GDPR 2018 -Totul Despre GDPR Si Prelucrarea Datelor Cu Caracter Personal – Regulametul UE 679 din 2016-Avocat Cuculis

Prelucrarea datelor cu caracter personal în accepțiunea Regulamentului Uniunii Europene 679/2016

Regulamentul Uniunii Europene 679/2016 privind protecţia datelor personale – GDPR (General Data Protection Regulation) devine aplicabil începând cu data de 25 mai 2018. Acesta:

  • Schimbă modul în care companiile pot utiliza datele personale pentru cercetări de piaţă specifice, axate pe consumator;

  • Redefineşte datele personale stabilind că acestea sunt constituite din  orice informaţie care permite indentificarea unui individ;

  • oferă mai multe drepturi persoanelor;

  • reformulează modul în care companiile pot solicita şi utiliza datele personale în scop comercial.

Regulamentul înlocuieşte Directiva 95/46/EC, preluată în România prin Legea 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal.

Ce înseamnă prelucrarea datelor cu caracter personal?

Regulamentul 679/2016 definește expres noțiunile de ”date cu caracter personal” și ”prelucrare”. Astfel:

  • „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

  • „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

Un aspect important este faptul că datele personale nu se mai limitează la elemente precum CNP, adresă, nume și prenume etc., ci aria este mult mai extinsă în noul regulament, cuprinzând și informații legate de localizarea prin GPS, adrese IP, asigurări, adresa de email de la locul de muncă, dacă aceasta este formulată după tipologia prenume.nume@…

Care sunt responsabilii în domeniul protecției datelor în România și care este autoritatea de supraveghere care are competență în Uniune?

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este singura autoritate publică cu personalitate juridică, autonomă și independentă față de orice altă autoritate a administrației publice, ca și față de orice persoană fizică sau juridică din dmeniul privat, care are atribuții de control, investigații și supraveghere în domeniul protecției datelor.

Oficiul Responsabilului cu Protecția Datelor Personale este structura specializată din cadrul Ministerului Afacerilor Interne, fără personalitate juridică, care exercită îndrumarea, coordonarea și monitorizarea aplicării unitare a legislației în domeniul protecției persoanelor cu privire la prelucrarea datelor cu caracter personal în cadrul structurilor M.A.I.

În principiu competența aparține autorității de supraveghere din statul în care operatorul îs are sediul principal.

Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului în Uniune. În acest caz, acesta din urmă ar trebui considerat drept sediul principal. Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine principalele decizii cu privire la scopurile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea prelucrării datelor cu caracter personal în locul respectiv. Prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie un sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al persoanei împuternicite de operator ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune sau, în cazul în care nu are o administrație centrală în Uniune, locul în care se desfășoară principalele activități de prelucrare în Uniune.

În cazurile care implică atât operatorul, cât și persoana împuternicită de operator, autoritatea de supraveghere principală competentă ar trebui să rămână autoritatea de supraveghere a statului membru în care operatorul își are sediul principal, dar autoritatea de supraveghere a persoanei împuternicite de operator ar trebui considerată ca fiind o autoritate de supraveghere vizată și acea autoritate de supraveghere ar trebui să participe la procedura de cooperare prevăzută de prezentul regulament. În orice caz, autoritățile de supraveghere ale statului membru sau ale statelor membre în care persoana împuternicită de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autorități de supraveghere vizate în cazul în care proiectul de decizie nu se referă decât la operator. În cazul în care prelucrarea este efectuată de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi, cu excepția cazului în care scopurile și mijloacele aferente prelucrării sunt stabilite de o altă întreprindere.

  1. Aplicabilitate

Regulamentul este aplicabil prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și neautomatizate. Acesta sa va aplica aproape oricărei activităţi de prelucrare de date personale. Aplicarea Regulamentului se întinde asupra prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. De asemenea, Regulamentul se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

(a) oferirea de bunuri sau servicii unor persoane vizate din Uniune;

(b) monitorizarea comportamentului lor, dacă acesta se manifestă în cadrul Uniunii.

În concluzie, Regulamentul se va aplica aproape oricărei organizaţii care, fie este stabilită în Uniunea Europeană, fie oferă bunuri sau servicii, sau monitorizează comportamentul persoanelor din Uniunea Europeană, chiar dacă respectiva organizaţie nu are sediul în Uniune.

  1. Măsuri

  1. Colectarea și prelucrarea datelor cu caracter personal

Colectarea și prelucrarea datelor cu caracter personal comportă două aspect importante care au suferit modificări substanțiale în noua legislație ce va fi impusă.

Informarea persoanei vizate

Prelucrarea datelor cu caracter personal trebuie să se facă într-un mod echitabil și transparent față de persoana vizată iar colectarea datelor trebuie realizată în scopuri determinate și explicite. Astfel, se impune ca în momentul în care este cerut acordul pentru prelucrarea datelor sau în momentul în care aceste date sunt colectate să se facă o informare corectă si completă, într-un limbaj simplu, pe care persoana vizată să îl poată întelege cu ușurință și într-o manieră cât mai concisă, cu privire la scopul și limitele în care aceste informații vor fi utilizate.

