PROTECŢIA DATELOR CU CARACTER PERSONAL ŞI REFORMA CADRULUI LEGISLATIV – consilier juridic FILIP Gabriela Alexandra

0
4591

Introducere

Integrarea economică și socială care rezultă din funcționarea pieței interne a condus la o creștere substanțială a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal între actori publici și privați, inclusiv persoane fizice, asociații și întreprinderi, s-a intensificat în întreaga Uniune Europeană (Uniune).

Conform dreptului Uniunii, autoritățile naționale din Statele membre sunt chemate să coopereze și să facă schimb de date cu caracter personal pentru a putea să își îndeplinească atribuțiile sau să execute sarcini în numele unei autorități dintr-un alt Stat membru.

Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal, permiţâand atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor.

Tehnologia a transformat deopotrivă economia și viața socială și ar trebui să faciliteze în continuare libera circulație a datelor cu caracter personal în cadrul Uniunii și transferul către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a acestor date.

Cap.I. Imperativitatea protecţiei datelor cu caracter personal în contextul noilor reglementări normative

Nu există nicio îndoială că legislația în vigoare nu a ținut pasul cu capacitățile tehnologice din prezent, generând trei provocări fundamentale pentru legislaţia privind protecția datelor cu caracter personal.

În primul rând, majoritatea datelor nu mai sunt stocate într-o bază de date structurată ci se compun din informații electronice nestructurate cum ar fi e-mail-uri, mesaje sau fotografii, astfel aplicarea legilor tradiționale de protecție a datelor la date nestructurate este o adevarată provocare.

În al doilea rând, a existat o creştere explozivă a volumului de date, mai multe date fiind create în ultimii doi ani, decât în întreaga istorie anterioară.

În al treilea rând, datele nu mai respectă granițele naționale, Internetul permițând informațiilor să circule în jurul lumii cu ușurință și instantaneu.

Toate acestea au impus existenţa unui cadru solid și mai coerent în materie de protecție a datelor în Uniune, însoțit de o aplicare riguroasă a normelor, luând în considerare importanța creării unui climat de încredere care să permită economiei digitale să se dezvolte pe piața internă. Securitatea juridică și practică pentru persoanele fizice, pentru operatorii economici și autoritățile publice ar trebui să fie consolidată.

Astfel, în data de 4 mai 2016 au fost publicate în Jurnalul Oficial al Uniunii Europene cele două acte normative care compun pachetul legislativ privind protecţia datelor la nivelul Uniunii Europene: Regulamentul (UE) 2016/679, de aplicabilitate generală şi Directiva (UE) 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii.

Principiile fundamentale şi obiectivele Directivei nr. 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995  rămân aceleaşi. Regulamentul (UE) 2016/679 actualizează principiile stabilite încă de acum două decenii de Directiva 95/46/CE şi aduce garanţii suplimentare pentru a consolida dreptul la viaţă privată în noua „eră digitală”, prevederile aplicându–se în mod direct în toate Statele membre ale Uniunii Europene, începând cu data de 25 mai 2018.

În ceea ce privește prevederile Directivei (UE) 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii, Statele membre ale Uniunii vor avea, de asemenea, la dispoziţie un termen de doi ani pentru a le transpune în dreptul intern.

Reglementarea unitară a protecţiei datelor cu caracter personal

           Diferenţele sociale și culturale privind protecția datelor sunt la fel de importante, multe dintre aspectele Regulamentului bazându-se pe principii care satisfac un domeniu cât mai vast în ceea ce priveşte prelucrarea și probabilitatea unei schimbări tehnologice rapide. Interpretarea conceptelor dificile, depinde parțial de atitudinea față de viața privată și valorile sociale; ceea ce este considerat ca fiind „echitabil” în Stockholm, nu poate fi, de asemenea, considerat ca fiind „echitabil” la Madrid.

Acest aspect a fost observat de legiuitorul european şi întrucat Statele membre au înţeles să transpună diferit prevederile, s-a decis adoptarea Regulamentului, ca act normativ cu aplicabilitate directă în ordinea juridică a Statelor membre, fără a fi necesară o lege de transpunere a prevederilor sale la nivel naţional[1]. Se poate traduce printr-o reglementare unitară a datelor cu caracter personal la nivelul Uniunii Europene.

Totuşi, prezentul Regulament prevede specificări sau restricționări ale normelor sale de către dreptul intern, Statele membre pot să încorporeze elemente din prezentul Regulament în dreptul lor intern, în măsura în care acest lucru este necesar pentru coerență și pentru a asigura înțelegerea dispozițiilor naționale de către persoanele cărora li se aplică acestea.

Statele membre pot adopta legi care să modifice anumite obligații în temeiul Regulamentului. Cele mai importante derogări sunt prezentate mai jos:

  • Copii – Statele membre pot reduce vârsta la care un copil poate să işi dea consimțământul valabil on-line de la 16 la 13 ani.
  • Ofițerii de protecție a datelor – Statele membre pot face numirea unui responsabil cu protecția datelor, cu caracter obligatoriu.
  • Ocuparea unui loc de muncă – Statele membre pot introduce restricții suplimentare privind prelucrarea datelor angajaților.
  • Securitatea națională – Statele membre pot adopta legi pentru a limita drepturile în temeiul Regulamentului, în domenii precum securitatea națională, criminalitatea și procedurile judiciare.
  • Libertatea de informare – Statele membre pot modifica Regulamentul pentru a armoniza protecția datelor cu libertatea de informare, pentru a proteja informațiile care fac obiectul secretului profesional și de a limita prelucrarea numerelor de identificare naționale.Mai mult decât atât, un număr mare de activități de prelucrare depind de legislația națională din Statele membre:
  • Condiții de prelucrare – o justificare pentru prelucrarea datelor cu caracter personal este în cazul în care acesta este în concordanță cu o obligație din partea Uniunii sau a unui Statmembru . Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului Regulament în ceea ce priveștc condiţiile de prelucrare.
  • Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni – prelucrarea informațiilor cu privire la infracțiuni este permisă numai în cazul în care este autorizată de legislația Uniunii sau a Statului membru (sau sub controlul unei autorități de stat).
  • Dreptul la ștergerea datelor („dreptul de a fi uitat”) – Dreptul de a fi uitat nu se aplică în cazul în care prelucrarea este necesară pentru respectarea unei obligații legale în temeiul dreptului Uniunii sau al unui Stat membru.
  • Transferuri internaționale – Un interes public recunoscut în conformitate cu legislația Statului membru poate constitui o bază pentru a transfera date cu caracter personal în afara Uniunii. De asemenea, Statele membre pot introduce restricții suplimentare privind transferurile.

Aceste derogări naționale precum interacțiunea cu legislația altor State membre, reprezintă un efect al Regulamentului, respectiv cel al faptului că legislaţia nu va fi pe deplin armonizată în întreaga Uniune.

Cu toate că Regulamentul a fost publicat, există încă incertitudini cu privire la ceea ce înseamnă. Unele dispoziții sunt “resimţite”, mai degrabă, ca fiind produsul unui compromis politic, decât intenția de reglementare clară.

Astfel, Grupul de lucru – Articolul 29, a elaborat un plan de lucru care stabilește patru domenii prioritare pentru orientare[2]:

  • noul drept de „portabilitate a datelor” – există mai multă libertate de alegere, putându-se opta pentru transmiterea de date la un alt operator;
  • noțiunea de „risc ridicat” și evaluări ale impactului asupra vieții private;
  • certificare;
  • rolul ofițerului de protecție a datelor.

Principii legate de prelucrarea datelor cu caracter personal – art. 5 RGPD

  1. Prelucrare în mod legal, echitabil și transparent: Datele personale trebuie prelucrate în mod legal, corect și într – un în mod transparent în raport cu persoana vizată.
  2. Colectare și procesare în scopuri determinate, explicite și legitime: Datele cu caracter personal trebuie colectate în scopuri determinate, explicite și legitime și nu trebuie prelucrate într-un mod incompatibil cu aceste scopuri. Procesarea ulterioară a datelor cu caracter personal în scopul arhivării în interes public, sau scopuri științifice și istorice de cercetare sau în scopuri statistice, nu sunt considerate a fi incompatibile cu scopuri de prelucrare originale. Cu toate acestea, condițiile prevăzute la articol  89 (1) (care prevede garanții și derogări în ceea ce privește la prelucrare în astfel de scopuri) trebuie îndeplinite.
  3. Adecvarea, relevanța și limitarea la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele cu caracter personal
  4. Corectitudinea și actualizarea datelor : Datele personale trebuie să fie corecte și, dacă este necesar, să fie păstrate la zi; trebuie luate toate măsurile necesare ca datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, vor fi șterse sau rectificate fără întârziere.
  5. Retenția doar pe perioada de timp necesară : Datele personale trebuie păstrate într-o formă care să permită identificarea persoanelor vizate nu mai mult decât este necesar pentru scopurile pentru care sunt procesate datele cu caracter personal. Datele cu caracter personal pot fi stocate pentru perioade mai îndelungate, în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, sau scopuri științifice și istorice de cercetare sau în scopuri statistice, în conformitate cu prevedrile articolul 89 alineatele (1) și (2)sub rezerva punerii în aplicare a unor măsuri tehnice și organizatorice adecvate.
  6. Procesate de o manieră adecvată pentru asigurarea securității și integrității acestora : Datele cu caracter personal trebuie să fie prelucrate într-un mod care să asigure securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva procesării neautorizate sau ilegale și împotriva pierderi accidentale, distrugeri sau deteriorări, utilizând corespunzător măsuri tehnice sau organizatorice.

 

PRELUCRARE[3] =

Cadrul normativ implementat la nivel naţional în domeniul protecţiei datelor cu caracter personal 

În prezent, in România, protecţia datelor cu caracter personal este reglementată, în principal, prin Legea nr. 677 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Acest act normativ implementează la nivel naţional prevederile Directivei nr. 95/46/CE[4], care deși excludeau din cadrul sferei de aplicare, domeniul dreptului penal, legiuitorul român a înțeles prin Legea nr. 677/2001 să extindă domeniul de aplicare al protecţiei datelor cu caracter personal şi în ceea ce priveşte prelucrările de date din domeniul dreptului penal.

Cu toate acestea, în domeniul dreptului penal a fost adoptată şi Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice prin care a fost adoptată Decizia –cadru 2008/977/JAI privind protecţia datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare în materie penală.

Întrucât delimitarea domeniului de aplicare a Legii nr. 677/2001 faţă de Legea 238/2009 poate fi susceptibilă de a crea dificultăţi în activitatatea de interpretare şi aplicare a legii, s-a considerat necesară elaborarea unor norme detaliate şi unitare la nivel european pentru armonizarea nivelului de protecţie a datelor din cadrul legislaţiilor naţionale ale Statelor membre.

Astfel că, o dată cu Regulamentul general privind protecţia datelor, legiuitorul european a adoptat şi Directiva (UE) 2016/680 privind protecţia persoanelor fizice referitoare la prelucrarea datelor cu caracter personal de către autoritaţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executărilor pedepselor şi libera circulaţie a acestor date.

 

Cap.II. Aspecte de noutate – modernizarea cadrului normativ în domeniul protecţiei datelor  

Transparenţă şi consimţământ

Astfel, clarificarea noţiunii deconsimţământ este una dintre modificările de substanţă în ceea ce priveşte drepturile persoanei vizate. Potrivit Regulamentului, prelucrarea datelor cu caracter personal se va realiza în baza consimţământului persoanei vizate, operatorul fiind obligat să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale. Mai mult, sunt stabilite şi criterii de apreciere a libertăţii consimţământului, fiind reglementată posibilitatea persoanei vizate de a-şi retracta consimţământul cu privire la prelucrarea datelor cu caracter personal, precum şi efectele acestei retractări.

Condițiile de obținere a consimțământului au devenit mai stricte:

  • persoana vizată trebuie să aibă dreptul de a retrage consimțământul în orice moment; și
  • să există o prezumție că acordul nu va fi valabil decât dacă, el se obţine separat pentru o prelucrare diferită.

Consimțământul nu este singurul mecanism care justifică procesarea  de date cu caracter personal. Concepte precum necesitatea contractuală, respectarea unei obligații legale (a unui stat membru sau a unui stat membru UE) sau prelucrarea necesară pentru interesele legitime rămân disponibile.

Transparenţă – Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar. Regulamentul combină diversele obligații privind transparența  care se aplică în întreaga UE. Lista de informații care trebuie furnizate este de 6 pagini conform Regulament General privind Protecția Datelor (RGPD) şi totuși, controlorii de date trebuie să atingă ceea ce nu au reușit să facă și nu au făcut legiuitorii UE, trebuie să furnizeze informații într-un mod concis, transparent, inteligibil și ușor accesibil. Utilizarea „icon-urilor” standard este pusă în mișcare de către RGPD, iar Comisia are posibilitatea de a alege să le introducă prin intermediul actelor delegate, într-o etapă ulterioară. 

Copii şi consimţământul

Legiuitorul european a considerat necesară adoptarea unor prevederi specifice referioare la minori, reglementând astfel condiţiile de legalitate a consimţământului persoanei vizate în ipoteza în care acesta este un minor.

Copiii sub vârsta de 13 ani nu pot da, accepta, ei înșiși prelucrarea datelor lor cu caracter personal în legătură cu serviciile online.

Pentru copiii cu vârste cuprinse între 13 și 15 ani (inclusiv) regula generală este că, în situaţia în care ă o organizație solicită consimțământul de a prelucra datele lor personale,  atunci consimțământul părinților este obligatoriu, cu excepția cazului în care statul membru în cauză respectiv legislația de a reduce pragul de vârstă – deși pragul nu poate scădea sub 13 ani.

Copiii în vârstă de 16 ani sau mai mari pot da consimțământul pentru prelucrarea propriilor date personale. Nu există reguli specifice privind acordul părinților pentru  prelucrarea datelor offline: aplicându-se  reglementările „obişnuite” ale statelor membre privind capacitatea.

Date personale – date sensibile ( „categorii speciale de date”)

Regulamentul se aplică datelor care provin de la un individ în viaţă ce poate fi identificat sau identificabil (de către oricine), direct sau indirect.

Recomandările RGPD evidențiază faptul că anumite categorii de date online pot fi personale – identificatori on-line, identificatori de dispozitive, ID-urile cookie și adresele IP .

 În octombrie 2016, Curtea de Justiție a Uniunii Europene (CJEU) a oferit claritatea mult așteptată cu privire la statul dinamic al  adresei IP  în cazul lui Patrick Breyer / Germania  (C-582/14), considerând că o adresă IP reprezintă dată cu caracter personal atunci când se deține de un ISP, dar nu constituie dată cu caracter personal dacă este deținută de o entitate care nu are „mijloacele ce ar putea fi folosite  în mod rezonabil pentru identificarea individuală”.

Interesant este faptul că CJEU nu a făcut referire la orientările Grupului de lucru Articolul 29, potrivit cărora identificatori unici care „permit persoanelor vizate să fie  identificate în  scopul urmăririi comportamentului utilizatorului în timpul  navigării pe diferite  site-uri web ” sunt date cu caracter personal (Aviz 188).

Categorii speciale de date” (numite adesea date sensibile) sunt reținute și extinse cu scopul de  a acoperi datele genetice și date biometrice. Ca și în cazul directivei actuale privind protecția datelor,  prelucrarea acestor date este supusă unor măsuri mai stricte decât în cazul altor date cu caracter personal.

Pseudonimizarea

Un alt element de noutate, prevăzut de Regulament se referă la tehnica de procesare a datele personale, astfel încât să nu se mai poată atribui un anumit „subiect de date” fără a utiliza informații suplimentare, informatţii ce trebuie păstrate separat și supuse unor măsuri tehnice și organizatorice pentru a asigura neaplicarea.

Informații pseudonimizate sunt încă o formă de date cu caracter personal, dar se încurajează utilizarea pseudonimizării, de exemplu:

  • este un factor care trebuie luat în considerare atunci când se determină dacă prelucrarea este „incompatibilă” cu scopurile pentru care datele cu caracter personal au fost inițial colectate și procesate;
  • este inclus ca un exemplu al unei tehnici care poate îndeplini  cerințele pentru punerea în aplicare a conceptelor ” privacy by design and by default”;
  • poate contribui la îndeplinirea cerinţelor de securitate a datelor, prevăzute în RGPD;
  • pentru organizațiile care doresc să utilizeze date personale pentru istoric sau cercetări științifice sau în scopuri statistice, utilizarea  datele pseudonime este esenţială.

Datele cu caracter personal – comunicarea încălcării

Noul Regulament introduce un cadru de comunicare privind încălcarea securității, pentru toți operatorii de date, indiferent de sectorul în care aceştia operează.

Obligativitatea notificării (către autoritățile de supraveghere și subiecților vizaţi) poate fi declanşată de „distrugerea accidentală sau ilegală, pierderea, modificarea, dezvăluirea sau accesarea neautorizată a datelelo personale„.

Protecția datelor prin design /responsabilitate

Organizațiile trebuie să poată demonstra conformitatea acestora cu principiile RGPD, inclusiv prin adoptarea anumitor „Măsuri de protecție a datelor prin „design” (de exemplu, utilizarea tehnicileor de pseudonimizare), prin programe de formare a personalului și prin adoptarea de politici și proceduri adecvate.

În cazul în care va avea loc o prelucrare cu risc ridicat (cum ar fi monitorizarea  activități, evaluări sistematice sau procesări speciale ale unor categorii de date), trebuie să fie efectuată o evaluare detaliată a impactului asupra vieții private („PIA”).

În cazul în care o evaluare ”PIA” are ca rezultat concluzia că există într-adevăr un nivel de risc ridicat pentru persoanele vizate, controlorii trebuie să notifice supraveghetorul și să obțină punctul de vedere asupra caracterului adecvat al măsurilor  propuse de evaluarea PIA pentru a reduce riscurile de prelucrare.

Contorlorii şi cei care proceseză date cu caracter personal, pot decide să numească un Ofițer pentru protecția datelor (DPO). Acest lucru este obligatoriu pentru organismele sectorului public implicate în anumite procese sensibile de prelucrare sau activități de monitorizare precum şi în cazul în care legislația naţională impune o astfel de numire (de exemplu, legea germană va continua să solicite acest lucru şi după luna mai 2018).

Reglementarea expresă a “dreptului de a fi uitat” şi a”dreptului la portabilitate”

Regulamentul consolidează drepturile garantate persoanelor vizate, asigurându-le acestora posibilitatea de a obţine informaţii clare şi cuprinzătoare cu privire la scopul şi modul în care le sunt prelucrate datele personale, precum şi exprimând într-o manieră mai clară dreptul de a fi uitat sau de a se opune anumitor activităţi de prelucrare sau decizii luate prin procese automatizate. Totodată, Regulamentul prevede şi un drept nou, respectiv dreptul la portabilitatea datelor – mai exact posibilitatea persoanei vizate de a-şi transfera în totalitate datele pe care le-a furnizat într-un format structurat, la un alt operator de date, oferindu-i astfel un mai bun control asupra modului în care aceste date sunt prelucrate.

Autoritățile de supraveghere şi Comitetul european pentru protecția datelor ( EDPB )

                 Autoritățile de reglementare din domeniul protecției datelor cu caracter personal sunt denumite autorități de supraveghere.

                 O singură autoritate principală de supraveghere situată în statul membru, stat în care o organizație își are sediul „principal” va reglementa conformitatea acestei organizații cu RGPD.

                 Se va crea un Comitet european pentru protecția datelor (EDPB- European Data Protection Board), care va emite opinii cu privire la anumite aspecte  precum și în soluționarea litigiilor ce decurg din deciziile autorităţilor de  supraveghere.

Aplicarea extrateritorială  

               Comparativ cu Directiva 95/46/CE privind protecţia datelor, RGPD încearcă să extindă domeniul de aplicare al legislației UE privind protecția datelor şi în ciuda faptului că este un regulament, va  permite Statelor membre să legifereze în multe domenii.

Regulamentul se aplică în primul rând operatorilor stabiliţi în Uniune, ceea ce înseamnă o unitate în exercitarea efectivă și reală a activității prin acorduri stabile în Uniune, forma juridică a unității nefiind un factor determinant, putand fi o sucursală sau o filială.

Astfel, în cazul procesărilor trasnfrontaliere, Regulamentul simplifică semnificativ situaţia grupurilor cu filiale în mai multe State membre, acestea putând să se adreseze unei autorităţi naţionale unice din ţara unde îşi au sediul principal.

Cu toate acestea, se va aplica, de asemenea, şi operatorilor stabiliţi în afara Uniunii, care oferă bunuri şi/sau servicii sau monitorizează persoanele aflate pe teritoriul Uniunii. Aceşti operatori de date vor trebui să respecte regulile şi principiile stabilite de Regulament şi să numească un reprezentant în Uniune, sub rezerva anumitor scutiri limitate. Reprezentantul ar trebui, astfel să accepte răspunderea pentru încălcări ale Regulamentului.

Astfel, putem afirma că una dintre cele mai importante schimbări în Regulament este cea de a extinde aria de acoperire a legislaţiei europene privind colectarea datelor cu caracter personal ale cetățenilor UE. Este important să înțelegem că noile reglementări se aplică indiferent dacă operatorul de date sau procesorul au o prezenţă fizică în UE. Din punct de vedere practic, această aplicabilitate extrateritorială înseamnă că orice furnizor de servicii de date care prelucrează datele cetățenilor dinUniune trebuie să fie conformi. Implicațiile sunt importante: orice furnizor care nu este situat sau nu are nicio prezență în Uniune este inclus. Aceasta înseamnă, de exemplu furnizorii de servicii de cloud în SUA.

Transferul datelor în afara UE

               În acest domeniu, Regulamentul elimină o prevedere intens criticată în prezent şi anume obligaţia de a obţine autorizaţie de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în cazul transferurilor de date efectuate în baza contractelor cu clauze standard sau a regulilor corporatiste obligatorii. În realitate autoritatea efectuează doar un control formal al concordanţei dintre informaţiile incluse în documentul în baza căruia are loc transferul şi cele din notificarea depusă.

În prezent, transferul de date personale în baza contractelor cu clauze standard sau a regulilor corporatiste obligatorii, trebuie să fie preautorizat de autoritatea de supraveghere competentă.

O mare parte din Regulament se referă la procesele și cadrul legislativ pentru protecția datelor, care are un impact limitat asupra strategiei tehnologiei. Cu toate acestea, unele dintre caracteristicile cheie ale Regulamentului au un impact substanțial asupra cerinţelor securității.

Astfel, în vederea unei prelucrări conforme cu prevederile Regulamentului, operatorii de date au obligaţia de a pune în aplicare măsuri tehnice şi organizatorice corespunzatoare, constând în adoptarea unor politici adecvate de protecţie a datelor:

  • pseudonimizarea pentru protecţia datelor atât în momentul stabilirii mijloacelor de prelucrare a datelor, cât şi pe parcursul procesării;
  • evidenţa activităţilor de prelucrare desfăşurate;
  • notificarea autorității de supreveghere competente a oricărei încălcări a securităţii datelor cu caracter personal, în termen de cel mult 72 de ore de la data luării la cunoştinţă despre o atare încălcare;
  • desemnarea unui responsabil cu protecţia datelor.

Deşi, domeniul de aplicare a Regulamentului este limitat la datele cu caracter personal, Uniunea are o foarte largă definiţie a ceea ce reprezintă date cu caracter personal[5]. De exemplu, o adresă IP care poate identifica un dispozitiv al unui utilizator specific este considerată ca fiind dată cu caracter personal. Multe organizaţii au o slabă înțelegere a domeniului de aplicare a datelor cu caracter personal, și ineficientă (sau, mai rău nu o au) pentru a urmări utilizarea și protecția acestor date. Regulamentul se referă în mod egal la datele clienților și ale angajaților.

Aplicabilitate materială (art. 2 RGPD)

Aplicabilitate materială asupra tuturor prelucrărilor de date personale, cu excepția:

  • celor efectuate de o persoană fizică în cadrul unei activități exclusiv personale sau domestice
  • celor realizate de autoritățile competente în scopul prevenirii și combaterii infracțiunilor -Directiva 2016/680
  • activităților care nu intră sub incidența dreptului UE
  • activităților care intră sub incidența cap. 2 titlul V din Tratatul UE

Aplicabilitate teritorială (art. 3 RGPD)

  • asupra prelucrărilor efectuate de un operator sau împuternicit cu sediul în UE
  • asupra prelucrărilor de date personale ale unor persoane aflate în UE, efectuate de un operator sau împuternicit care nu e stabilit în UE, dacă:
  • se oferă bunuri sau servicii către persoane aflate în UE
  • se monitorizează comportamentul persoanelor din UE

Conformitatea continuă și de audit

Regulamentul  introduce conceptul de conformitate continuă, în care o organizație trebuie să efectueze periodic audituri de conformitate. Acest lucru înseamnă că nu o dată pe an, sau chiar o dată la fiecare șase luni, ci fără îndoială, o dată pe săptămână sau chiar zilnic. În orice moment un auditor poate solicita ca o companie să demonstreze conformitatea, iar aceasta trebuie să fie în măsură să facă acest lucru mai mult sau mai puțin imediat. Această acțiune plasează o cerință abruptă, ca o organizație să demonstreze conformitatea, și ne așteptăm ca gestionarea și colectarea jurnalelor de activitate a utilizatorilor și a datelor de acces a fi un factor-cheie pentru a dovedi o astfel de conformitate.

