PROTECȚIA DATELOR PERSONALE

Normele legale privind protecția datelor cu caracter personal existau dinaintea apariției Regulamentului General privind Protecția Datelor (UE) 2016/679, însă reglementările anterioare Regulamentului prezentau deficiențe majore în raport de complexitatea și gravitatea urmărilor determinate de prelucrarea datelor cu caracter personal. Pentru a acoperi deficiențele, Regulamentul european a adus o serie de modificări substanțiale, stabilind în mod expres regulile aplicabile prelucrării datelor cu caracter personal, drepturile persoanei vizate, obligațiile operatorului și ale persoanei desemnate de operator, înființarea Autorităților de Supraveghere în Statele Membre, precum și majorarea semnificativă a sancțiunilor aplicabile în caz de nerespectare a dispozițiilor Regulamentului.

Care sunt principiile aplicabile prelucrării datelor cu caracter personal?

Regulamentul General privind Protecția Datelor instituie 6 principii a căror respectare este obligatorie în procesul de colectare și procesare a datelor cu caracter personal, respectiv:

  1. principiul legalității, echității și transparenței, care presupune ca prelucrarea să respecte dispozițiile legale, inclusiv în ceea ce privește temeiul prelucrării, să fie conformă descrierii, precum și informarea persoanei vizate cu privire la realizarea prelucrării;
  2. principiul limitării legate de scop, care presupune ca prelucrarea să se realizeze numai pentru scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  3. principiul reducerii la minimum a datelor, ceea ce presupune ca datele să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
  4. principiul exactității, ceea ce presupune ca datele să fie exacte și, în cazul în care este necesar, să fie actualizate fără întârziere;
  5. principiul limitării legate de stocare, care presupune ca datele să fie păstrate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele, urmând ca datele care nu mai sunt necesare să fie șterse fără întârziere, cu unele excepții;
  6. principiul integrității și confidențialității, care presupune ca datele să fie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale.

La aceste principii privind prelucrarea datelor se adaugă principiul responsabilității, în temeiul căruia operatorul are obligația de respecta principiile enunțate și de a demonstra această respectare.

De asemenea, Regulamentul instituie regula interdicției de prelucrare a datelor sensibile, precum date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală ale unei persoane fizice ori a datelor referitoare la condamnări penale și infracțiuni.

Când este obligatorie desemnarea unui Responsabil cu Protecția Datelor (D.P.O.)?

Conform art. 37 din Regulament, operatorii de date cu caracter personal și persoanele împuternicite de operator au obligația de a desemna un Responsabil cu Protecția Datelor (D.P.O.) atunci când:

  1. prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
  2. activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  3. activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date (date sensibile) sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal. (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal)

Care sunt drepturile persoanei vizate?

Operatorul și persoana desemnată de operator au obligația de a asigura persoanei vizate posibilitatea exercitării tuturor drepturilor recunoscute de Regulament. Drepturile persoanei vizate și obligațiile corelative ale operatorului și ale persoanei desemnate sunt:

  1. dreptul de a fi informat – obligația corelativă de a realiza o informare adecvată;
  2. dreptul de acces – obligația corelativă de a furniza informațiile solicitate;
  3. dreptul la rectificare – obligația corelativă de a rectifica, fără întârziere nejustificată, datele inexacte și de a completa datele incomplete;
  4. dreptul la ștergerea datelor ori dreptul de a fi uitat – obligația corelativă de a șterge datele cu caracter personal, fără întârziere nejustificată, în condițiile prevăzute de Regulament;
  5. dreptul la restricționarea prelucrării – obligația corelativă de a respecta restricția de prelucrare, în condițiile prevăzute de Regulament, cu excepția stocării;

În cazul dreptului la rectificare, al dreptului de a fi uitat și al dreptului la restricționarea prelucrării există și obligația corelativă de informare a persoanelor cărora le-au fost divulgate datele cu caracter personal vizate cu privire la realizarea operațiunilor respective.

  1. dreptul la portabilitatea datelor – obligația corelativă de a furniza datele cu caracter personal, într-un format structurat, utilizat în mod curent și care poate fi citit automat, precum și de a transmite aceste date altui operator, fără a opune obstacole, în condițiile prevăzute de Regulament;
  2. dreptul la opoziție – obligația corelativă de a opri prelucrarea datelor cu caracter personal, cu anumite excepții, în condițiile prevăzute de Regulament, precum și obligația de informare a persoanei vizate cu privire la posibilitatea exercitării acestui drept;
  3. dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri – obligația corelativă de a asigura intervenția umană în luarea deciziilor, în condițiile prevăzute de Regulament.

Cum se realizează conformitatea cu Regulamentul General privind Protecția Datelor?

Implementarea normelor legale privind protecția datelor în activitatea economică se realizează în trei etape, a căror complexitate este determinată de activitatea desfășurată și de natura, scopul și volumul datelor cu caracter personal colectate și prelucrate.

1.

Audit

2.

Implementare

3.

Mentenanță

Prin audit se urmărește determinarea naturii, scopului și a volumului de date cu caracter personal prelucrate, a fluxului acestor date, precum și a condițiilor de prelucrare existente, în funcție de care sunt stabilite ulterior măsurile ce se impun a fi adoptate pentru asigurarea conformității cu standardele stabilite de Regulament. 

Etapa implementării vizează activitatea propriu-zisă de adoptare a măsurilor tehnice și organizatorice stabilite pe baza auditului. 

Ulterior implementării, se impune realizarea mentenanței, prin care se urmărește eficacitatea măsurilor implementate și îmbunătățirea acestor măsuri în funcție de rezultatele observate. 

Legal Pathway oferă servicii juridice complete în domeniul protecției datelor, precum:

  • asistență și reprezentare juridică în fața Autorității de Supraveghere și a instanțelor de judecată;
  • consultanță în realizarea conformității cu Regulamentul General privind Protecția Datelor (GDPR);
  • întocmirea documentației necesare pentru a demonstra conformitate cu dispozițiile Regulamentului (GDPR);
  • realizarea Evaluării Impactului asupra Protecției Datelor (DPIA – Data Protection Impact Assessment);
  • consultanță legală privind implementarea Regulamentului General privind Protecția Datelor (GDPR) în raporturile contractuale cu alți operatori economici;
  • Responsabil cu Protecția Datelor (D.P.O.) extern:
    • punct de contact în relația cu persoanele vizate și cu Autoritatea de Supraveghere;
    • crearea și menținerea evidențelor de prelucrare a datelor personale;
    • notificarea incidentelor de securitate;
    • note de informare și de furnizare a consimțământului;
    • întocmirea și revizuirea permanentă a documentației necesare pentru a demonstra conformitate cu Regulamentul;
    • supravegherea respectării măsurilor de conformitate;
    • audit periodic;
    • plan de informare și training pentru personalul angajat implicat în procesul de prelucrare a datelor cu caracter personal;
  • exercitarea drepturilor persoanei vizate.

Ascultăm cu atențieAnalizăm cu profesionalismAcționăm cu responsabilitate
Poți cere ajutorul unui profesionist contactându-ne aici.