Aplicarea, începând cu data de 25 mai 2018, a prevederilor Regulamentului General privind protecţia Datelor

13 februarie 2018 Mesagerul Hunedorean

În data de 4 mai 2017 au fost publicate în Jurnalul Oficial al Uniunii Europene cele două acte normative care compun pachetul legislativ privind protecţia datelor la nivelul Uniunii Europene:
– Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
– Directiva (UE) 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii.
Regulamentul General de protecţia Datelor a intrat în vigoare pe data de 25 mai 2016 şi va fi de directă aplicabilitate începând cu data de 25 mai 2018.
În data de 24 ianuarie 2018, Comisia Europeană a publicat Comunicarea către Parlamentul European şi Consiliu „Stronger protection, new opportunities – Commission guidance on the direct application of the General Data Protection Regulation as of 25 May 2018”, cu privire la liniile directoare referitoare la directa aplicare a Regulamentului General privind protecţia Datelor începând cu data de 25 mai 2018. Astfel, aşa cum se arată şi în conţinutul Comunicării, noul cadrul legal va aduce schimbări semnificative pentru persoanele fizice, companii, autorităţi publice şi alte organizaţii. În acest context, se subliniază faptul că persoanele fizice vor putea beneficia de o mai bună protecţie a datelor cu caracter personal şi de un control mai bun asupra modului în care le sunt utilizate datele cu caracter personal.
Textul Comunicării Comisiei Europene este disponibil la adresa: http://eur-lex.europa.eu/legal-content/ RO/TXT/HTML/?uri=CELEX%3A52018DC0043&qid=1517578296944&from=EN.
De asemenea, Comisia Europeană a lansat un ghid online sub formă de întrebări şi răspunsuri destinate cetăţenilor, întreprinderilor, în special IMM-urilor, şi altor organizaţii. Respectivul instrument online vine în sprijinul părţilor interesate în vederea pregătirii lor pentru aplicarea Regulamentului General privind protecţia Datelor şi a respectării noilor reguli europene în domeniul protecţiei datelor cu caracter personal. Ghidul online este disponibil la adresa: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_ro.”
Drept urmare, începând cu data de 25 mai 2018, potrivit Regulamentului General Privind protecţia Datelor (GDPR), orice companie care se ocupă, în principal, de prelucrări de date personale, va trebui să aibă o persoană responsabilă cu protecţia acestora. În cele ce urmează vă prezentăm, succint, câteva aspecte semnificative vizate de noua obligaţie privitoare la protecţia datelor cu caracter personal.
Entităţile responsabile de aplicare:
a) autorităţile şi organismele publice, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale. În categoria autorităţilor şi organismelor publice responsabile de aplicare se încadrează Guvernul, Camerele Parlamentului, Consiliul Legislativ, consiliile locale şi judeţene, primăriile, instituţia prefectului, organele de specialitate din subordinea Guvernului, autorităţile administrative autonome (Consiliul Concurenţei, SRI, STS, SPP, SIE, ANI, Curtea de Conturi etc.), dar şi alte organisme care desfăşoară o sarcină publică şi sunt guvernate de legislaţia în domeniul public, cum ar fi: spitalele, furnizorii de servicii de transport public, furnizorii de apă şi energie etc.;
b) entităţile private care au ca activitate principală operaţiuni care implică o monitorizare periodică şi sistematică, pe scară largă, a persoanelor vizate. Intră în această categorie companiile a căror activitate principală implică prelucrarea datelor pe scară largă pentru publicitate comportamentală, profilare online, prevenirea fraudelor, detectarea spălării de bani, administrarea programelor de fidelizare, monitorizarea spaţiilor (CCTV), monitorizarea senzorilor inteligenţi (smart meters) etc.;
c) entităţile private care au ca activitate principală prelucrarea pe scară largă a unor categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenenţa la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea, date privind viaţa sexuală sau orientarea sexuală) sau a unor date cu caracter personal privind condamnări penale şi infracţiuni. Intră în această categorie clinicile private, administratorii aplicaţiilor care monitorizează date de sănătate, ONG-urile care asistă bolnavi cu HIV, institutele de sondare a opiniei, sindicatele etc.
2. Responsabilul cu protecţia datelor:
Un grup de întreprinderi poate să numească un responsabil unic cu protecţia datelor, cu condiţia ca acesta să fie „uşor accesibil din fiecare întreprindere”. Accesibilitatea se referă atât la sarcinile sale externe (punct de contact pentru persoanele vizate ori pentru autoritatea de supraveghere), cât şi la sarcinile sale interne de asistenţă a operatorului sau a persoanei împuternicite, precum şi a angajaţilor care se ocupă de prelucrarea datelor personale, cu privire la obligaţiile care le revin în temeiul Regulamentului european 2016/679. Un responsabil unic cu protecţia datelor poate fi desemnat şi pentru mai multe autorităţi sau organisme publice.
3. Calificările/certificările responsabilului cu protecţia datelor:
Nu se cere o calificare specifică ori vreo certificare pentru un responsabil cu protecţia datelor. Acesta trebuie selectat „pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile în domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile (…)”. Fiecare operator şi împuternicit va aprecia în concret nivelul necesar al cunoştinţelor de specialitate în funcţie de tipurile de operaţiuni de prelucrare efectuate şi de nivelul de protecţie necesar în acest context.
4. Sarcinile principale ale unui responsabil cu protecţia datelor:
Sarcinile unui responsabil cu protecţia datelor trebuie să includă cel puţin următoarele:
– consilierea companiei/întreprinderii şi monitorizarea conformităţii cu Regulamentul european 2016/679, precum şi alte reglementări în domeniul protecţiei datelor şi politicile interne;
– training şi eforturi de informare;
– efectuarea de audituri;
– consilierea în ce priveşte efectuarea evaluărilor de impact;
– cooperarea cu autoritatea de supraveghere.
Răspunderea pentru respectarea regulamentului nu aparţine în mod personal responsabilului cu protecţia datelor, ci rămâne a operatorului (sau a persoanei împuternicite, după caz), inclusiv pentru eventuala lipsă de susţinere ori de alocare de resurse suficiente pentru ca responsabilul să îşi poată îndeplini atribuţiile în mod corespunzător.
5. protecţia suplimentară a responsabilului cu protecţia datelor:
Responsabilul cu protecţia datelor nu poate fi „demis sau sancţionat de operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale”. Prevederea are în vedere o situaţie de conflict, în care responsabilul îşi face cunoscute concluziile cu privire la o anumită chestiune, iar operatorul nu este de acord cu acestea. Desigur că operatorul îşi poate asuma riscul de a ignora recomandările sau concluziile prezentate de responsabilul cu protecţia datelor, fiind interzisă doar prejudicierea lui din acest motiv, inclusiv indirect (de exemplu, refuzarea unei promovări ori a unei măriri salariale). Responsabilul cu protecţia datelor poate fi demis sau sancţionat pentru alte motive imputabile lui.
6. Alte aspecte semnificative:
Responsabilul cu protecţia datelor („data protection officer”/DPO), de care vor avea nevoie companiile ce se ocupă în principal cu prelucrarea datelor personale, va putea să ocupe, în acelaşi timp, şi altă funcţie. Practic, DPO-ului nu-i va fi interzis să îndeplinească alte sarcini şi atribuţii în afară de cele specifice funcţiei sale, dar companiile vor trebui să se asigure că nu apar conflicte de interese.
De principiu, DPO-ul nu poate ocupa, în acelaşi timp, şi o funcţie de decizie, ajungându-se în situaţia în care acesta îşi evaluează propria activitate privind prelucrarea datelor personale.
Astfel de exemple concrete de conflicte de interese, pot fi rezumate după cum urmează:
– funcţia de DPO e ocupată de persoane cu funcţii de conducere, cum ar fi cele de:
– administrator sau director general (apare un conflict de interese general, având în vedere şi puterea decizională generală cu privire la activitatea unei companii);
– director financiar (decide în aspectele financiare şi poate influenţa decizia de a aproba finanţarea de măsuri de conformare stabilite de GDPR);
– director de resurse umane (poate influenţa mecanismele de prelucrare a datelor angajaţilor, foştilor angajaţi sau potenţialilor angajaţi);
– director de marketing (poate influenţa mecanismele de prelucrare a datelor clienţilor în activitatea de marketing);
– funcţia de DPO este recomandat a fi ocupată de persoane care n-au funcţii de conducere, cum ar fi un consilier juridic ce reprezintă compania în instanţă într-un litigiu pe legalitatea prelucrării datelor personale.
Ocuparea funcţiei de DPO la companii se va face fie prin desemnarea unui angajat propriu (nou sau actual), fie prin contractarea unui colaborator extern (avocat, persoană fizică autorizată, altă firmă etc.).