Mușat & Asociații se implică activ în conștientizarea GDPR

Evenimentul de GDPR care s-a bucurat de cel mai mare impact în ultima perioadă a fost dezbaterea “Noua ordine europeană pentru protecția datelor personale” care a beneficiat de implicarea activă  a casei de avocatură Mușat & Asociații. Pe lângă găzduirea efectivă a evenimentului, avocații de la Mușat & Asociații au susținut o serie de prezentări cu impact major pentru conștientizarea importanței GDPR, care au alternat cu descrierile de soluții tehnologice și răspunsurile la un mare număr de întrebări.

Forța componentei legislative

Alături de tehnologie și operațional, componenta legală are o contribuție esențială în triada vectorilor care cumulează esența unui proiect de conformitate GDPR. Rolul conștientizării importanței noului regulament este genetic legat de esența legislativă. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are două obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamente digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

De aici, orice proces de implementare a măsurilor care asigură conformitatea cu GDPR trebuie să înceapă cu înțelegerea cadrului legal: structură, importanță, elemente de noutate, noile obligații, și mai ales, noile penalități. Punerea în aplicare a procedurilor de obținere a complianței intră în sfera operațională și evident ajunge sub incidența tehnologiilor de  asigurare a protecției datelor personale, dar fiecare etapă și procedură a acestui proces trebuie să fie în concordanță cu dispozițiile și cu spiritul Regulamentului. Ofițerul cu protecția datelor personale sau persoana desemnată să acționeze potrivit acestui rol are datoria de a coordona și de a face recomandări în spiritul legii. Potrivit Articolului 39, printre principalele atribuții ale unui DPO se numără:

  • Informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Monitorizarea respectării GDPR și a altor legi privind protecția datelor;
  • Primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate.

Rolul ghidurilor de bune practici în succesul unui proiect GDPR

Avocat Bogdan Mihai, Partener Muşat & Asociații.

Pentru a veni în sprijinul celor interesați de procesul de obținere a conformității, reprezentanții casei de avocatură Mușat & Asociații au realizat un Ghid practic de implementare a măsurilor de conformitate GDPR  în care sunt explicate cerințele principale ale GDPR-ului, aplicate tuturor companiilor care prelucrează date personale, prezentat de avocatul Bogdan Mihai, Partener Muşat & Asociații.

Ghidul acoperă toate cerințele principale impuse de GDPR, de la temeiul juridic pentru controlul și prelucrarea datelor cu caracter personal, la scopul legitim pentru colectarea și prelucrarea acestora, documentarea activităților, evaluarea riscurilor, și până la notificarea autorității de supraveghere,  desemnarea responsabilului cu protecția datelor, actualizarea datelor inexacte și transferul datelor în afara UE.

O bună premisă pentru demararea unui proces de implementare GDPR presupune o bună cunoaștere a condițiilor introduse de Regulament, prin educația administratorilor și personalului, începând cu directorul executiv, echipa de conducere și personalul care se ocupă de prelucrarea datelor. Programul de instruire trebuie să coincidă cu crearea unui grup de lucru comun, din care va fi desemnat și care va susține responsabilul cu protecția datelor. Acest grup de acțiune trebuie să stabilească niște activități concrete legate de ce ar trebui să facă/ să nu facă angajații, precum și sarcinile și responsabilitățile în asigurarea protecției datelor.

Avocatul Bogdan Mihai a insistat pe importanța unei evaluări corecte a riscului de penalitate și ce ar însemna valoarea investiției în soluții care pot asigura conformitatea, în raport cu valoarea amenzilor preconizate. Foarte interesante au fost studiile de caz prezentate, privitoare la valoarea penalităților impuse unor organizații europene care nu au respectat actualele prevederi de protecție a datelor personale, precum o companie de televiziune din Spania sau o companie de telecomunicații din UK.