Introducerea obligaţiei operatorilor de date de a ţine, în format scris (inclusiv electronic), evidenţa activităţilor de prelucrare a datelor cu caracter personal aflate în responsabilitatea lor, înlocuieste procedura notificării autorităţii de supraveghere prevazuta de articolul 18 din Directiva 95/46/CE si transpusă în legislaţia naţională în articolul 22 din Legea nr. 677/2001.

Evidenţa păstrată de operator va cuprinde:

  • numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale
  • reprezentantului operatorului și ale responsabilului cu protecţia datelor;
  • scopurile prelucrării;
  • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv  destinatarii din ţări terţe sau organizaţii internaţionale;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie;
  • internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective și, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General;
  • privind Protecţia Datelor, documentaţia care dovedește existenţa unor garanţii adecvate;
  • acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menţionate la articolul 32 alineatul (1) din Regulamentul General privind Protecţia Datelor.

 Astfel, toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din  sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii prelucrărilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protecţia Datelor

Această obligaţie nu se aplică întreprinderilor sau organizaţiilor cu mai puţin de 250 de angajaţi, însă cu toate acestea operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia cartografierii  prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru  drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea  include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni.

Încălcarea securității datelor și notificarea obligatorie de încălcare

Regulamentul definește o încălcare a securității datelor ca o acțiune care duce la ” în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;.”. O încălcare gravă a securităţii datelor nu trebuie să fie neapărat cauzată de o încălcare a securității. Cu toate acestea, Uniunea consideră că o pierdere de date criptate nu constituie o încălcare a securităţii datelor, iar cele mai multe companii vor folosi această orientare ca justificare pentru criptarea a cât mai multor date, considerate necesare. Astfel o încălcare a securității nu trebuie să conducă la o încălcare a datelor, de exemplu un hacker poate umbla în rețeaua corporativă, dar poate fi în imposibilitatea de a scoate date în cazul în care acestea sunt protejate sau criptate.

Regulamentul introduce conceptul de notificări obligatorii de încălcare. Astfel, pentru aproape toate companiile din cadrul Uniunii, acest lucru va fi pentru prima dată când, prin lege, vor trebui să admită încălcări ale securității datelor. Operatorii de date cu caracter personal vor avea obligaţia de a notifica autoritatea de supraveghere în cazul încălcării securităţii datelor cu caracter personal. Regulile cu privire la notificarea autorităţilor de supraveghere devin mult mai stricte, atât din punct de vedere al timpului cât şi al conținutului informării. Dacă încălcările produse sunt de natură să genereze riscuri ridicate pentru drepturile şi libertaţile persoanelor vizate, acestea trebuie informate fără întârzieri nejustificate, de către operatori cu privire la încălcările produse.

Măsuri tehnice în vederea unei prelucrări conforme cu prevederile Regulamentului  

Vizibilitatea mărită a evaluării riscurilor, controalelor și atenuarea efectelor nu vor conduce doar la noi procese, ci și la noi tehnologii care să sprijine şi să pună  în aplicare aceste procese.

În vederea unei prelucrări conforme cu prevederile Regulamentului operatorii de date au obligaţia de a adopta măsuri tehnice adecvate atât pentru prelucrara datelor cât şi în vederea asigurării unui nivel corespunzator de securitate a acestora.

Automatizarea clasificării datelor poate rezolva această problemă fundamentală, existînd și alte abordări pentru identificarea și securizarea datelor sensibile. În plus, unele controale de bază ale securităţii vor fi îmbunătățite: accesul la informații sensibile va fi controlat mai bine, ceea ce înseamnă o identitate și un management al accesului integrat în document și in fluxurile de proces mai bune.

O serie de tehnologii vor ajuta organizațiile să realizeze conformitatea cu noua reglementare. Unele dintre cele mai evidente capabilități includ prevenirea pierderilor de date (DLP) și clasificarea acestora .

Mai multe organizații vor revizui actul normativ și vor ajunge la concluzia că cel mai sigur pariu pentru ele va fi sa cripteze toate datele cu caracter personal aflate sub controlul lor. Interesul față de tehnologiile de criptare a crescut semnificativ odată cu elaborarea inițială a Regulamentului. Principalul motiv pentru acest lucru este că, într-un caz în care datele sunt pierdute în afara organizației, dar acestea sunt criptate, acest lucru nu va constitui o încălcare a protecţiei  datelor. Acest lucru se datorează faptului că în mod corespunzător datele criptate nu sunt accesibile de către persoane neautorizate.

Cu toate acestea, criptarea nu este atât de simplă. Datele sunt deținute în mod obișnuit într-un număr de platforme și locații iar o politică de „cripteaza totul” trebuie să o acopere aceste medii eterogene. De exemplu, organizațiile ar trebui să implementeze această politică de criptare de securitate a datelor la cea mai largă scară de dispozitive și platforme, de la dispozitive iOS și Android, cloud și dispositive de stocare date, mass-media externă, la PC-uri și laptop-uri Apple Mac.

Un regim bazat pe politici de protecție a datelor, care implică criptarea atunci când este cazul, este o abordare mai inteligentă. Un astfel de regim ar cuprinde:

  • acces securizat şi criptat la date din mai multe puncte terminale dintr-o platformă de management comun, pentru ușurința administrării;
  • generarea automata a traseelor ​​de audit automate, care oferă dovada securității datelor end-to-end;
  • interdicția datelor cu caracter personal neprotejate de a părăsi organizația pe memorii flash USB sau pe alte dispositive;
  • protecția datelor de accesul nejustificat, reducând astfel riscul de încălcări interne de amenințări din interior.

Criptarea ajută la protejarea atât împotriva probabilității unei încălcări a securității, cât și impotriva consecințelor negative ale acestei încălcării, atât pentru persoanele ale căror date sunt compromise cât și pentru operatorii în ceea ce privește atenuarea obligațiilor, ca urmare a încălcării.

Managementul accesului şi identităţii

Managementului accesului şi identităţii (IAM) este o categorie importantă a tehnologiei în efectuarea conformităţii Regulamentului, deoarece printr-un IAM eficient, o organizație este în măsură să demonstreze cine are sau a avut acces la ce, de ce, când și ce au făcut cu acel acces; acesta este un principiu fundamental al protejării datelor importante. Stabilirea, controlul și gestionarea acestui sistem ar trebui să fie o sursă primară de protecție pentru toate datele sensibile. Cu alte cuvinte, o înțelegere fermă a ceea ce înseamnă: cine are acces la ce, cine a aprobat acest acces și ceea ce au făcut cu acest acces.