În cazul în care se va constata că această informare nu a fost făcută în mod corespunzător, consimțământul va putea fi considerat viciat sau neacordat iar operatorul de date poate risca să fie sancționat cu amenzile administrative prevăzute pentru îcălcarea dispozițiilor referitoare la consimțământ.

Obținerea consimțământului de la persoana ale carei date se prelucrează sau urmează să se prelucreze.

Pentru prelucrarea oricăror date cu caracter pesrsonal este necesară obținerea consimțământului de la persoana ale carei date se prelucrează. Astfel, raportându-ne la categorii de persoane, menționăm că între ele se numără atât utilizatorii platformelor online și clienții, cât și proprii angajați ai societății și persoanele care aplică, prin transmiterea CV-urilor, în cadrul proceselor de recrutare ș.a. Așadar este important de subliniat faptul că trebuie obținut consimțământul pentru prelucrarea oricăror date cu caracter personal indiferent de modalitatea în care aceste date au fost obținute. Consimțământul trebuie să fie expres și neechivoc, acesta putându-se acorda atât printr-o declarație expresă în scris, cât ți prin alte mijloace cum ar fi prin bifarea unei căsuțe în dreptul căreia sa existe mențiunea expresă de acordare a consimțământului, însă, această căsuță nu ar putea, de exemplu, să fie bifată în prealabil de către operator. De asemenea, operatorul trebuie să fie în măsură să demontreze că a primit consimțământul persoanei vizate pentru prelucrarea datelor cu caracter personal. 1

O noutate introdusă de Regulamentul 679/2016 o reprezintă, din punctul de vedere al consimțământului, dreptul persoanei de a i se șterge datele (”dreptul de a fi uitat”)2 și dreptul de a-și retrage consimțământul. Acest lucru presupune că ori de câte ori persoana vizată pentru prelucrarea datelor cu caracter personal nu mai dorește acesta, are prosibilitatea să își retragă în orice moment consimțământul printr-o metodă la fel de simplă ca și acordarea acestuia.

Operatorul de date trebuie să își revizuiască datele stocate până în present și să le organizeze conform noului Regulament, astfel încât să poată fi stocată alături de datele personale ale individului și confirmarea acestuia că datele respective pot fi folosite într-un anumit scop, punctual. Fără acest consimțământ compania nu poate utiliza informațiile despre acea persoană, cu excepția cazului în care poate demonstra că este un tip de prelucrare pentru care nu nu este necesar consimțământul. Este de sublinat că dacă acordul a fost dat pentru prelucrarea într-un anumit scop comercial, în cazul în care se dorește prelucrarea datelor într-un alt scop comercial, este necesar un alt acord clar în acest sens.

Întreprinderile care nu vor respecta obligația de a desemna un responsabil cu protecția datelor vor risca amenzi administrative de până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior.

Se recomandă sub acest aspect să nu se solicite și să nu se păstreze categorii de date personale în exces, adică acele date care nu îi sunt folositoare operatorului, pentru a se evita eventuale motive de plângeri sau reclamații din partea persoanelor vizate sau sesizarea autorităților competente.

  1. Desemnarea responsabilului cu protecția datelor

Companiile care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale vor fi obligate să desemneze o persoană responsabilă cu protecția datelor. Acestea vor avea la dispoziție două variante: fie să numească pe cineva din cadrul firmei, fie să angajeze pe cineva din exteriorul ei. În ambele cazuri va fi necesar ca responsabilul să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor. De asemenea, un grup de întreprinderi va putea numi un responsabil pentru protecția datelor unic, cu condiția ca acesta să fie ușor accesibil din fiecare întreprindere. După desemnarea responsabilului operatorul de date este obligat să publice datele de contact ale acestuia și să le comunice autorității de supraveghere.

Regulamentul prevede că responsabilul cu protecția datelor nu trebuie să primească niciun fel de instrucțiuni pentru îndeplinirea sarcinilor sale. Mai mult decât atât, responsabilul nu va putea fi demis sau sancționat pentru îndeplinirea sarcinilor pe care le are, iar acesta va răspunde direct în fața celui mai înalt nivel al conducerii companiei sau entității ce prelucrează date în numele acesteia.3

Întreprinderile care nu vor respecta obligația de a desemna un responsabil cu protecția datelor vor risca amenzi administrative de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior.

  1. Obligatia de a asigura protectia datelor începand cu momentul conceperii și în mod implicit

O nouă prevedere introdusă prin Regulament este obligația operatorului de a asigura protecția datelor începand cu momentul conceperii și în mod implicit.

În acest sens, în momentul stabilirii mijloacelor de prelucrare, cat și în cel al prelucrarii în sine, operatorul are obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea4 (notiune introdusa prin Regulament), masuri destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru respectarea Regulamentului și protejarea drepturilor persoanelor vizate.

Operatorul trebuie să pună în aplicare masuri tehnice si organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor

  1. Obligația de a notifica autoritatea de supraveghere în cazul încălcării securității datelor cu caracter personal

Regulamentul introduce și obligația operatorilor de a notifica autorității de supraveghere orice încălcare a securității datelor cu caracter personal, fără întârzieri nejustificate și, daca este posibil, în termen de cel mult 72 de ore de la data la care operatorul a luat cunoștință de o astfel de încălcare. Regulamentul precizează elementele obligatorii pe care trebuie să le cuprindă notificarea.

La randul său, persoana împuternicită de operator are obligația să îl înștiințeze pe acesta după ce ia cunoștință de orice încălcare a securității datelor cu caracter personal.

  1. Obligația operatorului de a efectua înaintea prelucrării o evaluare a impactului operațiunilor de prelucrare și de a consulta autoritatea de supraveghere

Operatorul are obligația de a efectua înaintea prelucrării o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal, în cazul în care tipul de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice ( prelucrarea pe scara larga a unor categorii speciale de date).

Autoritatea de supraveghere va întocmi liste privind tipurile de operațiuni de prelucrare pentru care este necesară evaluarea, precum și liste privind tipurile de operațiuni de prelucrare pentru care nu este necesară această evaluare.

În cazul în care evaluarea indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea riscului, de natura să încalce Regulamentul, operatorul are obligația de a consulta autoritatea de supraveghere. Autoritatea de supraveghere oferă consiliere în scris operatorului și își poate exercita oricare dintre competențele de investigare, corectare, de autorizare și consiliere prevazute în Regulament (poate impune o limitare temporara sau definitiva, inclusiv o interdictie asupra prelucrarii).

  1. Pași de urmat

  • Se identifică toate datele din cadrul organizației și a locurilor în care ele sunt ținute. Se iau în considerare toate datele personale (inclusiv IP), și toate locațiile, inclusiv media portabile, back-up-uri, mail-uri, liste de prezență, etc. Se face un inventar de date complet.

  • Se stabilește modul de gestiune al datelor. Se identifică cine are acces la date și cine ar trebui să aibă acces la date, fluxurile de date – atât cu intrări (pe unde intră datele în firmă – mail, aplicații desktop sau mobile, formulare de la evenimente etc.), locurile unde sunt procesate, procesările ce se efectuează și locurile de ieșire din firmă (fie pe mail la parteneri, fie pe medii mobile, fie pe back-up-uri, fie sunt distruse etc.). Se stabilesc rolurile fiecărei persoane care are acces.

  • Protecția datelor – se stabilesc politicile de securitate, de criptare, de transport a datelor, de back-up etc.

  • Se stabilesc mecanismele de auditare cerute de autorități – cum logăm accesul la fiecare tip de date, pentru fiecare operațiune folosind fie mijloace electronice, fie mijloace analoage (pentru datele aflate pe hârtii, de exemplu, se pot folosi registre de acces).

  1. Sancțiuni

  • Până la 20.000.000 EUR sau până la 4% din cifra de afaceri mondială totală anuală pentru nerespectarea prevederilor referitoare la:
  • Principii legate de prelucrarea datelor cu caracter personal, inclusiv condițiile privind consimțământul;
  • Drepturile persoanei vizate;
  • Transferul de date cu caracter personal către destinatari aflați în state terțe;
  • Decizii ale autorității de supraveghere.
  • Până la 10.000.000 EUR sau până la 2% din cifra de afaceri mondială totală anuală pentru nerespectarea, de exemplu, a prevederilor referitoare la:
  • Obligațiile operatorului și ale persoanei împuternicite;
  • Obligațiile referitoare la organismele de certificare sau codurile de conduită.

1 Articolul 7

Condiții privind consimțământul

(1)   În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.

(2)   În cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Nicio parte a respectivei declarații care constituie o încălcare a prezentului regulament nu este obligatorie.

(3)   Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.

(4)   Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.

2 Articolul 17

Dreptul la ștergerea datelor („dreptul de a fi uitat”)

(1)   Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

(a)

datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b)

persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrarea;

(c)

persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);

(d)

datele cu caracter personal au fost prelucrate ilegal;

(e)

datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;

(f)

datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8 alineatul (1).

3 Articolul 37

Desemnarea responsabilului cu protecția datelor

(1)   Operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori:

(a)

prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;

(b)

activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau

(c)

activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10.

(2)   Un grup de întreprinderi poate numi un responsabil cu protecția datelor unic, cu condiția ca responsabilul cu protecția datelor să fie ușor accesibil din fiecare întreprindere.

(3)   În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecția datelor unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare structura organizatorică și dimensiunea acestora.

(4)   În alte cazuri decât cele menționate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte organisme care reprezintă operatori sau persoane împuternicite de operatori.

(5)   Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.

(6)   Responsabilul cu protecția datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii.

(7)   Operatorul sau persoana împuternicită de operator publică datele de contact ale responsabilului cu protecția datelor și le comunică autorității de supraveghere.

4 „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

av.drd. Cuculis

avocat@indrumari-juridice.eu

Ai nevoie de Consultanta Specializata In GDPR? Completeaza formularul de mai jos si evita amenda pentru neconformarea la regulamentul european.