Regulamentul General privind Protecția Datelor (RGPD)[1] urmează sa se aplice începând cu data de 25 mai 2018, iar pe lângă un cadru legal modernizat in materia prelucrării datelor cu caracter personal, aduce si o serie de noi obligații in sarcina unor categorii de societăți, care vor fi nevoite sa își analizeze si revizuiască securitatea întregului sistem pe care il folosesc in prelucrarea datelor, dar si sa desemneze in cadrul societății un Responsabil cu protecția datelor (DPO)[2] .
Acest Regulament aduce o serie de noutăți in domeniul prelucrării datelor cu caracter personal, dintre care cele mai importante sunt: numirea unui responsabil cu protecția datelor, reglementarea expresa a „dreptului de a fi uitat” si a „dreptului la portabilitate”, eliminarea obligației de notificare, implementarea obligației de a tine evidente ale activităților de prelucrare, înăsprirea semnificativa a sancțiunilor, dar si clarificarea noțiunii de „consimțământ” si modalitatea in care acesta este considerat a fi exprimat in „deplina cunoștința de cauza” .
Cine trebuie sa desemneze un Responsabil cu protecția datelor (DPO)?
Numirea unui responsabil cu protecția datelor este o obligație in cazul in care va regăsiți in următoarele categorii:
- Daca prelucrarea este efectuata de o autoritate publica sau un organism public (indiferent de datele prelucrate)
- Daca activitățile principale ale operatorului[3] sau ale persoanei împuternicite[4] constau in operațiuni de prelucrare care necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga
- Daca activitățile principale ale operatorului sau ale persoanei împuternicite constau in prelucrarea pe scara larga a unor categorii speciale de date personale privind condamnările penale si infracțiuni
Trebuie avut in vedere faptul ca legislația europeana sau cea naționala poate impune desemnarea unui responsabil cu protecția datelor si in alte situații.
De asemenea, puteți numi si in mod voluntar un responsabil cu protecția datelor, in situația in care nu va aflați in vreunul din cazurile obligatorii (de mai sus). Cu toate acestea in cazul in care ați desemnat in mod voluntar un responsabil, vi se vor aplica toate dispozițiile legale ca si cum desemnarea ar fi obligatorie si in cazul dvs.
Căror activități se aplica, in concret, obligativitatea desemnării unui responsabil cu protecția datelor?
Acele „activități principale” despre care vorbește Regulamentul pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator.
Spre exemplu: prelucrarea satelor privind starea de sănătate, cum ar fi dosarele medicale ale pacientului ar trebui sa fie considerata a fi una dintre activitățile principale in orice spital si, prin urmare, spitalele trebuie se desemneze un Responsabil cu protecția datelor.
In aceeași situație se regăsesc si clinicile private privind orice segment al medicinei – clinici de stomatologie, clinici de oftalmologie, clinici pentru servicii de urgenta, clinici de dializa, s.a
Cu toate acestea, organizațiile care efectuează anumite activități, cum ar fi plata angajaților lor sau efectuarea de activități standard de suport IT in cadrul companiei, acestea vor fi considerate drept „funcții sprijin” necesare pentru desfășurarea activității principale a organizației. Pentru aceste funcții „de sprijin” nu va fi necesara desemnarea unui responsabil de protecție a datelor.
Exemple care nu necesita numirea unui Responsabil de protecția datelor: prelucrarea datelor pacientului de către un medic individual, prelucrarea datelor personale referitoare la condamnările penale si infracțiuni de către un avocat individual.
Alte exemple de societăți cărora le va reveni obligația desemnării unui responsabil de date cu caracter personal sunt cele care operează rețele de telecomunicații, furnizarea de servicii de telecomunicații, activități de marketing bazate pe date, profilare si scoring in scopul evaluării de risc – adică Bănci, societăți de asigurare, activități privind urmărirea locației prin diverse aplicații, programe de loialitate, publicitate comportamentala, monitorizarea wellness, fitness si a datelor de sănătate prin intermediul dispozitivelor portabile, dispozitive inteligente – mașini inteligente, casa inteligenta s.a.
Dreptul la portabilitatea datelor – Ce presupune?
Acest drept permite persoanelor vizate[5] sa primească datele cu caracter personal pe care le-au furnizat operatorului intr-un format structurat, utilizat in mod curent si care poate fi citit automat si sa transmită respectivele date altui operator. Scopul acestui drept este de a responsabiliza persoana vizata si de a-i oferi acesteia un control mai mare asupra datelor sale personale.
Acest drept va favoriza si concurenta intre operatori si va facilita schimbarea diferiților furnizori de servicii (telefonie mobila , servicii internet , s.a.).
Acest drept al persoanelor vizate va avea ca si corespondent o obligație in sarcina furnizorilor de servicii, in sensul ca aceștia ar trebui sa înceapă sa dezvolte mijloace care sa ii ajute sa răspundă solicitărilor de portabilitate a datelor, cum ar fi spre exemplu instrumente de descărcare si interfețe de programare a aplicațiilor. De asemenea, toți acest furnizori de servicii vor trebui sa conlucreze pe un set comun de standarde si formate interoperabile, pentru a evita situațiile in care formatul in care sunt stocate datele care fac obiectul portarii este incompatibil cu formatul folosit de un alt furnizor.
Dreptul de a fi uitat – dreptul persoanei vizate la ștergerea datelor
Persoana vizata are dreptul de a solicita operatorului sa șteargă datele personale care o privesc.
Cazurile în care se aplica si excepțiile de la aceasta obligație sunt detaliate în Regulament, însă ce va fi cu adevărat interesant este aplicarea în practica a obligației operatorului care a făcut publice datele cu caracter personal sa ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal ca persoana vizata a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
Obligativitatea tinerii unei evidente a prelucrării datelor cu caracter personal
Fiecare operator va trebui sa păstreze o evidenta a activităților de prelucrare desfășurate sub responsabilitatea sa.
Aceasta evidenta va fi ținuta atât in forma scrisa cat si in format electronic si va trebui sa cuprindă următoarele informații:
- a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
- b) scopurile prelucrării;
- c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
- e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și documentația care dovedește existența unor garanții adecvate;
- f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
- g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate
Înăsprirea semnificativa a sancțiunilor !!!
Daca până în prezent sancțiunile impuse pentru nerespectarea prevederilor privind procesarea datelor cu caracter personal au fost de ordinul sutelor sau cel mult miilor de euro, o data cu aplicarea Regulamentului cuantumul amenzilor se poate ridica la:
- 20.000.000 EUR sau, în cazul unei întreprinderi, 4% din cifra de afaceri totala realizata la nivel mondial în cursului exercițiului financiar anterior, luându-se în calcul cea mai mare dintre aceste valori, pentru încălcări ce țin de transferurile internaționale de date, principiile de baza privind procesarea sau drepturile persoanei vizate; sau
- 10.000.000 EUR sau, în cazul unei întreprinderi, 2% din cifra de afaceri totala realizata la nivel mondial în cursul exercițiului financiar anterior, luându-se în calcul cea mai mare dintre aceste valori, pentru alte încălcări prevăzute de Regulament.
SURSA: Ghidul privind Responsabilul cu protecția datelor adoptat in data de 13 decembrie 2016 revizuit si adoptat in data de 5 aprilie 2017 de către Grupul de lucru „Articolul 29” pentru Protecția Datelor
Ghidul pentru stabilirea autorității de supraveghere principale a operatorului sau a persoanei împuternicite de operator adoptat la 13 decembrie 2016 revizuit si adoptat la 5 aprilie 2017 de către Grupul de lucru „Articolul 29” pentru Protecția Datelor
Ghidul privind dreptul la portabilitatea datelor adoptat in data de 13 decembrie 2016 revizuit si adoptat in data de 5 aprilie 2017 de către Grupul de lucru „Articolul 29” pentru Protecția Datelor
[1] Regulament nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
[2] Data Protection Officer
[3] Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern – in cazul nostru operator de date poate fi orice societate care prelucrează date cu caracter personal
[4] Persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului – acesta este cazul in care societatea dvs. încheie un contract cu o alta societate care – face studii de piața, marketing, sondaje de opinie pentru dvs.
[5] Persoanele vizate sunt personale ale căror date sunt prelucrate de către operator sau persoana împuternicita