Componentele cheie ale IAM ce trebuie controlate, auditate și gestionate includ conturile (sau identitățile), care sunt baza pentru acces; mecanismul de autentificare – cum ar fi o parolă sau un token – care permit accesul bazat pe identități; și autorizaţii, sau “colectii” de drepturi asociate cu identitatea și invocate de activitatea de autentificare.

Aceste componente pot fi împărțite în trei categorii principale, fiecare dintre acestea fiind relevante pentru reglementare:

  • Managementul accesului: tehnologii și practici care permit utilizatorilor adecvați accesul la resurse, inclusiv aplicații, rețele și baze de date. Tehnologii care ajută la managementul accesului securizat includ: un singur “sign-on”, managementul accesului web, management al administrării parolei, autentificarea multi – factor și managementul directorial.
  • Managementul privind gestionarea contului: tehnologii și practici care controlează și monitorizează utilizarea acreditărilor administrative, inclusiv cele referitoare la aplicații, rețele, infrastructură și servere. Tehnologiile privilegiate de gestionare a contului elimină schimbul de acreditări, deleagă drepturi bazate pe rol şi nevoie, şi activitățile de audit efectuate cu acreditări.
  • Administrarea identității: Tehnologii și practici care asigură activitățile de atestare/ recertificare necesare prin reglementări și bune practici. Administrarea, în esență, asigură că oamenii potriviți au dreptul de acces la resursele potrivite în mod corect.

Această abordare “criminalistică” este importantă, deoarce în a decide gravitatea incălcării şi a nivelului amenzii aplicate, Autoritatea de Supraveghere va evalua orice deficienţă în regimul de conformitate. Firmelor care pot demonstra controale puternice de acces (pentru identitate, autentificare și autorizare), precum și o capacitate de a urmări evenimentele care au dus la încălcare, li se va acorda clemență.

Securitatea reţelei

Este tentant să credem că o protecție tradițională nu mai este necesară, sau a fost marginalizată. Cu toate acestea, rămâne situatia în care atacurile sunt mai susceptibile de a fi efectuate în rețea.

Pentru a combate provocările de  securitate aflate în creștere, organizațiile migrează departe de firewall-uri tradiționale care se concentrează numai cu privire la inspecția de pachete de statefull (SPI) la firewall-uri de ultimă generație (NGFWs). Acestea au transformat  securitatea rețelei prin oferirea unei protecții mult mai robuste împotriva amenințărilor emergente, oferind pachete de inspecție profundă (DPI), de decriptare în timp real și inspectie a sesiunilor SSL, control deplin și vizualizare a aplicării. Este important să se poată urmări activitatea în rețea, inclusiv utilizatorii sau datele de acces, traficul rețelei  precum și conținutul pachetelor de informaţii transmise.

E-mail-ul rămâne vehiculul cel mai utilizat pe scară largă pentru distribuirea datelor.  Adăugând servcii de conformitate și de criptare la soluția de securitate e-mail, va permite organizațiilor să satisfacă atât cerințele de reglementare și cât şi cele corporative. Soluția comună permite organizațiilor să identifice e-mail-ul pentru aplicarea politicii de conformitate; să  aplice mai multe politici de administrare; să monitorizeze și să raporteze cu privire la traficul de e-mail; și implicit să asigure schimbul sigur de date sensibile și confidențiale. Abordarea corectă va fi în cele din urmă soluția (sau o combinație de soluții), care să favorizeze fluxul securizat de date, care să permită angajaților să folosească dispozitive și aplicații pentru a optimiza productivitatea, cum ar fi platforme sigure de acces mobil.

Cap III. Coduri de conduită și certificare

Este încurajată elaborarea de coduri de conduită menite să contribuie la buna aplicare a prezentului Regulament (diverse sectoare de prelucrare, microîntreprinderi, IMM-uri etc.). Codurile de conduită pot fi elaborate de către autoritățile de protecție a datelor, asociații sau alte organisme care reprezintă operatorii de date.

Coduri de conduită – Elemente cheie

  • Măsura în care procesarea datelor se efectuează în mod legal și transparent
  • Interesele legitime ale operatorilor de date în contexte specifice
  • Modul în care subiecții își pot exercita drepturile
  • Modul în care interesele minorilor sunt protejate
  • Informarea publicului și a persoanelor vizate
  • Modalități de asigurare a securității procesării datelor
  • Instrucțiuni de notificarea autorităților/ persoanelor vizate în cazul încălcării securității datelor
  • Implementarea protecţiei datelor începând cu momentul conceperii şi în mod implicit
  • Soluționarea conflictelor între operatori și persoanele vizate

Certificare

  • Mecanisme de certificare, sigilii și mărci la nivelul UE
  • Necesități specifice pentru IMM-uri și microîntreprinderi
  • Existența unor garanții adecvate oferite de către operatori
  • Transferuri către țări terțe sau organizații internaționale
  • Certificarea este voluntară
  • Organismele de certificare sunt acreditate de către autoritățile de supraveghere sau Comitetul European de Protecție a Datelor (EPDB)
  • Independență și expertiză
  • Conflicte de interese
  • Acreditare pe maxim 5 ani
  • Pentru criterii aprobate de către EPDB – sigiliul European privind protecția datelor
  • Certificare–perioadă de maxim 3 ani
  • Registrual certificărilor/ sigiliilor – EPDB

Cap IV. Regimul de executare a Regulamentului

Comitetul European de Protecție a Datelor

Eficacitatea normelor juridice, în general, şi a drepturilor persoanelor vizate, în special, depinde într-o măsură considerabilă de existenţa unor mecanisme adecvate pentru punerea în aplicare a acestora. În conformitate cu legislaţia europeană privind protecţia datelor, persoana vizată trebuie să fie împuternicită în temeiul legislaţiei naţionale să îşi protejeze datele personale. De asemenea, trebuie înfiinţate autorităţi independente de supraveghere, conform legislaţiei naţionale, care să asiste persoanele vizate în exercitarea drepturilor lor şi pentru a supraveghea procesul de prelucrare a datelor cu caracter personal.

Comitetul European de Protecție a Datelor va înlocui articolul 29, care este supravegherea curentă a unui organism. Comitetul va cuprinde șeful autorității de supraveghere al fiecărui Stat membru și Autoritatea Europeană pentru Protecția Datelor. Scopul principal al Comitetului este să asigure aplicarea consecventă a Regulamentului în toate cele 28 de State membre. De asemenea, va emite orientări, recomandări și cele mai bune practici de distribuiţie a companiilor prin intermediul Autorităților de Supraveghere.

Autoritatea de Supraveghere

Fiecare Stat membru al Uniunii va avea o Autoritate de Supraveghere. Toate țările Uniunii au organisme care deja îndeplinesc funcțiile generale ale unei Autoritati de Supraveghere. Exemple sunt: Biroul Comisarului pentru informații (ICO) pentru Regatul Unit; Comisia Naţională de informatică şi de libertăţi (CNIL), în Franța; Comisarul federal pentru protecția datelor și libertatea de informare (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – BfDI), în Germania; și De Autoriteit persoonsgegevens (fostă Colegiul Bescherming persoonsgegevens), în Țările de Jos, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în România.

Ierarhia executării Regulamentului (UE) 2016/2016

Comitetul European de Protecție a Datelor (la  nivel UE)

 

Autoritatea de Supraveghere

(la nivel național)

Ofițerul pentru protecția datelor (DPO)

(Responsabilul pentru protecția datelor)

(la nivel de companie)

 

Actul normativ, descrie o relație de lucru strânsă între societățile de supraveghere, care funcționează la nivel național, și Ofițerii pentru protecția datelor (DPO) în companii individuale. Ofițerii pentru protecția datelor trebuie să se înregistreze la Autoritatea de Supraveghere, iar Autoritatea de Supraveghere va monitoriza prin respectarea legăturii cu Ofițerii pentru protecția datelor.

În cele din urmă, Autoritatea de Supraveghere este cea care decide cu privire la măsura ce  se impune a fi luată la o întreprindere care suferă o încălcare a datelor, și cât va fi amenda (dacă este cazul). Orice amendă va fi proporțională cu amploarea încălcării și a gradului în care întreprinderea care a ”deviat” de la normele stabilite a încercat să le respecte.

Ofiţerul pentru Protecţia Datelor (Responsabilul pentru protecția datelor)

Regulamentul introduce conceptul unui responsabil pentru protecția datelor (DPO). În conformitate cu actul normativ, numirea unui responsabil pentru protecția datelor este obligatorie, din 25 mai 2018, raportat la dispoziţiile art. 37 – 39 din Regulamentul General privind Protecţia Datelor, pentru majoritatea organismelor publice și orice organizație care prelucrează date personale la scară largă.

Acest responsabil cu protecția datelor va raporta (cel mai probabil) comitetului de audit al consiliului, nu conducerii executive, și va fi responsabil de asigurarea respectării Regulamentului. Responsabilul pentru protecția datelor este responsabil de efectuarea auditurilor  de conformitate, ceea ce înseamnă că firmele vor trebui să demonstreze conformitatea lor în mod regulat.

Responsabilul cu protecția datelor este, de asemenea, responsabil de menținerea legăturii cu Autoritatea de Supraveghere, care cuprinde notificarea acesteia, a tuturor activităților de prelucrare a datelor, precum și orice încălcare a datelor.

Astfel numirea unui DPO la nivelul operatorului de date reprezintă una dintre măsurile prin care se încearcă responsabilizarea operatorilor de date.

Drepturile persoanelor fizice

  1. dreptul de informare –art. 13-14 RGPD
  2. dreptulde acces –art. 15 RGPD
  3. dreptul la rectificarea datelor –art. 16 RGPD
  4. dreptul de a fi uitat –art. 17 RGPD
  5. dreptul la restricționarea prelucrării –art. 18 RGPD
  6. dreptul la portabilitatea datelor –art. 20 RGPD
  7. dreptul la opoziție –art. 21 RGPD
  8. dreptul de a nu fi supus unei decizii automate –art. 22 RGPD

Fata de Directiva 95/46/CE, noile drepturi ale persoanelor fizice existente in Regulament sunt cele de la articolele 17, 18 și 20.

Dreptul la ștergerea datelor (dreptulde a fi uitat) –art. 17 RGPD

Persoana poate cere ștergerea datelorcând:

  • nu mai sunt necesare
  • se retrage consimțământul și nu există alt temei legal
  • persoana se opune prelucrării conform art. 21 RGPD
  • au fost prelucrate ilegal
  • există o obligație legală a operatorului
  • s-au colectat datele minorilor pentru oferirea de servicii ale societății informaționale

Dreptul la restricționarea prelucrării –art. 18 RGPD

  • pe perioada în care persoana contestă exactitatea datelor
  • când prelucrarea este ilegală și persoana vizată se opune ștergerii, solicitând restricționarea
  • operatorul nu mai are nevoie de date, dar persoana le solicită pentru o acțiune pe rol instanței
  • dacă persoana s-a opus prelucrării, pe perioada verificării

Dreptul la portabilitatea datelor –art. 20 RGPD

Persoana poate obține datele furnizate operatorului, într-un format structurat, care poate fi citit automat, dacă :

  • prelucrarea este efectuată prin mijloace automate;
  • dacă se bazează pe consimțământ, în temeiul art. 6 (1) lit. a) sau art. 9 (2) lit. a) RGPD (date speciale) ori pe un contract la care este parte.

Persoana vizată poate cere ca datele sale personale să fie transmise direct de la un operator la altul, dacă este fezabil tehnic

Sancţiuni

Domeniul de aplicare a Regulamentului crește în mod substanțial obligațiile companiilor care se ocupă cu prelucrarea datelor cu caracter personal ale cetățenilor Uniunii. Penalitățile pentru nerespectare sunt substanțiale, efectul principal va fi de a ridica protecția datelor ca un risc de afaceri direct în consiliul de administraţie.

Dacă până în prezent sancţiunile impuse de ANSPDCP pentru nerespectarea prevederilor privind procesarea datelor cu caracter personal au fost de ordinul sutelor sau cel mult miilor de euro, o dată cu aplicarea Regulamentului, cuantumul amenzilor se poate ridica la:

  • 000.000 euro sau în cazul unei întreprinderi, 4% din cifra de afaceri totală realizată la nivel mondial în cursul exerciţiului financiar anterior, luându-se în calcul cea mai mare dintre aceste valori, pentru încălcări ce ţin de transferurile internaţionale de date, principiile de bază privind procesarea sau drepturile persoanei vizate; sau
  • 000.000 euro sau, în cazul unei intreprinderi, 2% din cifra de afaceri totală realizată la nivel mondial în cursul exerciţiului financiar anterior, luându-se în calcul cea mai mare dintre aceste valori, pentru alte încălcări prevazute de Regulament.

Perspectiva de a primi o astfel de amendă devine o atenție pentru consiliul de administraţie. Niciun membru al consiliului nu va dori să trebuiască să le explice acționarilor de ce profitul și prețul de vînzare au scăzut din cauza unei încălcări a securității datelor rezultând într-o amendă substanțială. Perspectiva de a primi o astfel de amendă devine o atenție pentru consiliul de administraţie. Niciun membru al consiliului nu va dori să trebuiască să le explice acționarilor de ce profitul și prețul de vînzare au scăzut din cauza unei încălcări a securității datelor rezultând într-o amendă substanțială.

Aspecte diverse

Regulamentul stabileşte obligaţia operatorului de a demonstra obţinerea consimţământului persoanei pentru prelucrările de date personale.

Persoana vizată are dreptul să îşi retragă în orice moment consimţământul, în situaţia în care acesta constituie temei de prelucrare a datelor.

Absenţa unei manifestări clare de acord nu poate fi privită ca o formă de exprimare a consimţământului.

Spre exemplu, în cazul căsuţelor bifate (prin care este prestabilit acordul) nu poate fi prezumat un consimţământ exprimat în cunoştinţă de cauză.

În cazul în care datele sunt prelucrate în mai multe scopuri, este important ca operatorul de date să poată demonstra că a obţinut acordul persoanei pentru a-i prelucra datele în toate acele scopuri.

Regulamentul stabileşte obligaţia operatorului de date de a asigura un anumit nivel de transparenţă faţă de persoanele vizate.

Acestea trebuie să ştie cine este operatorul de date, scopul în care le vor fi prelucrate datele, ce date sunt utilizate, ce drepturi le sunt garantate, cum îşi pot exercita aceste drepturi şi cine sunt/vor fi terţii cărora operatorul le va dezvălui datele, dacă este cazul.

În cazul în care sunt prelucrate date personale ale minorilor, operatorul de date trebuie să ofere informaţiile respective utilizând un limbaj cât mai simplu şi clar, astfel încât copilul/minorul să poată înţelege cu uşurinţă scopul şi modul în care îi vor fi prelucrate datele personale.

Proximitatea faţă de persoana vizată – autoritatea de supraveghere din statul membru în care se află persoana vizată acţionează ca interlocutor/punct de contact atunci când operatorul de date este stabilit într-un alt stat.

În cazul prelucrărilor de date care vizează persoane din mai multe state membre, fiecare persoană are posibilitatea de a se adresa (după caz, de a depune plângere) autorităţii de supraveghere din statul (membru UE) în care îşi are domiciliul/reşedinţa. În acest fel, este asigurată implicarea autorităţii de supraveghere din statul membru în care se află persoana în procedura de adoptare a unei decizii în cazul unui operator de date stabilit într-un alt stat membru.

Cooperare consolidată între autorităţile de supraveghere – în cazul prelucrărilor de date transnaţionale (cele care privesc persoane din mai multe state membre UE), autorităţii de supraveghere din statul respectiv îi sunt oferite competenţe pentru a se asigura, alături de autorităţile din celelalte state implicate, că datele sunt prelucrate conform regulilor şi principiilor stabilite de Regulament.

Cum se evaluează ?

Baza legală pentru procesare •Scopul/ baza legală

•Procesări în afara scopului declarat inițial

•Mecanismele de consimțământ

Drepturile persoanelor vizate •Acces

•Corectare

•Revocarea consimțământului

•Restricționarea procesării

•Ștergere a datelor

•Portare

Obligațiile operatorilor •Numirea unui reprezentant în UE

•Sunt toate fluxurile de date personale documentate

•Actualizarea continua a măsurilor de protecție a datelor

•Aderarea la coduri de conduită și certificare

Informarea persoanelor vizate •Dreptul la opoziție cu  privire la procesarea cu scopul marketingului direct

•Cum își pot exercita drepturile

•Informarea ințială este revizuită periodic

Securitatea și integritatea datelor •Inventarul/ clasificarea DCP

•Evaluări periodice de securitate/Monitorizare

•Măsuri de securizare (pseudonimizare, criptare)

•Măsuri de continuitate

•Trasabilitatea datelor și activităților de procesare

•Mecanisme pentru distrugerea sigură a DCP

•Mecanisme pentru retenția și protecția înregistrarilor

Încălcări ale securității datelor •Proceduri de identificare și notificare

•Instruirea angajaților

•Existența planurilor de răspuns la incidente

•Notificari primite de la terțe părți (contracte)

 
Protectia datelor în mod implicit •Măsuri proporționale cu riscurile

•Dezvoltarea de noi aplicații

•Pseudonimizare/ criptare implementate implicit

 
Evaluarea impactului asupra protecției datelor (DPIA) •Consultarea autorităților

•Se efectueaza DPIA când este necesar

•Implicarea DPO

 
Responsabilul pentru protecția datelor (DPO) •Numirea unui DPO

•Definirea rolului DPO

•Datele de contact ale DPO sunt publice

•Implicarea DPO în activitățile care au legătură cu protecția datelor

 
Transferuri de date •Documentarea transferurilor

•Mecanisme de protecție pentru transferuri în  alte țări

•Măsuri de securitate impuse furnizorilor

•Acord pentru transferul datelor către un subcontractor

•Returnarea datelor la expirarea contractelor

 

Cum se implementează[6] ?

Bibliografie

 

  1. Tratatul privind Uniunea Europeană și Tratatul privind funcționarea Uniunii Europene 2012/C 326/01, articolul 288 para.2;
  2. http://www.dataprotection.ro/;
  3. GDPR implementation assessment, aprilie 2017, document prezentare Star Storage S.A., elaborat Emilian STANESCU;
  4. Testare, evaluare si aprecierea periodică a eficacității măsurilor tehnice și organizatorice, 23 februarie 2017, Conferinta Romsym Data, prezentare Adrian MUNTEANU;
  5. Ghid orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal;

[1] Tratatul privind Uniunea Europeană și Tratatul privind funcționarea Uniunii Europene 2012/C 326/01, articolul 288 para.2

[2] http://www.dataprotection.ro/?page=Regulamentul_nr_679_2016

[3] Adrian MUNTEANU, Testare, evaluare si aprecierea periodică a eficacității măsurilor tehnice și organizatorice, 23 februarie 2017, Conferinta Romsym Data

[4] Directiva 95/46/CE, articolul 3 aliniat (2),

[5]  Directiva privind protecţia datelor, articolul 2 litera (a);

[6] Emilian STANESCU, GDPR implementation assessment, aprilie 2017, document prezentare Star Storage S.A.

LĂSAȚI UN MESAJ

Vă rugăm să comentați
Introduceți numele dumneavoastră aici