Trei luni până la punerea în aplicare a noilor norme privind protecția datelor cu caracter personal

Au rămas mai puțin de 100 de zile până la 25 mai 2018, dată la care va fi pus în aplicare, în toate statele membre ale Uniunii Europene, Regulamentul general privind protecția datelor (RGPD) – Regulamentul (UE) 2016/679. Noile norme vor deveni, astfel, aplicabile, după doi ani de la adoptarea și intrarea în vigoare a documentului amintit.

Reamintim că, la 4 mai 2016, a fost publicat în Jurnalul Oficial al Uniunii Europene pachetul legislativ privind protecția datelor la nivelul UE, care cuprinde:

  • Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), care va avea directă aplicabilitate în toate statele membre, inclusiv în România, începând cu data de 25 mai 2018;
  • Directiva (UE) 2016/680 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.

Orientări pentru facilitarea aplicării directe și uniforme a normelor

Pentru a veni în sprijinul celor vizați, Comisia Europeană (CE) a publicat recent o serie de orientări în vederea facilitării procesului de aplicare directă și uniformă, începând cu 25 mai, în întreaga UE, a noilor norme de protecție a datelor. Orientările reamintesc principalele inovații și oportunități oferite de Regulament, trec în revistă acțiunile pregătitoare realizate deja și evidențiază demersurile pe care Executivul de la Bruxelles, autoritățile naționale pentru protecția datelor și administrațiile naționale trebuie să le întreprindă în continuare. CE a alocat până acum 1,7 milioane euro reprezentând fonduri destinate autorităților pentru protecția datelor și formării de profesioniști în acest domeniu. O sumă suplimentară de 2 milioane euro este disponibilă pentru a sprijini autoritățile naționale în stabilirea de contacte cu întreprinderile, în special cu IMM-urile.

Regulamentul general privind protecția datelor permite libera circulație a datelor în cadrul pieței unice digitale. Acesta va proteja mai bine viața privată a cetățenilor europeni și va consolida încrederea și securitatea consumatorilor, oferind în același timp noi oportunități pentru întreprinderi, în special pentru întreprinderile mai mici.

Orientările reamintesc principalele elemente ale RGPD:

  • Un set unic de norme la nivelul întregului continent, care garantează securitatea juridică pentru întreprinderi și același nivel de protecție a datelor în întreaga UE pentru cetățeni;
  • Se aplică aceleași norme tuturor societăților care oferă servicii în UE,chiar dacă acestea își au sediul în afara UE;
  • Drepturi noi și consolidate pentru cetățeni: dreptul la informare, la acces și dreptul de a fi uitat sunt consolidate. Un nou drept la portabilitatea datelor le permite cetățenilor să își transfere datele de la o societate la alta. Acest lucru le va oferi societăților noi oportunități de afaceri;
  • O mai bună protecție împotriva încălcării securității datelor: o societate care se confruntă cu o încălcare a securității datelor, ceea ce expune persoanele fizice la riscuri, trebuie să notifice acest lucru autorității pentru protecția datelor în termen de 72 de ore;
  • Norme stricte și amenzi disuasive: toate autoritățile pentru protecția datelor vor avea competența de a aplica amenzi de până la 20 de milioane euro sau, în cazul unei societăți, amenzi în valoare de 4% din cifra de afaceri anuală.

Drepturi noi și consolidate pentru persoanele fizice

Protecția conferită de RGPD vizează persoanele fizice, indiferent de cetățenia sau reședința acestora, în ceea ce privește prelucrarea datelor cu caracter personal. Așadar, noile reglementări conferă cetățenilor mai multe drepturi, pe care și le pot exercita în mod gratuit față de entitățile care le prelucrează datele – operatorii de date, astfel: dreptul la informare, dreptul de acces la datele personale, dreptul la rectificare și ștergere (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție. Aceste drepturi sunt detaliate pe site-ul Autorității Naționale de Supraveghere a Datelor cu Caracter Personal.