Ghidul realizat de Mușat & Asociații pune accentul pe importanța desfășurării unui inventar de tip end-to-end și a unui audit, precum și pe stabilirea unei baze legitime pentru fiecare prelucrare a datelor, ca de exemplu deținerea consimțământului persoanei vizate. O altă activitate recomandată este examinarea și actualizarea politicilor pentru protecția datelor, precum și exactitatea înregistrării oricăror activități de prelucrare.

Ca măsuri tehnice, Ghidul recomandă implementarea de instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație, soluțiilor de prevenire a pierderilor de date (DLP), criptarea datelor, adoptarea de măsuri de identificare, blocare și investigare a criminalității, precum și soluții pentru exportul de date.

Sancțiuni severe pentru nerespectarea GDPR

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora.

Dar până la stabilirea și aplicarea sancțiunilor mai există o serie de prevederi ale GDPR mai puțin discutate și comentate public. În prezentarea sa referitoare la sancțiuni, avocatul Bogdan Mihai s-a referit la secțiunea privitoare la Remedii, răspundere și penalități. Potrivit Articolului 77: Dreptul de a depune o plângere la o autoritate de supraveghere – Fiecare persoană vizată are dreptul de a lansa o plângere la o autoritate de supraveghere, care din punct de vedere teritorial se află în statul membru de reședință obișnuită, în țara unde se află locul de muncă sau acolo unde s-a produs presupusa încălcare a protecției datelor personale. Autoritatea de supraveghere are obligația de a-l informa pe reclamant cu privire la progresele înregistrate, inclusiv posibilitatea recursului judiciar.

O altă problemă majoră o reprezintă răspunderea pe care o au operatorii și procesatorii de date. Operatorii sunt responsabili pentru daunele cauzate de prelucrarea care încalcă GDPR. Persoanele împuternicite de operator sunt responsabile atunci când nu au respectat obligațiile care le-au fost date in mod specific sau atunci când au acționat în afara sau contrar instrucțiunilor legale primate de la operatorul de date.

Este important de reținut că un operator poate fi exonerat de răspundere dacă dovedește ca nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul. Dacă e vorba de mai mulți operatori implicați în aceeași operațiune de prelucrare, fiecare operator este răspunzător pentru întregul prejudiciu.

Pentru impunerea amenzilor administrative se iau în considerare următoarele aspecte:

  • Natura, gravitatea și durata încălcării
  • Intenția sau neglijența
  • Măsurile luate de contravenient pentru atenuarea sau prevenirea efectelor încălcării
  • Gradul de responsabilitate al operatorului
  • Eventualele încălcări anterioare relevante comise de operator
  • Gradul de cooperare cu autoritatea de supraveghere
  • Dacă operatorul a notificat încălcarea
  • Aderarea la coduri de conduită aprobate sau mecanisme de certificarea probate.

Autoritățile de protecție a datelor au puterea de a dispune unui operator de date să impună o interdicție temporară sau nedeterminată pe prelucrare, să suspende fluxurile de date către un destinatar dintr-o țară terță, să respecte solicitările persoanei vizate, să asigure conformitatea cu autorizațiile și consultările prealabile sau să dispună rectificarea, ștergerea sau distrugerea datelor.

Mai multe drepturi pentru noi, ca persoane fizice

Unul dintre cele mai importante aspecte prevăzute de GDPR este respectarea celor șase principii fundamentale de prelucrare a datelor personale, care îl responsabilizează pe operatorul sau procesatorul de date:

  • Legalitate, echitate și transparență;
  • Datele sunt colectate în scopuri determinate, explicite și legitime;
  • Reducerea la minim a datelor prelucrate;
  • Exactitate și menținerea actualității datelor;
  • Păstrarea datelor pe perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate;
  • Integritate și confidențialitate.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Drepturile angajaților în lumina GDPR

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Primele departamente vizate de GDPR sunt cele de resurse umane, dar și angajații, în mod individual, prin prisma faptului că intră în contact, într-un fel sau altul, cu date personale. Angajații trebuie să fie foarte atenți la modul în care prelucrează datele, deși întreaga răspundere în fața legii este a angajatorului. Cu toate acestea, angajatorul se poate întoarce împotriva acestora pentru recuperarea prejudiciului.

