Pentru a crea un echilibru între protecţia datelor personale şi drepturile cetăţenilor, Comisia şi Parlamentul European au adoptat în 2017 Regulamentul General de Protecţie a Datelor (GDPR), care a adus schimbări importante în modul în care informaţiile personale pot fi folosite de către societăți și autorități publice.
Începand cu data de 25 mai 2018, toate companiile, naționale sau străine, care procesează informaţii personale aparţinând cetăţenilor europeni, sunt obligate să se conformeze prevederilor Regulamentului General de Protecţie a Datelor. Nerespectarea acestuia poate fi sancţionată cu amenzi de până la 20 de milioane de Euro sau un maxim de 4% din cifra de afaceri a companiei.
Deși sunt prevăzute într-un Regulament UE, noile reglementări pe data protection se aplică nu doar firmelor din UE, ci și celor non-UE care colaborează sau au clienți în spațiul Uniunii, scopul legii fiind acela de a proteja cetățenii Uniunii indiferent de raporturile comerciale în care se implică.
Care sunt principalele noi reglementări în protecția datelor personale?
Firmele nu trebuie să se mai înregistreze drept operator de date cu caracter personal
Înainte de GDPR, toate societățile care procesau, prin orice modalități, date cu caracter personal aveau obligația să se adreseze în prealabil Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o notificare prin care să prezinte tipul de date pe care le prelucrează sau stochează și să solicite obținerea unui număr de înregistrare ca operator de date cu caracter personal, număr care urma să fie menționat în documente emise de societate.
Conform noilor reglementări, firmele care prelucrează date cu caracter personal sunt în mod automat operatori, fără a fi necesar să notifice ANSPDCP în acest sens. GDPR se concentrează așadar mai degrabă pe compliance, pe respectarea cerințelor legale, nu pe calificarea entităților drept operatori sau non-operatori. În consecință, fiecare societate va trebui să își facă propria analiză a datelor prelucrate și să aprecieze dacă i se aplică sau nu GDPR, fără să notifice ANSPDCP. În acest context, însă, orice entitate este un posibil operator de date si ANSPDCP poate realiza controale pentru verificarea conformității la oricare firmă de pe piață.
Cartografierea datelor cu caracter personal
Înaintea procesării informaţiilor personale, companiile trebuie să creeze un document intern numit “cartografierea datelor cu caracter personal” care sintetizează tipul de date prelucrate si procedurile aplicate. Acest document ar trebui să fie realizat în mod obligatoriu doar dacă societatea are peste 250 de angajati sau daca procesează date personale considerate “sensibile” de lege (e.g. informaţii despre starea de sănătate, despre profilul personal). Cu toate acestea, recomandăm pe cat posibil realizarea acestei cartografieri și pentru firmele care nu au minim 250 angajați, întrucât este un instrument foarte util în procesul ulterior de compliance.
DPO – Responsabil cu protecţia datelor
Companiile obligate sa realizeze cartografierea datelor cu caracter personal trebuie de asemenea să numească un responsabil cu protecţia datelor (data-protection officer, DPO), care va ţine evidenţa incidentelor legate de baze de date.
Cu toate acestea, autorităţile române au recomandat ca toate companiile, inclusiv cele cu mai puţin de 250 de angajați, sa numeasca un DPO. Pentru a evita conflictele de interese, DPO-ul nu trebuie să ocupe și o funcție de conducere în firmă, e.g. administrator, director general, director de HR, marketing sau financiar.
Funcţia de DPO poate fi ocupată de un angajat al firmei sau de un colaborator extern. Cu toate acestea, recomandăm în special firmelor mici și medii să păstreze funcția de DPO în intern, întrucât data protection officer trebuie să cunoască în primul rând foarte bine business-ul și procedurile interne ale firmei. O persoană dinafară, oricât de bine ar fi pregătită din punct de vedere teoretic nu va putea fi de ajutor în cazul unui posibil control dacă nu cunoaște bine mersul firmei. Angajarea unui DPO dinafara societății nu o exonerează pe aceasta de răspunderea legală sau posibile amenzi în cazul în care se găsesc nereguli în ce privește procesarea datelor cu caracter personal.
