Legislație

by | posted in: GDPR | 0

Regulamentul GDPR

Noul pachet legislativ a fost adoptat de Parlament si Consiliul European la inceputul anului 2016 si se aplica incepand cu data de 25 mai 2018, cuprinde o serie de acte normative semnificative intre care amintim:

LEGISLATIE EUROPEANA

  1. Regulamentul (UE) 2016/679 Privind Protectia Persoanelor Fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General Privind Protectia Datelor)
  2. DIRECTIVA (UE) 2016/680 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului
  3. REGULAMENTUL (UE) 2018/1725 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE

 

LEGISLATIE NATIONALA

LEGE nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

 

  1. LEGE nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal

 

  1. LEGE Nr. 129/2018 din 15 iunie 2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiintarea, organizarea şi functionarea Autoritătii Nationale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulatie a acestor date

 

  1. LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

 

 Ce este Regulamentul European privind Protectia Datelor (GDPR)?

Regulamentul European privind Protectia Datelor (GDPR) nr. 679 din 2016 emis de catre Parlamentul Uniunii Europene stabilește principiile și masurile de protectie a datelor cu caracter personal ale cetatenilor din Uniunii Europene pentru institutiile si companiile private care proceseaza astfel de date.

GDPR reprezinta o provocare a institutiilor publice și companiilor private din perioada urmatoare, fiind prima reglementare completa si complexa cu privire la protectia datelor emisa in ultimii 22 de ani si care inlocuiește cadrul legislativ actual prin intermediul Directivei Uniunii Europene cu nr. 46 din 1995.

Pentru cine se aplica Regulamentul European privind Protectia Datelor (GDPR)?

Orice activitate institutionala desfașurata la nivelul Uniunii Europene care proceseaza date cu caracter personal care privesc angajatii, clientii sau oricare alte organisme cu care interactioneaza trebuie sa se alinieze la cerintele GDPR.

Prin urmare, fiecare institutie publica sau societate privata de pe teritoriul Uniunii Europene sau din afara Uniunii Europene (daca gestioneaza sau proceseaza date cu caracter personal apartinand cetatenilor din Uniunea Europeana) care colecteaza, prelucreaza și/sau stocheaza date cu caracter personal pe orice tip de suport (inclusiv daca detine camere video in spatiile de lucru sau pe caile de acces) , trebuie sa se alinieze la prevederilor GDPR.

Ce sunt Datele cu caracter personal?

Orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Cu alte cuvinte, datele personale pot fi orice date precum nume, prenume, CNP, amprenta, ADN, varsta, sex, etnie, rasa, orientare sexuala, politica, religioasa, starea de sanatate, adresa de domiciliu, resedinta, adresa de e-mail, ocupatia, venitul, fotografie, numar de inmatriculare auto, IP sau orice informatie care te-ar putea identifica ca persoana – adica date care corelate pentru a duce la identificarea unei personale.

Ce impune Regulamentul European privind Protectia Datelor (GDPR)?

Printre principalele noi drepturi introduse ce impun prestatorilor de servicii sa poata localiza exact unde se afla datele in evidentele si sistemele lor și sa ia masuri precum ștergerea acestor date daca este solicitat, sunt Dreptul de a fi uitat și Dreptul la portabilitatea datelor.

Necesarul unui ofiter pentru protectia datelor cu caracter personal GDPR mandateaza ca toate organismele din sectorul public și cele implicate in monitorizarea sistematica și regulata a persoanelor vizate la scara larga sau in prelucrarea categoriilor speciale de date sa angajeze un Ofiter Responsabil cu Protectia Datelor (DPO).

Toti Operatorii trebuie sa isi implementeze masuri tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzator pentru acest RISC, incluzând printre acestea si:

  • pseudonimizarea și criptarea datelor personale;
  • capacitatea de a asigura confidentialitatea datelor;
  • integritatea, disponibilitatea și rezistenta sistemelor și serviciilor de prelucrare a datelor;
  • capacitatea de a restabili disponibilitatea datelor și accesul la acestea in timp util in cazul unui incident
  • de natura fizica sau tehnica;
  • un proces pentru testarea, evaluarea și aprecierea periodica a eficacitatii masurilor tehnice și organizatorice
  • pentru a garanta securitatea prelucrarii.