Potrivit Articolului 247(2) din Codul Muncii, ”abaterea disciplinară este o faptă în legătură cu munca şi care constă într-o acţiune sau inacţiune săvârşită cu vinovăţie de către salariat, prin care acesta a încălcat normele legale, regulamentul intern, contractul individual de muncă sau contractul colectiv de muncă aplicabil, ordinele şi dispoziţiile legale ale conducătorilor ierarhici.”

Pentru protecția companiilor, primul pas în concepția av. Anca Vătășoiu, este ”identificarea persoanelor care jonglează zilnic cu date personale și o definire clară a atribuțiilor descrise în fișa postului și a contractului de muncă.” Pe lângă aceste lucruri este nevoie de o informare și o prelucrare a legislației, a obligațiilor și a mecanismelor pe care angajatorul trebuie să le implementeze cu salariații. În paralel, trebuie reglementate, foarte detaliat, regulile cu privire la protecția datelor într-un regulament intern, chiar într-o politică dedicată. Tot în regulamentul intern trebuie definite şi încadrate în mod expres abaterile pentru încălcările GDPR. Angajatorii pot instrui şi comunica salariaţilor toate masurile şi procedurile care trebuie respectate pentru a nu ajunge în situaţia de a răspunde disciplinar, administrativ sau patrimonial.

Avem dreptul să monitorizăm angajații la locul de muncă și în ce condiții?

Anca Vătășoiu, avocat Mușat & Asociații

Una dintre cele mai interesante și mai controversate probleme abordate de doamna avocat Anca Vătășoiu a fost cea legată de monitorizarea angajaților la locul de muncă. Aici politicile companiilor sunt destul de diferite. De cele mai multe ori monitorizarea fiind făcută în scopul eficientizării activității angajaților, prin limitarea sau eliminarea accesului la internet sau la anumite instrumente sau aplicații în alte scopuri decât cele personale. În lumina GDPR apare problema creșterii responsabilității angajatului implicat în prelucrarea de date personale. Orice politică restrictivă prost aplicată poate conduce la încălcarea drepturilor individuale.

S-a făcut referire la un caz concret, celebru deja în mediul juridic, în care un angajat a utilizat o platformă de comunicare cu clienții în scopuri personale. Pe baza monitorizării companiei angajatoare, s-au luat măsuri de punere în aplicare a regulamentului intern. Angajatul a contestat decizia de concediere a companiei, în mai multe instanțe din România, dar a obținut câștig de cauză la CEDO, după mai multe răsturnări de situație.

Concluziile acestui caz sunt destul de controversate, dar ceea ce este sigur este faptul că, în special în departamentele unde se operează cu date personale, e nevoie de politici de monitorizare cât mai detaliate, în condițiile în care statisticile arată că peste 70% dintre incidentele legate de pierderea sau alterarea datelor sunt de natură internă. Pentru eliminarea oricăror situații critice, se recomandă construirea unei culturi organizaționale pentru GDPR, prin care fiecare angajat, manager și departament să își cunoască cu exactitate atribuțiile. Acolo unde politica companiei include sisteme sau acțiuni de monitorizare a angajaților, este bine ca toți angajații implicați să cunoască necesitatea monitorizării, perioada de timp, scopul și mijloacele de efectuare a acestei supravegheri.  Una dintre condițiile esențiale pentru evitarea oricărei neplăceri este ca monitorizare să fie cât mai puțin intruzivă.

O descriere mai largă a evenimentului Noua ordine europeană pentru protecția datelor personale” organizat de Concord Communication pe data de 12 Octombrie 2017 la sediul Mușat & Asociații poate fi citită în articolul ”O amplă reuniune de forțe la cel mai important eveniment dezbatere dedicat GDPR”.