Instrument online în sprijinul aplicării Regulamentului la nivel practic

Cunoștințele despre beneficiile și oportunitățile oferite de noile norme nu sunt difuzate în mod egal. În acest context, Executivul de la Bruxelles apreciază că este necesar, în special, să se accelereze acțiunile de sensibilizare și să se sprijine eforturile IMM-urilor în ceea ce privește conformitatea. De aceea, CE a lansat un instrument online sub formă de întrebări și răspunsuri destinate cetățenilor, întreprinderilor, în special IMM-urilor, precum și altor organizații. Acesta vine în sprijinul părților interesate în vederea pregătirii lor pentru aplicarea RGPD și a respectării noilor reguli europene în domeniu. Ghidul online este disponibil pe site-ul Comisiei Europene.

Ghid orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor

Pentru a veni în întâmpinarea eforturilor operatorilor de conformare cu noile reguli de prelucrare a datelor personale, pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este publicat, în cadrul secțiunii speciale dedicate RGPD, Ghidul orientativ de aplicare a Regulamentului general privind protecția datelor destinat operatorilor. Se dorește ca acest document să constituie un instrument util în activitatea tuturor operatorilor, în efortul acestora de pregătire a aplicării Regulamentului (UE) 2016/679.

Responsabilul cu protecția datelor cu caracter personal

Un element de noutate pe care acest act normativ european îl aduce în peisajul juridic românesc îl reprezintă instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor. Pentru asigurarea unei aplicări unitare a RGPO, Grupul de Lucru Art. 29 de pe lângă Comisia Europeană a emis Ghidul privind Responsabilul cu protecția datelor (DPO), accesibil la secțiunea specială dedicată Regulamentului General privind Protecția Datelor, pe site-ul ANSPDCP.

Cazurile în care este obligatorie desemnarea unui responsabil cu protecția datelor:

  • Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
  • Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  • Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

Când nu este necesară desemnarea unui responsabil cu protecția datelor?

  • Atunci când nu se prelucrează pe scară largă date cu caracter personal. Spre exemplu: prelucrarea datelor pacientului de către un cabinet medical individual; prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un cabinet individual de avocatură.

Sarcinile responsabilului cu protecția datelor:

  • de a informa și consilia operatorul, sau persoana împuternicită de operator, precum și angajații care se ocupă de prelucrările de date;
  • de a monitoriza respectarea Regulamentului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor;
  • de a consilia operatorul în ceea ce privește realizarea unei analize de impact asupra protecției datelor și de a monitoriza executarea acesteia;
  • de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;
  • de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.

A fost validat standardul ocupațional aferent rolului de Responsabil cu protecția datelor cu caracter personal (DPO), introdus în Clasificatorul Ocupațiilor din România

Odată cu apropierea momentului în care noile reglementări vor intra în vigoare, a fost introdus în Clasificatorul Ocupațiilor din România și a fost validat, la Ministerul Educației Naționale (MEN), standardul ocupațional aferent rolului de Responsabil cu protecția datelor cu caracter personal.

Potrivit unui comunicat, „PwC România și D&B David și Baias au obținut validarea standardului ocupațional aferent rolului de Responsabil cu protecția datelor cu caracter personal (sau DPO) de la Comitetul Sectorial Administrație și Servicii Publice din cadrul Autorității Naționale pentru Calificări, structură a Ministerului Educației Naționale. Acest standard elaborat de echipa PwC împreună cu cea a D&B David și Baias va sta la baza cursurilor de formare profesională pentru această poziție organizate pe viitor în România”. Această reușită este și ca urmare a demersurilor făcute de aceeași echipă în fața Ministerului Muncii pentru introducerea în COR a ocupației pentru prima dată în România.

Rolul de Responsabil cu protecția datelor cu caracter personal (DPO) este prevăzut de noul Regulament general de protecție a datelor.

Campanii informative pentru IMM-uri

Deși, de regulă, obligațiile de păstrare a evidenței nu se aplică IMM-urilor, întreprinderile sau organizațiile cu mai puțin de 250 de angajați au obligații de păstrare a evidenței în cazul în care prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, dacă prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, foarte multe întreprinderi încadrându-se în aceste situații.

