GDPR sau Regulamentul UE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal

Începând cu data de 25 mai 2018 se va aplica în toată Uniunea Europeană Regulamentul UE nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016  privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (”Regulamentul”) sau, pe scurt, GDPR (General Data Protection Regulation).

Regulamentul are ca și scop principal crearea unui cadru unitar de reglementare a protecției datelor cu caracter personal la nivelul Uniunii Europene, cadru propice epocii digitale în care ne aflăm.

Una dintre principalele modificări în materia datelor cu caracter personal este extinderea semnificativă a competenței teritoriale de aplicare a reglementărilor Uniunii Europene în domeniul datelor cu caracter personal.

În acest sens, arătăm că Regulamentul se va aplica prelucrării datelor cu caracter personal „în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii”, indiferent dacă prelucrarea efectivă are loc pe teritoriul Uniunii Europene sau extra-comunitar.

Totodată, Regulamentul se va aplica operatorilor stabiliţi în afara UE în măsura în care bunurile şi/sau serviciile acestora sunt adresate persoanelor aflate pe teritoriul UE sau în măsura în care prelucrarea de date efectuată presupune monitorizarea comportamentului persoanelor aflate pe teritoriul UE.

O altă modificare importantă în materia datelor cu caracter personal este faptul că Regulamentul accentuează responsabilitatea operatorilor care prelucrează date personale, simplificând, în acelaşi timp, formalităţile administrative pe care aceştia trebuie să le parcurgă.

Prin aplicarea GDPR se renunță la obligația generală a operatorilor de a notifica în prealabil autorității de supraveghere activitățile de prelucrare a datelor cu caracter personal. Această obligație este înlocuită cu proceduri și mecanisme eficace care să pună accentul, în schimb, pe acele tipuri de operațiuni de prelucrare susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Astfel, Regulamentul impune operatorului obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate în concordanță cu riscurile pe care le presupune prelucrarea și cu categoria datelor cu caracter personal care trebuie protejate.

GDPR impune operatorilor de date obligația de a notifica autorității de supraveghere cazurile de încălcare a securității datelor cu caracter personal

În cazul în care există situații în care securitatea datelor cu caracter personal a fost încălcată, operatorii de date vor avea obligația de a notifica autoritatea de supraveghere în termen de cel mult 72 de ore de la data la care au luat cunoștință de acea încălcare. Obligația de notificare nu subzistă în ipoteza în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.

Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal și a vieții private a persoanei vizate, operatorul are obligația de a informa și persoana vizată, fără întârzieri nejustificate.

Prin intermediul GDPR se consolidează drepturile garantate ale persoanelor vizate precum :
  • dreptul de acces a persoanelor vizate la datele cu caracter personal prelucrate

În acest sens, Regulamentul permite persoanelor vizate să obţină de la operator informaţii mai clare cu privire la scopul şi temeiul legal în care se prelucrează datele personale, perioada de stocare a acestora şi drepturile de care beneficiază. În plus, operatorul furnizează gratuit o copie a datelor cu caracter personal într-un format electronic.

  • dreptul la rectificarea datelor cu caracter personal

Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

  • dreptul de ”a fi uitat”

Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge aceste date fără întârzieri nejustificate în cazul în care (a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost inițial colectate sau prelucrate, (b) persoana vizată își retrage consimțământul și nu există niciun alt temei juridic pentru contiuarea prelucrării, (c) persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea datelor, (d) datele cu caracter personal au fost prelucrate ilegal, (e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul sau (f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale.

  • dreptul la restricționarea prelucrării

Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se contestă exactitatea datelor sau prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor.

  • dreptul la portabilitatea datelor

GDPR introduce dreptul persoanei vizate de a transfera datele cu caracter personal care o privesc către un alt operator. În exercitarea dreptului său, persoana vizată are inclusiv dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

GDPR impune anumite condiții privind obținerea consimțământului persoanei vizate cu privire la prelucrarea datelor cu caracter personal

Sub egida noilor dispoziții, consimțământul trebuie acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal.

Consimțământul trebuie să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. Important este și faptul că persoana vizată își poate retrage oricând consimțământul acordat inițial.

Element de noutate constituie și faptul că indiferent de forma prin care consimțământul este manifestat, operatorii trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor personale.

GDPR prevede situațiile în care numirea unui responsabil cu protecția datelor cu caracter personal (Data Protection Officer) este obligatorie

Astfel, în cazul în care (i) prelucrarea este efectuată de o autoritate sau un organism public, (ii) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura lor, domeniul de aplicare și/sau scopul lor, necesită monitorizarea periodică și sistematică a persoanelor vizate pe scară largă sau (iii) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, operatorii au obligația de a numi un responsabil cu protecția datelor cu caracter personal. Responsabilul cu protecția datelor cu caracter personal va putea fi un angajat sau un prestator extern de servicii și va răspunde în mod direct în fața conducerii operatorului.

Prin GDPR sunt instituite sancţiuni severe : până la 10 – 20 milioane de euro sau între 2% şi 4%  din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.

Pentru încălcarea Regulamentului operatorii de date vor putea fi amendați cu sume de până la 10 – 20 de milioane euro sau  între 2 și 4% din cifra de afaceri la nivel internațional.

Sancțiunea va fi individualizată în funcție de anumite criterii, cum ar fi: natura, gravitatea și durata încălcării, dacă încălcarea a fost comisă intenționat sau din neglijență, gradul de responsabilitate a operatorului de date, măsurile și procedurile tehnice și organizatorice puse în aplicare, gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării, categoriile de date cu caracter personal afectate de încălcare.

Regulamentul reprezintă o modificare substanțială a cadrului de reglementare a protecției datelor cu caracter personal, iar operatorii trebuie să se pregătească în mod intens pentru intrarea în vigoare a  Regulamentului prin :

  • adoptarea și implementarea unor politici și proceduri cu privire la prelucrarea datelor cu caracter personal,
  • adoptarea și implementarea unor mecanisme adecvate atenuării riscurilor încălcării securității protecției datelor cu caracter personal, cum ar fi criptarea datelor,
  • revizuirea contractelor încheiate,
  • evaluarea necesității numirii unui responsabil cu protecția datelor cu caracter personal.

Aflați mai multe multe informații despre impactul pe care GDPR îl pot avea în cazul dvs., prin stabilirea unei întâlniri cu unul dintre specialiștii noștrii.

 Av. Ruxandra SIMIONESCU | Senior Partner BRANCOV SIMIONESCU TODOR S.C.A.