Sursă fotografii: Concord Communiction

Advertisements

GDPR explicitat (2): Ce sunt datele personale?

AU MAI RĂMAS 324 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

După o serie de articole introductive intitulate ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” și ”GDPR Prima sursa de informare Portalul UE”, am demarat publicarea unor conținuturi exploratorii în care analizăm și comentăm principalele prevederi ale noului regulament din perspectiva operatorilor de date personale.

În primul articol din această nouă serie am scris despre ”Cine și Unde se va supune noului regulament?”, prezentând definiții ale operatorilor și procesatorilor de date, precum și principalele elemente de noutate privitoare la extinderea ariei geografice de aplicare a prevederilor EU 2016/679. În continuare vom vedea care sunt datele personale care se supun prevederilor noului regulament și care sunt categoriile de date considerate sensibile.

Care sunt datele cu caracter personal?

Problema esențială a oricărei companii este felul în care se raportează la GDPR, iar prima întrebare logică în orice analiză internă este: care sunt datele cu caracter personal pe care le controlăm sau prelucrăm și în ce măsură trebuie să ne concentrăm pe aceste date.

În ”Art.2: Domeniul de aplicare material” se explicitează că ”Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidentă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidentă a datelor.”

Prima întrebare logică este ce înțelege UE prin ”date cu caracter personal”? Răspunsul îl găsim chiar la începutul ”Art.4: Definiții”: “date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă (“persoana vizată”)”. Adică, ”o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

Cu alte cuvinte, ”persoana vizată ” – poate fi definită ca elementul principal pe care este construit întregul mecanism GDPR. Este chiar persoana fizică ale căror date cu caracter personal sunt supuse prelucrării. Prin persoană fizică se înțelege orice individ în viață, care conform ”Art.1: Obiect și obiective” are dreptul la:

  • Protecția datelor cu caracter personal
  • Protecția prelucrării datelor cu caracter personal
  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Mergând mai departe, putem extrage din contextul definiției de mai sus și o descriere a datelor cu caracter personal la care se face referire în Art.1: ”Date cu caracter personal” trebuie considerate acele informații despre o persoană identificabilă care se referă la nume, un număr de identificare (CNP, Card de Identitate, Certificat de Naștere, Pașaport, Permis de conducere, Card asigurări sociale, etc), date de localizare, un identificator online (o adresă IP de exemplu), sau unul sau mai multe elemente specifice, proprii identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Nu se specifică cu claritate, dar multe legislații europene sau din SUA consideră genul (bărbat, femeie) ca informație personală confidențială pe care nu ești obligat să o declari atunci când trebuie să completezi diferite chestionare sociale sau comerciale.

Care ar fi elementele de noutate față de legislația existentă? Făcând o comparație pe texte, în Legea 677/ 2001 Art.3 (a) definiția este puțin mai simplă: ”o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale”. Noua definiție extinde aria de acoperire a ”numărului de identificare”, definit acum ca ”element de identificare” și din care pot face parte ”un nume, un număr de identificare, date de localizare sau un identificator online”.

Așa cum se arată chiar de la primele două Specificații din textul Regulamentului EU 2016/679, nu trebuie să omitem faptul că toată filosofia GDPR este construită pe drepturile fundamentale ale omului. Art.8, alin.1 din ”Carta drepturilor fundamentale a Uniunii Europene” şi Art.16, alin.1 din ”Tratatul privind funcţionarea Uniunii Europene” prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc. Mai mult de atât, principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul la protecţia datelor cu caracter personal.

