal va fi considerată legală numai dacă va fi îndeplinită cel puțin una dintre următoarele condiții:

  • persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
  • prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri, la cererea persoanei vizate, înainte de încheierea unui contract;
  • prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine societății comerciale;
  • prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestită  persoana juridică;
  • prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de către o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, situatie ce necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

O altă măsura ce se impune a fi luată de către toți operatorii de date personale, cu excepția celor care au mai puțin de 250 de angajați, este constituită de obligativitatea păstrării unei evidențe a activităților de prelucrare a datelor cu caracter personal, în scris (inclusiv în format electronic).

Însă, și în cazul societăților comerciale cu mai puțin de 250 de angajați este obligatorie păstrarea unei evidențe a activităților de prelucrare a datelor cu caracter personal, în următoarele situații enumerate limitativ și expres în cadrul Regulamentului:

  • prelucrarea respectiva este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate;
  • prelucrarea nu este ocazională;
  • prelucrarea include categorii speciale de date;
  • prelucrarea cuprinde date cu caracter personal referitoare la condamnări penale și infracțiuni.
  1. Sancțiuni aplicabile în cazul nerespectării prevederilor Regulamentului European privind protecția datelor cu caracter personal

Menționăm faptul că pragurile maxime ale amenzilor administrative, pe care le vom detalia în următoarele rânduri, au fost instituite la nivelul Uniunii Europene, urmând ca fiecare stat membru U.E., inclusiv România, să stabilească în mod individual, pentru fiecare încălcare a faptelor incriminate, cuantumul exact al acestor amenzi administrative, ce nu va putea depăși respectivele praguri maxime.

Astfel, în cazul nerespectării Regulamentului European nr. 679/27.04.2016, sunt instituite două niveluri pecuniare de sancțiuni, detaliate împreună cu unele dintre principalele situații a căror nerespectare este sancționată cu amenzi administrative.

Amenzi administrative de până la pragul maxim de 10.000.000 EURO sau, în cazul unei întreprinderi, de până la pragul maxim de 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare, în cazul nerespectării următoarelor dispoziții referitoare la:

  • desemnarea unui Responsabil cu protecția datelor cu caracter personal;
  • tinerea evidenței activităților de prelucrare a datelor cu caracter personal;
  • asigurarea protecției datelor cu caracter personal;
  • securitatea datelor cu caracter personal;
  • cooperarea cu autoritatea de supraveghere, etc.

Amenzi administrative de până la pragul maxim de 20.000.000 EURO sau, în cazul unei întreprinderi, de până la pragul maxim de 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare, în cazul nerespectării următoarelor dispoziții referitoare la:

  • principiile de bază pentru prelucrarea datelor cu caracter personal, menționate mai sus, inclusiv condițiile privind consimțământul persoanei vizate;
  • drepturile persoanei vizate referitoare la informare, acces, rectificare, restricționarea prelucrării, opozabilitate, ștergerea datelor, portabilitatea datelor;
  • nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere, etc.

Menționăm faptul că pragul maxim al amenzilor administrative va fi aplicabil în mod diferit asupra operatorilor de date cu caracter personal, în funcție de calitatea lor de persoane juridice sau persoane fizice, după cum urmează:

  • operatorilor – persoane fizice li se vor putea aplica amenzi administrative în cuantumul maxim de 10.000.000/20.000.000 EURO;
  • operatorilor – persoane juridice li vor putea aplica amenzi administrative fie până la pragul maxim de 10.000.000/20.000.000 EURO, fie până la pragul maxim de 2%/4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.

În consecință, cu excepția acelor operatori de date personale care au obligația de a-și desemna un Responsabil cu protecția datelor, toți ceilalți operatori de date cu caracter personal, deși nu au această obligație, vor putea opta pentru desemnarea unei astfel de persoane pentru o mai bună asigurare a respectării prevederilor Regulamentului european nr. 679/27.04.2016 privind protecția datelor cu caracter personal și libera circulație a acestor date.

Leave a Reply

Your email address will not be published. Required fields are marked *