Legea 129 Din 2018 Anspdcp-Autoritatea Pentru Protectia Datelor Personale Liber La Controale Pentru Verificarea Aplicarii GDPR-Avocat Cuculis

Astfel,era de mult anticipata abrogarea legii 677/2001si astfel a fost promulgata, Legea pentru modificarea si completarea Legii nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, precum si pentru abrogarea Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

Legea nr. 129/2018  aduce o serie larga de modificari si probabil cel mai important lucru, ATENTIE la amenzile pe care le vor putea aplica autoritatile:

(1) Orice persoană vizată care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile legale în vigoare are dreptul de a depune plângere la Autoritatea națională de supraveghere, în special în cazul în care reședința sa obișnuită, locul său de muncă sau presupusa încălcare se află sau, după caz, are loc pe teritoriul României. Plângerea poate fi depusă inclusiv prin mijloacele electronice de comunicare.

Activitatea de control

Personalul de control are dreptul sa efectueze investigatii, inclusiv inopinate, sa ceara si sa obtina, de la operator si de la persoana imputernicita de operator, orice informatii si documente indiferent de suportul de stocare, sa ridice copii de pe acestea, sa aiba acces la oricare dintre incidentele operatorului si ale persoanei imputernicite precum si sa aiba acces si sa verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfasurarii investigatiei, in conditiile legii;

ATENTIE – Autoritatea poate intra cu MANDAT in sediile institutiilor, pentru verificarea aplicarii GDPR!

Autoritatea pentru protectia datelor cu caracter personal, pe acelasi picior cu executorii si mascatii, care pot incepe investigatiile doar intre anumite ore!

(3) În situația în care personalul de control este împiedicat în orice mod în exercitarea atribuțiilor prevăzute la alin. (2), Autoritatea națională de supraveghere poate solicita autorizarea judiciară dată prin încheiere de către președintele Curții de Apel București sau de către un judecător delegat de acesta. O copie a autorizației judiciare se comunică obligatoriu entității controlate înainte de începerea investigației.

(4) Cererea de autorizare se judecă în camera de consiliu, fără citarea părților. Judecătorul se pronunță asupra cererii de autorizare în termen de cel mult 48 de ore de la data înregistrării cererii. Încheierea se motivează și se comunică Autorității naționale de supraveghere și entității controlate în termen de cel mult 48 de ore de la pronunțare.

(5) În cazul în care investigația trebuie desfășurată, inclusiv simultan, în mai multe spații deținute de către entitatea controlată, Autoritatea națională de supraveghere va introduce o singură cerere, instanța pronunțându-se printr-o încheiere în care se vor indica spațiile în care urmează să se desfășoare investigația.

(6) Cererea de autorizare trebuie să cuprindă toate informațiile de natură să justifice investigația, iar judecătorul sesizat este ținut să verifice dacă cererea este întemeiată

Investigatia nu poate incepe inainte de ora 08.00 si nu poate continua dupa ora 18.00 si trebuie efectuata in prezenta persoanei la care se efectueaza investigatia sau a reprezentantului sau. Investigatia poate continua dupa ora 18.00 numai cu acordul scris al persoanei la care se efectueaza aceasta sau a reprezentantului sau;

In activitatea de control, ANSPDCP poate dispune aplicarea de masuri corective, inclusiv de sanctiuni contraventionale (mustrarea sau amenda), poate formula recomandari si poate sesiza alte autoritati competente, dupa caz;

Termen special de prescriptie al amenzilor pe care Autoritatea le poate da!

Sanctiunile contraventionale se pot aplica in termen de 3 ani de la data savarsirii faptei; in cazul incalcarilor care dureaza in timp sau al celor constand in savarsirea, in baza aceleiasi rezolutii, la intervale diferite de timp, a mai multor actiuni sau inactiuni, care prezinta, fiecare in parte, continutul aceleiasi contraventii, prescriptia incepe sa curga de la data constatarii sau de la data incetarii ultimului fapt savarsit, daca acest moment intervine anterior constatarii;

In cazul prelucrarii datelor ce intra in competenta de control a ANSPDCP, cu exceptia celor transfrontaliere, constatarea si sanctionarea faptelor se fac prin proces-verbal incheiat de personalul de control.

In situatia in care cuantumul amenzii aplicate depaseste echivalentul in lei a 300.000 euro, aplicarea amenzii se efectueaza prin decizie a presedintelui ANSPDCP;

Aplicarea masurilor corective care constau in obligarea operatorului sau a persoanei imputernicite de operator sa respecte cererile persoanei vizate de de exercitare a drepturilor, sa asigure conformitatea operatiunilor de prelucrare, obligarea operatorului sa informeze persoana vizata cu privire la o incalcare a protectiei datelor personale, se poate efectua prin procesul-verbal de constatare/sanctionare incheiat de personalul de control sau prin decizie a presedintelui ANSPDCP; in schimb, aplicarea masurilor corective care constau in limitarea temporara sau definitiva, interdictia asupra prelucrarii, rectificarea sau stergerea datelor cu caracter personal, restrictionarea prelucrarii, notificarea acestor actiuni destinatarilor carora le-au fost divulgate datele cu caracter personal, suspendarea fluxurilor de date către un destinatar dintr-o tara terta sau catre o organizatie internationala, se poate efectua numai prin decizie a presedintelui Autoritatii.

In cazul nerespectarii masurilor dispuse sau in cazul refuzului tacit sau expres de furnizare a tuturor informatiilor si documentelor solicitate in cadrul procedurii de investigatie ori in cazul refuzului de supunere la investigatie, ANSPDCP poate dispune, prin decizie, aplicarea unei amenzi cominatorii de pana la 3.000 lei pentru fiecare zi de intarziere, calculată de la data stabilita prin decizie;

Constatarea faptelor si aplicarea masurilor corective se va face in conformitate cu dispozitiile GDPR;

Prezenta lege transpune dispozițiile art. 41 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016.

Ce sanctiuni va aplica autoritatea?

(2)   Fiecare autoritate de supraveghere are toate următoarele competențe corective:

(a)

de a emite avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile prezentului regulament;

(b)

de a emite mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile prezentului regulament;

(c)

de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-și exercita drepturile în temeiul prezentului regulament;

(d)

de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul-limită pentru aceasta;

(e)

de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal;

(f)

de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării;

(g)

de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, în temeiul articolelor 16, 17 și 18, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) și cu articolul 19;

(h)

de a retrage o certificare sau de a obliga organismul de certificare să retragă o certificare eliberată în temeiul articolul 42 și 43 sau de a obliga organismul de certificare să nu elibereze o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite;

(i)

de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte;

(j)

de a dispune suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională.

DACA VORBIM DE AMENZI, atunci acestea sunt prohibitive – 

(4)   Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:

(a)

obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 și 43;

(b)

obligațiile organismului de certificare în conformitate cu articolele 42 și 43;

(c)

obligațiile organismului de monitorizare în conformitate cu articolul 41 alineatul (4).

(5)   Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:

(a)

principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu articolele 5, 6, 7 și 9;

(b)

drepturile persoanelor vizate în conformitate cu articolele 12-22;

(c)

transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu articolele 44-49;

(d)

orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;

(e)

nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere în temeiul articolului 58 alineatul (2), sau neacordarea accesului, încălcând articolul 58 alineatul (1).

Avocat Cuculis

Avocat@indrumari-juridice.eu

Ghid GDPR-Cum Implementez In Firma Directiva De Protectie A Datelor Personale Din Regulamentul 679 Al Uniunii Europene-Consultanta GDPR Pentru Firme-Avocat Cuculis

av.drd. Cuculis

avocat@indrumari-juridice.eu

GDPR Si Industria Hoteliera-Locul Unde Se Prelucreaza Date Cu Caracter Personal-Avocat Cuculis

GDPR – IMPACT MAJOR ASUPRA TURISMULUI ȘI INDUSTRIEI HOTELIERE

-amenzi de până la 20 milioane de euro sau de până la 4% din cifra de afaceri-

 

GDPR, General Data Protection Regulation, sau mai bine spus o bomba cu ceas pentru diferite industrii și care reprezintă cea mai mare schimbare legislativa în domeniul protecției datelor cu caracter personal după anul 1995., cam asta ii asteapta si pe cei din industria hoteliera. Scopul noii reglemntări a fost acela de a uniformiza,  cât este posibil, legislația în materie la nivelul Uniunii Europene, prin crearea unor norme cu aplicabilitate pe întreg teritoriul acesteia.

După cum noile reguli instituite de GDPR (General Data Protection Regulation) vor afecta orice organizație care procesează date cu caracter personal, acestea se vor rasfrânge în mod particular asupra industriei hoteliere.  Sectorul hotelier va intra în mod special în atenția autorităților responsabile cu protecția datelor cu caracter personal de pe teritoriul  Romaniei, având în vedere că volumul mare de date personale pus în circulație în acest segment este notoriu.

Dacă până în prezent, regulile privind colectarea datelor personale de către administratorii de hoteluri erau destul de flexibile, practica majoritară fiind aceea de a utiliza aceste date în scop publicitar prin aproape orice mijloc de prelucrare ar fi considerat oportun afacerii de către managementul hotelier.

Datele personale sunt colectate de la persoana vizată sau preluate de la diverși colaboratori și prelucrate ulterior aproape fără restrictii, bazele de date circulând într-un ritm accelerat, care face dificil controlul asupra acestora pentru autorități. Întreaga practică este în schimbare sub efectul noului regulament care urmărește implementarea pe întregul teritoriu al Uniunii Europene a unor sisteme de prelucrare a datelor cu caracter personal caracterizate de responsabilitate, prudență, legalitate și răspundere. Astfel, atragem atenția cu titlu de exemplu asupra colaborărilor dintre agenții de turism, platforme online, hoteluri, pensiuni, companii de transport etc., acestea fiind nevoite să își revizuiască activitatea de marketing, management, PR etc. asigurând concordanța întregii activități cu dispozițiile GDPR.

Ce trebuie să facă hotelierii până la 25 mai 2018 pentru a nu suporta sancțiunile enorme prevăzute de GDPR?

Principala obligație pe care trebuie să o aibă în vedere administratorii de hoteluri este să se asigure că au un temei juridic în baza caruia colectează și prelucrează datele cu caracter personal. În accepțiunea noului regulament, dată cu caracter personal poate să fie orice informație care poate duce la identificarea unei persoane, nume, prenume, CNP, adresa, e-mail (dacă acesta are în componență nume și prenume) etc. De exemplu pentru a păstra datele unei persoane în vederea efectuării unei rezervări nu va fi necesară vreo formalitate suplimentară, însă, dacă se dorește păstrarea datelor respectivei persoane pentru a i se transmite newsletter-uri, oferte sau alte informații, administratorul hotelului va avea obligația de a obține consimțământul persoanei respective, în caz contrar o astfel de prelucrare fară consimțământ riscând să fie sancționată cu amendă de până la 4% din cifra de afaceri anuală. Mai mult, consimțământul dat de persoana ale carei date sunt prelucrate trebuie să îndeplinească anumite condiții pentru a fi considerat valabil: să fie dat în cunoștință de cauză (adică persoana să fie informată în prealabil asupra tuturor aspectelor ce țin de prelucrarea datelor sale); să fie dat expres pentru fiecare scop în care datele urmează să fie prelucrate; persoana trebuie să fie informată că are dreptul să i se steargă datele prin retragerea consimțământului printr-o procedură la fel de simplă ca aceea prin care și l-a dat etc. De asemenea, administratorul hotelului care va prelucra datele are obligativitatea de a se rezuma la păstrarea datelor strict necesare scopului pentru care s-au colectat, urmărind să steargă surplusul din bazele de date și va avea în vedere că este în sarcina sa să facă dovada că a obținut consimțământul în condițiile legii. După ce a fost atins scopul pentru care au fost colectate datele personale, colectorul este din nou obligat la ștergerea acestora.