”Prezentul regulament urmăreşte să contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, la consolidarea şi convergenţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice.”  Considerentul nr.2 din Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE

Am înțeles deci care pot fi datele considerate cu caracter personal care se supun GDPR. Și atunci, care sunt informațiile pentru care nu este necesară obținerea compatibilității cu noul regulament european? Tot în Art.2 ni se explică faptul că GDPR nu se aplică prelucrării datelor cu caracter personal în următoarele situații:

  • în cazul unei activități care nu intră sub incidența dreptului Uniunii Europene;
  • de către statele membre atunci când desfășoară activități care intră sub incidența Capitolului 2, Titlul V din Tratatul UE;
  • de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
  • de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice şi prevenirii acestora.

Mai rămâne să ne lămurim ce înseamnă ”prelucrarea datelor cu caracter personal”. ”Art.4 – Definiții” ne ajută și de această dată, explicându-ne: ”prelucrarea datelor înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

GDPR se aplică atât datelor cu caracter personal automatizate, cât și sistemelor de arhivare manuală în care datele personale sunt accesibile conform unor criterii specifice. Aceasta este mai largă decât definiția din Legea 677/ 2001 și ar putea include seturi de înregistrări manuale cronologice care conțin date cu caracter personal. Datele personale care au fost pseudonime – de exemplu, codificate la cheie – pot intra sub incidența GDPR în funcție de dificultatea de a atribui pseudonimul unei anumite persoane.

Tot la capitolul de definiții putem vedea și ce se înțelege prin: “restricționarea prelucrării” – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora, în timp ce “creare de profiluri” înseamnă orice formă de prelucrare automată care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanta la locul de muncă, situația economică, sănătatea, preferințele, personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.

Care sunt datele personale sensibile?

GDPR se referă la datele personale sensibile ca la “categorii speciale de date cu caracter personal“. De cele mai multe ori categoriile speciale includ în mod specific date genetice și date biometrice, în cazul în care sunt procesate pentru a identifica în mod unic o persoană. Este destul de comun faptul că datele sau categoriile de date sensibile sunt asociate unor excepții de la aplicarea GDPR sau a unor situații speciale.

În Art.9: ”Prelucrarea de categorii speciale de date cu caracter personal”, în primul alineat se spune că ”se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.”

O încadrare clară și concisă a situațiilor speciale. Totul se complică destul de mult când încep să fie enumerate excepțiile de la aceste interdicții, multe dependente de dreptul intern al statelor membre. Iată câteva dintre aceste excepții într-o trecere în revistă succintă:

  • operatorul are consimțământul explicit din partea persoanei vizate pentru unul sau mai multe scopuri specifice;
  • prelucrări autorizate în domeniul ocupării forţei de muncă, al securităţii sociale şi protecţiei sociale;
  • protejarea intereselor vitale atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
  • activităţi legitime şi garantate ale unor fundații sau asociaţii, dar numai pentru membrii organismului respectiv;
  • persoanele vizate fac publice în mod manifest date cu caracter personal;
  • constatarea, exercitarea sau apărarea unui drept în instanţă;
  • motive de interes public major;
  • scopuri legate de medicina muncii, stabilirea unui diagnostic medical, furnizarea de asistenţă medicală sau socială sau gestionarea sistemelor de sănătate sau asistenţă socială;
  • motive de interes public în domeniul sănătăţii publice;
  • scopuri de arhivare în interes public, cercetare ştiinţifică, istorică sau statistică.

O altă categorie specială de informații se referă la datele personale asociate unor condamnări penale, infracţiuni sau măsuri speciale de Securitate. Așa cum prevede Art.10: ”Prelucrarea de date cu caracter personal referitoare la condamnări penale şi infracţiuni” se face numai sub controlul unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern și se aplică garanții suplimentare.

În fine, o precizare care ține de situații destul de întâlnite în realitate. În Considerentul 27 se specifică faptul că GDPR ”nu se aplică datelor cu caracter personal referitoare la persoane decedate.” Statele membre pot să prevadă norme speciale privitoare la această categorie de date.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul articol ne vom ocupa de Principiile GDPR.

Articole anterioare:

GDPR explicitat (1): Cine se va supune noului regulament și Unde?