Evidența încălcării protecţiei datelor
Conform noilor reglementări, fiecare companie trebuie sa ţină evidenţa tuturor incidentelor legate de pierderea, înlocuirea sau coruperea bazelor de date ce stocheaza date personale. Spre exemplu, un atac informatic, pierderea ori furtul unui stick cu date personale sau dispariția fizică a unor liste cu date se încadrează în această categorie. Această procedură are drept scop responsabilizarea societăților, care ar trebui să acorde maximă atenției securității datelor pe care le stochează sau prelucrează și să ia toate măsurile posibile ca aceste date să nu fie sustrase.
Înştiinţarea autorităţilor în maximum 72 de ore de la încălcarea protecţiei datelor
Cum am menţionat mai sus, companiile trebuie sa ţină evidenţa tuturor incidentelor legate de bazele lor de date. Cu toate acestea, unele încălcări ar putea reprezenta o ameninţare majoră la informaţiile personale colectate si stocate de companie.
Astfel, noile reglementări de protecţie a datelor obligă companiile sa inştiinţeze autorităţile imediat în cazul unei incălcări de protecţie, e.g. baza de date a fost copiată de un terţ sau un angajat a lăsat compania cu o copie a bazei de date.
Companiile trebuie să înştiinţeze autorităţile în maximum 3 zile din momentul în care ar fi trebuit să cunoască încălcarea respectivă a legii.
Acordul utilizatorilor cu privire la procesarea informaţiilor lor personale
Reglementările anterioare prevedeau că cetăţenii europeni trebuie să îşi dea consimţământul înainte ca o companie să le proceseze datele personale. Cu toate acestea, multe companii au găsit modalităţi de a obţine consimţământ fără cunoştinţa utilizatorilor, e.g. prin preselectarea opţiunilor la înregistrarea pe site-uri online, incluzând consimţământul procesării de date personale în contracte.
Noile reglementări sunt mult mai clare cu privire la acest aspect, iar sancţiunile aplicabile sunt mult mai mari. Consimţământul explicit al persoanelor trebuie oferit fără a fi condiţionat de termeni comerciali şi trebuie să fie păstrat în siguranţă de companie ca dovadă. Spre exemplu, dacă societatea stocheaza date pentru transmiterea unui newsletter lunar, acordul pentru primirea newsletter-ului trebuie păstrat, fizic sau informatic, in funcţie de modul de prelucrare, astfel încat în cazul unui control să poate fi demonstrat faptul că persoanele care primesc newsletter şi-au dat cu adevărat acordul în acest sens. O eroare comună este că trebuie luat din nou consimțământul persoanelor, odata cu intrarea în vigoare a GDPR – aceasta este o eroare, întrucât consimțământul preluat în trecut în mod valabil și stocat cu dovada aferentă este suficient și nu trebuie repetat ca procedură.
Aceste cerințe presupun o legătură mult mai strânsă între departamentul de marketing şi IT, sau chiar legal al societății pentru a stabili cea mai bună variantă procedură de preluare a consimțămîntului persoanei și stocarea acestuia. Soluții IT vor trebui găsite și pentru web site-urile firmelor care utiliează cookies, întrucât utilizatorii trebuie anunțați de acest aspect încă de la intrarea pe site și să își dea acordul expres pentru folosirea acestora.
Dreptul de a fi uitat
În cazul nr. 131/12 Google v. Spain, Curtea Europeană de Justiţie a afirmat că o persoana care la un anumit moment şi-a dat consimţământul unei companii ca datele sale să fie procesate işi poate retrage consimţământul în orice moment şi poate forţa compania să şteargă toate informaţiile pe care le-a stocat pe perioada respectivă.
Noile reglementări fac ca decizia Curţii Europene sa fie un standard pt procesarea datelor personale. Astfel, orice persoană poate cere să fie ştearsă din baza de date a unei companii (e.g. să nu mai primească newsletter sau oferte de job-uri în viitor), fără a fi nevoită să ofere un motiv pentru care vrea să fie “uitată”.
Regăsiți articolul de mai sus și în ediția din Iunie 2018 a revistei Magazinul Progresiv.
Dacă doriți să adresați mai multe întrebări sau aveți nevoie de o consultație juridică, ne puteți contacta la office@rrpb.ro sau accesați site-ul nostru www.rrpb.ro pentru mai multe informații.
Nu uitați să vă abonați la canalul nostru de YouTube, unde se postează lunar conținut nou și actualizat pe diverse teme de actualitate.
Fii la curent cu ultimele articole de pe blog!