Legea GDPR in Romania a fost promulgata! Vezi ce schimbari se aduc!
8 minute • Ana-Maria Udriste • 19 iulie 2018
In data de 17 iulie 2018, prin decret prezidential, Presedintele Klaus Iohannis a promulat si trimis spre publicare in Monitorul Oficial legea privind masuri suplimentare de aplicare a Regulamentului privind protectia datelor cu caracter personal (asa-numita ”Legea GDPR in Romania”).
.
Regulamentul privind protectia datelor cu caracter personal (GDPR) – despre care am scris articole ce pot fi consultate aici – se aplica incepand cu 25 mai 2018 la nivelul tuturor statelor membre ale Uniunii Europene, in mod unitar, fara exceptie si fara a fi necesara o transpunere in dreptul intern (cum e, de exemplu, la directive).
Cu toate acestea, statele membre au posibilitatea de a adopta si implementa masuri suplimentare fata de Regulament, menite sa inaspreasca cadrul legal existent si sa aduca masuri sporite de securitate si protectie.
Vom arăta mai jos care sunt principalele modificări sau, altfel spus, adăugiri, față de Regulament ale Legii nr.190/2018.
Legea GDPR in Romania by Avocatoo on Scribd
Numărul de identificare național
Au fost scrise zeci de postări despre numărul de identificare național, ce înseamnă el, cum se aplică și cum ne impactează.
Legea definește următoarele: număr de identificare naţional – numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi:
- codul numeric personal,
- seria şi numărul actului de identitate,
- numărul paşaportului,
- numărul permisului de conducere, numărul de asigurare socială de sănătate.
Prin urmare, aproape orice număr care ajută la identificarea oficială a unei persoane fizice este un număr de identificare național.
Autoritățile/organismele publice sunt avantajate
Autoritățile/organismele publice au la dispoziție un termen de 90 zile de la data comunicării procesului-verbal de constatare şi sancţionare a contravenţiei, pentru a remedia neregulile constatate şi a își îndeplini obligaţiile legale.
Sarcină care servește un interes public
Legea definește sarcina care servește unui interes public ca incluzând acele activităţi ale partidelor politice sau ale organizaţiilor cetăţenilor aparţinând minorităţilor naţionale, ale organizaţiilor neguvemamentale, care servesc realizării obiectivelor prevăzute de dreptul constituţional sau de dreptul internaţional public, ori funcţionării sistemului democratic, incluzând încurajarea participării cetăţenilor în procesul de luare a deciziilor şi a pregătirii politicilor publice, respectiv promovarea principiilor şi valorilor democraţiei.
Reguli speciale privind prelucrarea unor categorii de date cu caracter personal
Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea
Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimţământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziţii legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate.
Acest lucru este deosebit de important întrucât în cursul dezbaterilor pe fondul acestei legi, fusese o modificare care limita prelucrarea datelor menționate anterior, excluzând luarea deciziilor automate sau a creării de profiluri, chiar și cu consimțământul expres al persoanelor vizate. Asta ar fi însemnat că majoritatea aplicațiilor din tehnologie în domeniul medical din ultimul timp ar fi trebuit să se mute în alt stat membru pentru a-și putea desfășura activitate (cum ar fi aici aplicații care identifică în mod automat dacă un melanom este canceringen sau nu, fără intervenția inițială a unui medic).
Prelucrarea unui număr de identificare național
De departe cele mai aprinse discuții au fost generate de prelucrarea CNP-urilor sau a datelor din buletin.
Am scris aici pe larg care sunt temeiurile pentru prelucrarea datelor personale conform GDPR:
- Consimțământul
- Încheierea sau executarea unui contract
- Îndeplinirea unei obligații legale
- Interesele vitale
- Interesul public
- Interesul legitim
În cazul în care operatorul alege să meargă ca temei al prelucrării pe interesul legitim, este necesară numirea unui DPO (ofițer responsabil cu protecția datelor) – vezi mai multe detalii despre DPO aici si aici.
Redăm mai jos articolul din lege, pentru a nu exista confuzii:
Art.4.- (1) Prelucrarea unui număr de identificare naţional, prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art.6 alin.(l) din Regulamentul general privind protecţia datelor.
(2) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în
scopul prevăzut la art.6 alin.(l) lit.f) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terţă, se efectuează cu instituirea, de către operator, a următoarelor garanţii:
a) punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minim a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art.32 din Regulamentul general privind protecţia datelor;
b) numirea unui responsabil pentru protecţia datelor, în conformitate cu prevederile art.10 din prezenta lege;
c) stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
d) instruirea periodică cu privire la obligaţiile ce le revin, a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.
După cum putem observa, în cazul în care operatorul de date (DPO) decide să prelucreze numărul de identificare național (CNP de exemplu) în baza interesului legitim, are nevoie să numească un DPO.
Ce este interesul legitim?
Pe scurt, dacă nu avem o obligație legală (prevăzută de o lege în sens larg, precum lege, hotărâre, ordonanță, hotărâre de consiliu local etc.), va trebui să mergem pe celelalte temeiuri legale menționate anterior.
De exemplu, afișarea CNP-ului pe facturile fiscale în dreptul clientului sau în dreptul delegatului se poate încadra în alt temei legal decât cel al interesului legitim, deci va fi necesară numirea unui DPO. Nu acesta este și cazul în care solicităm angajatului CNP-ul pentru a încheia contractul de muncă, întrucât aceasta este o obligație pe codul muncii.
Dacă un operator de date consideră că este benefic activității sale să prelucreze un număr de identificare național, în detrimentul intereselor persoanelor fizice, o va putea face pe baza interesului legitim, chiar dacă aduce atingere drepturilor acestora din urmă atunci când le punem în balanță. Altfel spus, schema interesului legitim arată asa:
Sursa: prezentare avocatoo în cadrul cursurilor GDPR tinute în parteneriat cu Wall-Street
Prelucrarea datelor cu caracter personal în contextul relaţiilor de muncă
Dacă angajatorul utilizează mijloace electronice audio/video la locul de muncă pentru a supraveghea angajații, acest lucru este posibil doar dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor (vezi aici cum faci o notificare corectă a angajaților);
c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.
Trebuie să reținem următoarele:
- interesul legitim prevalează asupra interesului/drepturilor angajaților;
- facem o informare corectă și completă în care explicăm angajaților cum îi supraveghem;
- dacă avem sindicat, îl consultăm;
- nu avem alte metode eficiente;
- nu stocăm mai mult de 30 zile aceste date, decât dacă putem legal sau e musai neceasar.
Sancțiunile aplicate de ANSPDCP
Sancţiunile contravenţionale principale pe care le aplică Autoritatea naţională de supraveghere, sunt avertismentul şi amenda (citește aici cum se va aplica în concret GDPR în România de către autoritate).
Acest lucru înseamnă că autoritatea, în funcție de gravitate și alte circumstanțe, poate decide dacă să aplice direct o amendă sau un avertisment.
Ai nevoie de ajutor la implementarea GDPR? Scrie-ne mai jos!