Potrivit reprezentanților Consiliului Național al Întreprinderilor Private Mici și Mijlocii din România (CNIPMMR), în țara noastră nu există încă măsuri/programe de consiliere și susținere a IMM-urilor pentru implementarea RGPD. În acest context, reprezentanții întreprinzătorilor mici și mijlocii consideră necesară adoptarea următoarelor măsuri:

  • asigurarea unui serviciu de consiliere gratuită pentru IMM-urioperațional cu minimum două luni înainte de data aplicării Regulamentului;
  • realizarea unui ghid aplicativ concret și complet pentru IMM-uri, cu pași de urmat, proceduri operaționale, instituții, termene, formulare, etc. disponibil online;
  • realizarea unei ample campanii de informareadaptate specificului IMM-urilor; punerea în aplicare a art. 3 alin. (1) din Legea prevenirii nr. 270/2017, potrivit căruia „Toate autoritățile/instituțiile publice cu atribuții de control, constatare și sancționare a contravențiilor au obligația, corespunzător domeniilor aflate în responsabilitatea acestora, ca, în termen de 3 luni de la data intrării în vigoare a prezentei legi, să elaboreze și să difuzeze materiale documentare și ghiduri și să aloce pe pagina de internet secțiuni special dedicate informării publice”;
  • punerea în aplicare a art. 3 alin. (3) din Legea prevenirii nr. 270/2017, potrivit căruia autoritățile/instituțiile publice cu atribuții de control au obligația să elaboreze proceduri de îndrumare și control, să afișeze pe site-urile proprii spețele cu frecvență ridicată și soluțiile de îndrumare emise, să exercite activ rolul de îndrumare, oferind, conform procedurilor, indicațiile și orientările necesare pentru evitarea pe viitor a încălcării prevederilor legale;
  • punerea în aplicare a art. 3 alin. (4) din Legea prevenirii nr. 270/2017, conform căruia „Autoritatea administrației publice centrale cu atribuții de coordonare la nivel național a domeniului mediul de afaceri (respectiv, Ministerul pentru Mediul de Afaceri, Comerț și Antreprenoriat)are obligația ca, în termen de 6 luni de la data intrării în vigoare a prezentei legi, să dezvolte și să opereze un portal dedicat oferirii în mod centralizat de servicii online și resurse în vederea informării în ceea ce privește aspectele prevăzute la alin. (1)”.

ANSPDCP: Aplicarea amenzii maxime NU este scopul principal al Regulamentului

În măsura nerespectării drepturilor persoanelor vizate, Regulamentul conferă persoanelor fizice în cauză dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Plângerea este scutită de taxe.

Dacă plângerea este admisibilă, aceasta va putea fi urmată de o investigație la operatorul de date reclamat.

Măsurile corective pe care ANSPDCP le va putea dispune în temeiul RGPD se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării etc.

Potrivit informațiilor furnizate de ANSPDCP, în ceea ce privește stabilirea sancțiunilor cu amendă, aceasta va avea la bază „o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte. Atunci când se va lua decizia dacă să se impună o amendă administrativă, precum și valoarea acesteia în fiecare caz în parte, se va acorda atenția cuvenită criteriilor prevăzute de Regulamentul General privind Protecția Datelor, astfel încât să se asigure principiul proporționalității”.

În contextul în care în spațiul public, în ultima perioadă, au fost vehiculate opinii potrivit cărora în cazul abaterilor de la noile norme ar urma să fie aplicate amenzi la nivelul maxim prevăzut, ANSPDCP precizează: „Autoritatea de Supraveghere își propune creșterea nivelului de conștientizare și de înțelegere a riscurilor, normelor, garanțiilor și drepturilor în materie de prelucrare a datelor și se delimitează față de opiniile lansate tot mai des în spațiul public care induc în mod greșit ideea că sancțiunile cu amenzi la nivel maxim sunt singurele măsuri corective la care se poate recurge. Totodată, Autoritatea de Supraveghere se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului general privind protecția datelor, prin mediatizarea «perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri» și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului. Astfel, Autoritatea de Supraveghere va elabora o secțiune de întrebări frecvente în cadrul website-ului propriu, www.dataprotection.ro, privind principalele obiective ale RGPD”.

Written by

Leave a Reply

Message