În contextul prezentat industria hotelieră poate avea de suferit din mai multe puncte de vedere. Pe de-o parte aceștia ar putea avea de suferit din perspectiva marketingului, îndeosebi a celui online, ținând cont că o parte considerabilă a clienților este generată din platforme publicitare, site-uri ale agențiilor de turism, cookie-uri etc. De la data intrării în vigoare a GDPR, respectiv 25 mai 2018, ofertele, reclamele și alte informații despre hoteluri nu vor mai putea ajunge la clienți decât cu acordul prealabil al acestora iar consecința imediată va fi diminuarea cererii.  Din perspectiva internă consecințele vizează reanalizarea întregii organizări a activității hoteliere,  sub sancțiunile prevazute de GDPR, respectiv aplicarea unor amenzi de până la 4% din cifra de afaceri anuală globală.

Pe o piață a turismului preponderent digitală, provocarea pentru industria hotelieră va fi aceea de a se alinia dispozițiilor legale prin adoptarea unor politici adecvate, bazate pe transparența prelucrării datelor,  care să nu conducă la restrangerea majoră a spectrului de clienți. În preîntâmpinarea consecințelor arătate mai sus se recomandă acordarea unei atenții sporite în următoarea perioada prin luarea masurilor corespunzatoare în sensul alinierii activitătii hoteliere noilor prevederi, îndeosebi prin informarea corespunzătoare, instruirea angajaților și consultarea specialiștilor în materie.

Este esențială pentru a se împiedica o scădere a cererii pe piața turismului implementarea unor masuri de adaptare pentru a se putea transmite în continuare oferte către clienții interesați de asemenea servicii, prin colaborarea cu specialiști în domeniul protecției datelor cu caracter personal. Astfel, hotelierii nu ar trebui să renunțe la a prelucra date cu cracater personal în scop publicitar, ci trebuie să înteleagă importanța de a se pune în legalitate, prelucrând datele în concordanță cu dispozițiile GDPR.

Av.Drd. Cuculis

avocat@indrumari-juridice.eu

 

Problema ce necesita consultanta specializata? Click AICI pentru programare?

Ghid GDPR-Cum Implementez In Firma Directiva De Protectie A Datelor Personale Din Regulamentul 679 Al Uniunii Europene-Consultanta GDPR Pentru Firme-Avocat Cuculis

Inca Nesigur Cum O Sa Fie Afectat Business-ul Pe Care Il Conduci De Regulamentul GDPR? ConsultantaFirmle Obligate Sa Implementeze Regulamentul 679 Al Uniunii Europene Cu Privire La Implementarea De Masuri In Vederea Respectarii Si Protectiei Datelor Cu Caracter Personal-Dreptul De A Fi Uitat – O Noua Provocare Pentru Firme Si Avocatura De Business-Avocat Cuculis

Consultanta De Business Pentru Companiile Ce Vor Fi Afectate De Catre Regulamentul 679 al U.E- GDPR-ul Pe Intelesul Antreprenorului Roman-

Evita Amenzi Ce-ti Pot Inchide Afacerea- Informeaza-te Din Punct De Vedere Juridic Ce Trebuie Sa Faci Pentru A Implementa Regulamentul In Asa Fel Incat Sa Fii In Conformitate Cu Dispozitiile U.E

Ce presupune GDPR?

Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor – RGPD).

Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

NOUTĂŢI
Regulamentul (UE) 2016/679 pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal.
Regulamentul (UE) 2016/679 stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line.
Regulamentul (UE) 2016/679 consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării.
Regulamentul (UE) 2016/679 introduce sancţiuni severe, pâna la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.

Acesta este un scurt preambul al intregului regulament – totul in extensie puteti citi mai jos- Analiza avocatilor de Business SCPA Cuculis&Asociatii o gasiti mai jos-

Ai nevoie de consultanta de business pentru implementarea regulilor GDPR 2018? Completeaza formularul de mai jos si evita amenzi ce ti-ar putea inchide afacerea!

 

Totul despre GDPR Ce Intra In Vigoare In 25 Mai 2018? Vedeti aici –

GDPR 2018 -Totul Despre GDPR Si Prelucrarea Datelor Cu Caracter Personal – Regulametul UE 679 din 2016-Avocat Cuculis