AU MAI RĂMAS: 328 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Inițiativa GDPR Ready! își propune să vă ofere accesul deschis la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

După o serie de articole introductive intitulate ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” și ”GDPR Prima sursa de informare Portalul UE” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolele menționate am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), respectiv o prezentare a sursei de informare primară: Portalul General Data Protection Regulation, administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Acestea au fost informațiile generale. Vom continua acum cu o serie de analize și comentarii pe textele extrase din legislația oficială, menite să clarifice acele aspecte practice și de fond pe care orice operator sau procesator de date trebuie să le ia în considerație.

Cine trebuie să fie compatibil GDPR?

Este o întrebare esențială pentru orice companie care vrea să vadă în ce măsură activitățile de prelucrare a datelor personale pe care le derulează se aliniază sau nu cu prevederile noului regulament european.

Potrivit EU 2016/ 679, noile reguli GDPR se aplică “controlorilor/ operatorilor” și “procesatorilor” de date. Cum se definesc aceste noțiuni? Potrivit Art.4, Par.7-10, părțile implicate într-un proces de prelucrare a datelor personale sunt definite astfel:

“operator sau controlor” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care – singur sau împreună cu altele – stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite print-o prevedere a Uniunii Europene sau o prevedere a legislației naționale, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul UE sau în dreptul intern;

“procesator” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului, printr-o împuterncire de partea acestuia;

“destinatar sau recipient” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate date cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul UE sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;

“parte terţă” – o persoană fizică sau juridică, autoritate publică, agenţie sau organism, altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Dar ce se înțelege prin ”persoana vizată”? Pentru acest termen nu am găsit o definiție explicită în Regulament, dar putem presupune în mod implicit că:

persoana vizată ” – este persoana fizică ale căror date personale sunt supuse prelucrării. Adică este chiar persoana pentru care a fost construit întregul mecanism GDPR. Prin persoană fizică se înțelege orice individ în viața, care conform Art.1 are dreptul la:

  • Protecția datelor cu caracter personal
  • Protecția prelucrării datelor cu caracter personal
  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Revenind la noțiunile de operator și procesator, dacă sunteți un operator de date personale GDPR preia vechile obligații legale specifice activității derulate, venind cu noi cerințe precum:

  • obligativitatea de a păstra evidența datelor cu caracter personal și a activităților de procesare
  • răspundere juridică semnificativă dacă sunteți responsabil pentru o încălcare.

Rețineți că un operator nu este scutit de obligații în cazul în care colaborează cu un procesator de date.

Care este acoperirea geografică a GDPR?

Una dintre noutățile regulamentului o constituie extinderea ariei geografice de aplicabilitate. Noile reglementări nu se aplică numai prelucrărilor efectuate de organizații care operează în cadrul UE, ci sunt extinse și asupra oricărei organizații din afara UE care oferă bunuri sau servicii persoanelor fizice din UE.

Conform Art.3 – Domeniul de aplicare teritorial, noul regulament ”se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.”

Ce fel de activități de prelucrare sunt supuse acestor reguli? GDPR se aplică ”prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată;
  • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

Totodată, regulamentul se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

O mai bună explicitare despre prevederile Art.3 pot fi găsite în considerentele publicate în prima parte a documentului oficial EU 2016/679, unde se spune că:

Considerentul 22: ”Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul unor înţelegeri stabile. Forma juridică a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privinţă.”

Considerentul 23: ”Pentru a se asigura că persoanele fizice nu sunt lipsite de protecţia la care au dreptul (…) prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenţionează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este insuficient pentru a confirma o astfel de intenţie.”

Considerentul 24: ”Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca “monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şi atitudinile acesteia.”

Considerentul 25: ”În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional

public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.”

Vom continua explicitarea GDPR în articolele următoare. Urmăriți articolele și activitățile derulate în cadrul inițiativei GDPR Ready!

Articole anterioare:

%d bloggers like this: