Regulamentul General privind Protecția Datelor (RGPD)[1] urmează sa se aplice începând cu data de 25 mai 2018 iar pe lângă un cadru legal modernizat in materia prelucrării datelor cu caracter personal, aduce si o serie de noi obligații in sarcina unor categorii de societăți, care vor fi nevoite sa își analizeze si revizuiască securitatea întregului sistem pe care il folosesc in prelucrarea datelor dar si sa desemneze in cadrul societății un Responsabil cu protecția datelor (DPO)[2] .
data protection
Acest Regulament aduce o serie de noutăți in domeniul prelucrării datelor cu caracter personal, dintre care cele mai importante sunt: numirea unui responsabil cu protecția datelor, reglementarea expresa a „dreptului de a fi uitat” si a „dreptului la portabilitate”, eliminarea obligației de notificare, implementarea obligației de a tine evidente ale activităților de prelucrare, înăsprirea semnificativa a sancțiunilor, dar si clarificarea noțiunii de „consimțământ” si modalitatea in care acesta este considerat a fi exprimat in „deplina cunoștința de cauza” .
Cine trebuie sa desemneze un Responsabil cu protecția datelor (DPO)?
Numirea unui responsabil cu protecția datelor este o obligație in cazul in care va regăsiți in următoarele categorii:
- Daca prelucrarea este efectuata de o autoritate publica sau un organism public (indiferent de datele prelucrate)
- Daca activitățile principale ale operatorului[3] sau ale persoanei împuternicite[4] constau in operațiuni de prelucrare care necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga
- Daca activitățile principale ale operatorului sau ale persoanei împuternicite constau in prelucrarea pe scara larga a unor categorii speciale de date personale privind condamnările penale si infracțiuni
Trebuie avut in vedere faptul ca legislația europeana sau cea naționala poate impune desemnarea unui responsabil cu protecția datelor si in alte situații
De asemenea, puteți numi si in mod voluntar un responsabil cu protecția datelor, in situația in care nu va aflați in vreunul din cazurile obligatorii (de mai sus). Cu toate acestea in cazul in care ați desemnat in mod voluntar un responsabil, vi se vor aplica toate dispozițiile legale ca si cum desemnarea ar fi obligatorie si in cazul dvs.
Căror activități se aplica, in concret, obligativitatea desemnării unui responsabil cu protecția datelor?
Acele „activități principale” despre care vorbește Regulamentul pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator.
Spre exemplu: prelucrarea satelor privind starea de sănătate, cum ar fi dosarele medicale ale pacientului ar trebui sa fie considerata a fi una dintre activitățile principale in orice spital si, prin urmare, spitalele trebuie se desemneze un Responsabil cu protecția datelor.
In aceeași situație se regăsesc si clinicile private privind orice segment al medicinei – clinici de stomatologie, clinici de oftalmologie, clinici pentru servicii de urgenta, clinici de dializa, s.a
Cu toate acestea, organizațiile care efectuează anumite activități, cum ar fi plata angajaților lor sau efectuarea de activități standard de suport IT in cadrul companiei, acestea vor fi considerate drept „funcții sprijin” necesare pentru desfășurarea activității principale a organizației. Pentru aceste funcții „de sprijin” nu va fi necesara desemnarea unui responsabil de protecție a datelor.
Exemple care nu necesita numirea unui Responsabil de protecția datelor: prelucrarea datelor pacientului de către un medic individual, prelucrarea datelor personale referitoare la condamnările penale si infracțiuni de către un avocat individual.
Alte exemple de societăți cărora le va reveni obligația desemnării unui responsabil de date cu caracter personal sunt cele care operează rețele de telecomunicații, furnizarea de servicii de telecomunicații, activități de marketing bazate pe date, profilare si scoring in scopul evaluării de risc – adică Bănci, societăți de asigurare, activități privind urmărirea locației prin diverse aplicații, programe de loialitate, publicitate comportamentala, monitorizarea wellness, fitness si a datelor de sănătate prin intermediul dispozitivelor portabile, dispozitive inteligente – mașini inteligente, casa inteligenta s.a.
Mai multe societăți pot numi un Responsabil de protecția datelor comun?
Un grup de întreprinderi poate numi un Responsabil cu protecția datelor unic, cu condiția ca acesta sa fie „ușor accesibil din fiecare întreprindere” si sa nu existe un conflict de interese.
Datele de contact ale Responsabilului trebuie sa fie disponibile pentru angajații fiecare întreprinderi dar si pentru instituțiile / autoritățile de supraveghere si persoanele vizate (ale căror date sunt prelucrate).
Cum desemnam acest Responsabil de protecția datelor?
Responsabilul de protecția datelor poate fi un angajat in cadrul societății dvs., îndeplinind sarcinile in baza unui contract individual de munca sau poate fi un colaborator extern, îndeplinindu-si sarcinile in baza unui contract de prestări servicii.
In situația unui Responsabil de protecția datelor angajat in cadrul societății, este foarte important sa știți ca acesta nu poate fi concediat sau sancționat pentru îndeplinirea sarcinilor sale. Mai mult decât atât, acesta nu va primi instrucțiuni in ceea ce privește îndeplinirea sarcinilor sale.
In cazul in care va gândiți la soluția de a-i oferi unui salariat, deja existent in cadrul societății, si aceste atribuții de responsabil cu protecția datelor, trebuie sa știți ca celelalte sarcini pe care responsabilul le are in cadrul companiei, nu trebuie sa genereze un conflict de interese. Acest lucru înseamnă ca Responsabilul de protecția datelor nu poate deține o poziție de conducere in cadrul companiei (director executiv, director operațional, director financiar, șef de serviciu medical, șef de departament de marketing, șef de departament de resurse umane, șef de departament IT).
Responsabilul nu poate avea nici funcții inferioare care pot duce la conflict de interese, daca acestea conduc la posibilitatea de a stabili scopurile si mijloacele de prelucrare.
In ceea ce privește externalizarea responsabilului de protecția datelor, aceasta ar putea fi cea mai buna varianta pentru societățile care se încadrează in obligativitatea desemnării unui responsabil de protecția datelor.
In cazul unui furnizor de servicii extern, o echipa de persoane poate îndeplini in mod eficient sarcinile unui responsabil de protecția datelor ca o echipa , sub responsabilitatea unei singure persoane desemnate ca persoana de contact principala si „persoana responsabila” pentru client.
Care sunt aptitudinile unui Responsabil de protecția datelor?
Responsabilul de protecția datelor trebuie desemnat pe baza calităților profesionale si , in special, a cunoștințelor de specialitate in dreptul si practicile in domeniul protecției datelor.
Acesta va trebui sa aibă o experiența in legislația si practicile aplicabile la nivel european si național in domeniul protecției datelor, înțelegere a operațiunilor de prelucrare, a tehnologiei de informații si securitate a datelor, cunoașterea sectorului de afaceri si a societății , abilitatea de a promova protecția datelor in cadrul companiei.
Avantajul externalizării acestor servicii este acela ca, in cazul unui furnizor extern, acesta are de cele mai multe ori o echipa de specialiști in domeniu, are timp suficient pentru îndeplinirea atribuțiilor sale, are sprijinul corespunzător in ceea ce privește resursele financiare, infrastructura si personalul, își asigura pregătirea continua, pe când in cazul unui angajat in cadrul companiei, angajatorul va trebui sa ii asigure toate cele de enumerate si sa suporte costurile cu acestea.
Care vor fi sarcinile Responsabilului cu protecția datelor?
Responsabilul cu protecția datelor va avea următoarele sarcini:
- a) va informa si consilia operatorul sau persoana împuternicita de operator, precum si angajații acestora, cu privire la obligațiile care el revin in temeiul legislației in domeniu
- b) monitorizarea respectării dispozițiilor legale in domeniul protecției datelor
- c) va furniza consiliere, la cerere, in ceea ce privește evaluarea impactului asupra protecției datelor si monitorizarea funcționarii acesteia.
Operatorul , si nu Responsabilul cu protecția datelor, va face o evaluare a impactului operațiunilor de prelucrare (DPIA).
După efectuarea unei astfel de evaluări, operatorul poate sa solicite avizul Responsabilului cu protecția datelor in privința metodei folosite pentru efectuarea evaluării, sa aplice masuri tehnice si organizaționale pentru reducerea oricăror riscuri, daca evaluarea a fost sau nu efectuată corect.
- d) cooperarea cu autoritatea de supraveghere.
