Implementarea GDPR şi protecţia datelor personale în România

Publicat de

Noul Regulament General pentru Protecţia Datelor (GDPR – General Data Protection Regulation (EU) 2016/679) a devenit un subiect obligatoriu în agenda media, mai ales că va fi aplicat începând cu 25 mai 2018.

Evenimentele cu dezbateri pe această temă se orientează cu precădere să răspundă la întrebări adresate companiilor, despre cât de pregătite sunt pentru noile reglementări şi despre modul în care le vor implementa şi despre sancţiunile pe care le riscă dacă nu le respectă. La o cercetare mai atentă, putem observa că GDPR este mai mult decât atât.

MODIFICĂRI LEGISLATIVE: proiect de lege pentru implementarea GDPR

Recent, pe site-ul Ministerului de Interne a fost publicat proiectul de lege privind implementarea Regulamentului General pentru Protecţia Datelor. Timp de 20 de zile acest proiect se află în dezbatere publică. Propunerile, sugestiile şi opiniile persoanelor interesate pot fi trimise pe adresa de e-mail dj-international@mai.gov.ro.

TEXT INTEGRALEXPUNERE DE MOTIVETABEL COMPARATIV

Propunerea de lege vizează modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Ministerul Afacerilor Interne a fost desemnat ca instituţie coordonatoare a procedurilor necesare pentru aplicarea GDPR, ca urmare a unei decizii adoptate de Guvern. Astfel, reprezentanţi din MAI, alături de oficiali MAE, au participat în cadrul negocierilor realizate la nivelul instituţilor UE, în perioada 2012-2015, în scopul elaborării şi definitivării proiectului de Regulament, prezentând poziţia autorităţilor române în cadrul procesului legislativ european. Ulterior, în cadrul unui Grup de experţi, au participat la schimbul de informaţii în scopul identificării celor mai bune practici pentru asigurarea aplicării unitare a Regulamentului în cadrul discuţiilor la nivelul Comisiei Europene.

Implementarea legislativă a noilor reglementări impuse de Regulamentul nr. 679/2016 (GDPR) este prevăzută în PROGRAMUL LEGISLATIV AL GUVERNULUI ROMÂNIEI PENTRU PERIOADA 2017-2020, fiind preconizată pentru luna octombrie a acestui an.

CYBER Media a pregătit o analiză despre protecţia datelor personale în România, cu câteva clarificări “tehnice”, care ar putea fi de folos oricărei persoane interesate să afle cum sunt definiţi termenii în mod oficial, care sunt autorităţile competente în domeniu, care este cadrul legal şi care sunt modificările privind drepturile pe care le au românii acum şi cele pe care le vor avea după implementarea GDPR.

DEFINIŢII OFICIALE aşa cum apar în GDPR

Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental prevăzut în Carta drepturilor fundamentale a Uniunii Europene şi în Tratatul privind funcţionarea Uniunii Europene (TFUE).

Protecţia datelor cu caracter personal reprezintă dreptul persoanei fizice de a-i fi apărate acele caracteristici care conduc la identificarea sa şi obligaţia corelativă a statului de a adopta măsuri adecvate pentru a asigura o protecţie eficientă.

Date cu caracter personal înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Prelucrarea datelor cu caracter personal – înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.

LEGISLAŢIE ACTUALĂ

Protecţia vieţii private este garantată de Constituţia României la Articolul 26, Capitolul II, privind drepturile şi libertăţile fundamentale ale cetăţenilor.

În 2001 au fost elaborate primele norme legislative care fac referire la protecţia datelor persoanele, prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, iar în 2005 a fost înfiinţată prin lege Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, ale cărei atribuţii erau exercitate până atunci în cadrul unui serviciu al Avocatului Poporului.

  • Legea nr. 682/2001 privind ratificarea de către România a Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981
  • Legea nr 55/2001 pentru ratificarea Protocolului Adiţional al Convenţiei privind autorităţile de supraveghere şi fluxurile de date trans-frontaliere, adoptata la Strasbourg, 19 noiembrie 2001, CETS no 181
  • Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare
  • Legea nr. 102/2005 privind înfiinţarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
  • Legea nr. 141/2010 privind înfiinţarea, organizarea şi funcţionarea Sistemului Informatic Naţional de Semnalări (SINS) şi participarea României la Sistemul de Informaţii Schengen (SIS)

RESPONSABILI ÎN DOMENIUL PROTECŢIEI DATELOR

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este singura autoritate publică cu personalitate juridică, autonomă şi independentă faţă de orice altă autoritate a administraţiei publice, ca şi faţă de orice persoana fizică sau juridică din domeniul privat, care are atribuţii de control, investigaţii şi supraveghere în domeniul protecţiei datelor.

Oficiul Responsabilului cu Protecţia Datelor Personale este structura de specialitate a Ministerului Afacerilor Interne implicată în procesul de negociere europeană în faza de elaborare a Regulamentului.

CE ESTE GDPR

General Data Protection Regulation (GDPR) sau pe româneşte Regulamentul General de Protecția Datelor face parte din pachetul legislativ privind protecţia datelor cu caracter personal la nivelul Uniunii Europene, alături de Directiva (UE) 680/2016 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de instituţiile de forţă, a intrat în vigoare pe data de 25 mai 2016 şi va fi aplicat la 25 mai 2018. În acest timp, se oferă statelor membre posibilitatea unor iniţiative legislative pentru aplicarea prevederilor din Regulament.

  • Se aplică fiecărei companii sau instituţii care procesează date personale ale cetăţenilor UE, nu doar celor din interiorul Uniunii.
  • Solicită persoanelor fizice să dea un consimțământ clar și informat pentru ca datele lor să fie procesate în cunoştinţă de cauză.
  • Oferă persoanelor dreptul de a fi uitate și dreptul de a accesa datele lor personale.
  • Impune implementarea „privacy by design”, confidențialitatea nu mai poate fi o idee ulterioară în dezvoltarea de noi produse.
  • Aplică aceleași reguli pentru procesatorii şi controlorii de date.
  • Stabilește un „one stop shop” – companiile trebuie să se înregistreze la o singură agenție de protecție a datelor.
  • Solicită companiilor care procesează în mod sistematic date numirea unui responsabil de protecție a datelor (DPO).
  • Impune un termen de 72 de ore pentru companii în care pot raporta o încălcare sau o breşă în securitatea datelor cu caracter personal pe care le gestionează.
  • Impune amenzi de până la 20 de milioane de Euro sau 2-4% din cifra de afaceri globală în cazul nerespectării acestui Regulament.

SCHIMBĂRILE ADUSE DE GDPR

În ceea ce priveşte drepturilor persoanei vizate în contextul prelucrării datelor personale, tabelul următor conţine un inventar al acestora, aşa cum se regăsesc în legislaţia în vigoare şi cum sunt prevăzute în GDPR.

tabel2
Un aspect esenţial prevăzut de GDPR, nou privind în legislaţia actuală, se referă la „Legalitatea prelucrării” datelor cu caracter personal, care introduce o serie de norme în cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimţământul persoanei vizate.

DPO – persoana responsabilă cu protecţia datelor

Noul GDPR aduce în prim plan organizarea activităţilor care ţin de protecţia datelor personale. Astfel, companiile şi instituţiile sunt obligate să acorde o atenţie mult mai mare datelor personale şi desemneze oameni cu atribuţii speciale în acest sens. Un element cheie în ecuaţia privind protecţia datelor personale este apariţia ofiţerului pentru protecţia datelor – DPO (Data Protection Officer), care ar trebui să îndeplinească sarcinile impuse de GDPR, conform ghidului DPO.

Cine poate fi responsabilul cu protecţia datelor (DPO) într-o organizaţie?

Bart van BuitenenDPO și trainer GDPR, consideră că un bun DPO trebuie să fie comunicativ şi bine informat, abordabil, cooperant şi lipsit de orice conflict de interese în cadrul organizaţiei.

Persoana angajată în poziţia de DPO, conform Regulamentului, nu poate deţine simultan o poziţie de management. Cu alte cuvinte, nu poate fi CEO-ul, şeful de Marketing, de Resurse Umane sau cel de IT.

Care este rolul unui DPO?

Întrebat despre rolul responsabilului cu protecţia datelor, Bart van Buitenen susţine că persoana responsabilă cu protecţia datelor trebuie să beneficieze de separarea îndatoririlor faţă de alte departamente şi este necesar să i se acorde independenţă şi autoritate pentru a-şi îndeplini cu succes rolul.

Vă puteţi întâlni cu Bart van Buitenen la conferinţa despre GDPR din 14 septembrie.

Impactul GDPR în digital media

Subiectul principal al acestui Regulament vizează protecţia datelor cu caracter personal. Astfel, orice organizaţie/instituţie media sau agenţie de publicitate a cărei activitate implică date cu caracter personal ar trebui să fie interesată de noile reguli pe care va trebui să le respecte.

GDPR vizează activitatea din digital media şi online marketing în următoarele situaţii:

– Colectarea datelor personale ale utilizatorilor şi ale clienţilor
– Email marketing – verificarea permisiunii şi a surselor de colectare a datelor
– Datele utilizatorilor – aplicarea dreptului de a fi uitat
– Respectarea politicii privind Cookies
– Permisiunea şi nevoia unui „consimţământ explicit”
– Instrumentele de chat care păstrează ID-urile utilizatorilor
– Monitorizarea utilizatorilor prin instrumente online le care urmăresc comportamentele

Dacă activaţi în acest domeniu şi aţi răspuns DA la punctele de mai sus, aflaţi ce vă impune GDPR:

– Raportarea tuturor scurgerilor de informaţii care vizează bazele de date din cadrul companiei (ale angajaţilor şi clienţilor) la autorităţile competente
– Demonstrarea conformităţii cu prevederile Regulamentului
– Desemnarea unei persoane responsabile cu gestionarea activităţilor privind protecţia datelor (DPO)
– Revizuirea activităţilor care implică procesarea de date personale şi procedurarea acestora după noile standarde
– Revizuirea contractelor, a notificărilor de confidenţialitate şi a formularelor de consimţământ

Alte articole pe acest subiect:

[EN] GDPR Will Bring an Era of better Media and Marketing
[EN] GDPR – Digital Marketing Impact
[EN] Guide to GDPR for Tech, Media and Telecommunication Companies

2 comentarii

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s