 Efectele neaplicarii prevederilor GDPR

Neaplicarea prevederilor Regulementului General pentru Protectia Datelor coroborat cu aparitia unor incidente de Securitate de natura sa afecteze date cu caracter personal poate atrage amenzi colosale de la 10 Milioane de Euro la 20 de milioane de euro sau 4% din cifra de afaceri anuala globala (in functie de impactul incidentului produs).

Termen de implementare

Regulamentul este in vigoare de la data de 25 mai 2018, data de la care toate entitatile vizate de catre GDPR ar fi trebuit sa puna in aplicare prevederile specifice.

Ce este un responsabil pentru protectia datelor (RDP) sau Data Protection Officer (DPO)?

Regulamentul General Privind protectia Datelor (GDPR) impune organizatiilor ca unul din primii pasi in aliniere este sa numeasca un responsabil pentru protectia datelor, adica RDP sau DPO Data Protection Officer.

Sectiunea 4 din GDPR introduce o pozitie legala a RPD Responsabilului pentru Protectia Datelor cu Caracter Personal, care va avea un rol-cheie in asigurarea conformitatii cu GDPR.

Cine nu poate fi RDP / DPO in firma mea?

Art. 38(6) permite DPO „sa indeplineasca si alte sarcini si atributii”. Cu toate acestea, este nevoie ca organizatia sa se asigure ca „niciuna dintre aceste sarcini si atributii nu genereaza un conflict”.

Absenta conflictului de interese este strans legata de obligatia de a actiona in mod independent. Cu toate ca ii este permis sa aiba si alte functii, acestuia ii pot fi incredintate alte sarcini si atributii cu conditia ca acestea sa nu dea nastere unor conflicte de interese. Acest lucru presupune, in special, faptul ca DPO nu poate detine o pozitie in cadrul organizatiei care ar conduce la posibilitatea ca DPO sa stabileasca scopurile si mijloacele de prelucrare a datelor cu caracter personale. Acest lucru trebuie luat in considerare de la caz la caz, tinandu-se cont de structura organizationala specifica fiecarei organizatii.

Functii din cadrul organizatiei cu care poate intra in conflict pot include functii de conducere cum ar fi:

  • administratorul companiei,
  • director executive,
  • director operational,
  • director financiar,
  • seful serviciului medical,
  • seful departamentului de marketing,
  • sef departamentului de resurse umane,
  • seful departamentului IT,
  • Alte functii inferioare daca acestea conduc la posibilitatea de a stabili scopurile si mijloacelor de prelucrare.

Riscul unui angajat in pozitia de RPD / DPO

Atunci cand optati ca in pozitia de DPO sa delegati un angajat va recomandam sa aveti in vedere urmatoarele:

  • angajarea sau alegerea unui RPD intern va fi o adevarata provocare si consum de timp si resurse;
  • costurile cu privire la pregatirea angajatului sunt mari, reactualizaarea cunostintelor generand alte cheltuieli;
  • daca angajatul mai ocupa si alta pozitie, aglomerarea atributiilor de serviciu va duce la o productivitate redusa;
  • poate constitui un dezavantaj faptul ca va constientiza importanta si pozitia sa in afacerea dumneavoastra;
  • pot aparea solicitari de majorare a retributiilor salariale mai dese si mai consistente;
  • in cazul in care nu isi indeplineste corespunzator obligatiile, raspunderea limitata sa va fi limitata si poate insuficient de constienta in raport cu sanctiunile pe care le-ati putea primi
  • posibilitatea generarii unor conflicte in organizatia (datorita atributiilor de control)
  • un real pericol il constituie faptul ca ar putea pleca oricand la o alta companie care ii poate oferi o salarizare superioara prin prisma cunostiintelor si experientei în domeniul protectiei datelor
Share
0 Shares