Responsabilul cu protecția datelor va coopera cu autoritatea de specialitate in materie, atât in ceea ce privește notificarea unor eventuale încălcări ale Regulamentului sau pierderi / diseminări de date, dar si in ceea ce privește facilitarea accesului autorității la documente si informații pentru îndeplinirea atribuțiilor Autorității.
- e) asumarea rolului de punct d contact pentru instituțiile si autoritățile in domeniu
Datele de contact ale responsabilului cu protecția datelor vor fi oferite atât persoanelor vizate cat si autorităților care activează in acest domeniu. De asemenea datele Responsabilului cu protecția datelor vor fi la îndemâna fiecărui angajat al operatorului, astfel încât opinia acestuia sa fie solicitate in orice situație in care exista un risc in privința prelucrării datelor cu caracter personal.
Ce se întâmpla cu răspunderea in caz de nerespectare a dispozițiilor de protecție a datelor?
Responsabilul cu protecția datelor nu este personal responsabil in cazul in care exista un caz de nerespectare a cerințelor de protecție a datelor. Respectarea normelor de protecție a datelor este o responsabilitate a operatorului sau a persoanei împuternicite de către operator.
Așadar, acesta ar trebui sa reprezinte încă un motiv in plus pentru care societățile nevoite sa desemneze un Responsabil cu protecția datelor sa facă o selecție atenta a persoanei sau a echipei care va / vor gestiona prelucrările de date cu caracter personal si protecția acestora.
Recomandarea noastră este aceea de a nu atribui sarcinile Responsabilului cu protecția datelor unui salariat care deja desfășoară o alta activitate in cadrul societății dvs., pentru ca de cele mai multe ori acesta nu are cunoștințe in aplicarea legislației si a practicilor de protecție a datelor, iar răspunderea pentru orice nerespectare a Regulamentului va aparține tot societății.
Astfel ca, deși aceasta se prezinta ca fiind poate cea mai la îndemâna soluție (si ieftina), s-ar putea sa coste societatea mult mai mult, prin suportarea unor eventuale sancțiuni – care variază intre 10 milioane de euro si 20 milioane de euro sau 2% ori 4% din cifra de afaceri mondiala totala anuala corespunzătoare exercițiului financiar anterior.
Așadar, pentru evitarea suportării unor eventuale sancțiuni de către societatea dvs., va recomandam sa folosiți serviciile unei echipe care are experiența in acest domeniu al protecției datelor.
Înăsprirea semnificativa a sancțiunilor
Daca până în prezent sancțiunile impuse pentru nerespectarea prevederilor privind procesarea datelor cu caracter personal au fost de ordinul sutelor sau cel mult miilor de euro, o data cu aplicarea Regulamentului cuantumul amenzilor se poate ridica la:
- 20. 000.000 EUR sau, în cazul unei întreprinderi, 4% din cifra de afaceri totala realizata la nivel mondial în cursului exercițiului financiar anterior, luându-se în calcul cea mai mare dintre aceste valori, pentru încălcări ce țin de transferurile internaționale de date, principiile de baza privind procesarea sau drepturile persoanei vizate; sau
- 10. 000.000 EUR sau, în cazul unei întreprinderi, 2% din cifra de afaceri totala realizata la nivel mondial în cursul exercițiului financiar anterior, luându-se în calcul cea mai mare dintre aceste valori, pentru alte încălcări prevăzute de Regulament.
SURSA: Ghidul privind Responsabilul cu protecția datelor adoptat in data de 13 decembrie 2016 revizuit si adoptat in data de 5 aprilie 2017 de către Grupul de lucru „Articolul 29” pentru Protecția Datelor
Ghidul pentru stabilirea autorității de supraveghere principale a operatorului sau a persoanei împuternicite de operator adoptat la 13 decembrie 2016 revizuit si adoptat la 5 aprilie 2017 de către Grupul de lucru „Articolul 29” pentru Protecția Datelor
Ghidul privind dreptul la portabilitatea datelor adoptat in data de 13 decembrie 2016 revizuit si adoptat in data de 5 aprilie 2017 de către Grupul de lucru „Articolul 29” pentru Protecția Datelor
[1] Regulament nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
[2] Data Protection Officer
[3] Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern – in cazul nostru operator de date poate fi orice societate care prelucrează date cu caracter personal
[4] Persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului – acesta este cazul in care societatea dvs. încheie un contract cu o alta societate care – face studii de piața, marketing, sondaje de opinie pentru dvs.
