fbpx

GDPR pe înțelesul tuturor. Tot ce trebuie să știți despre Regulamentul General de Protecție a Datelor și cum să vă pregătiți pentru aplicarea lui

Societatea de avocatură Budușan și Asociații a organizat o conferință la care trei specialiști au explicat tot ce trebuie știut despre GDPR – Regulamentul General de Protecție a Datelor, atât de către cei care conduc companii care prelucrează date cu caracter personal, cât și de către persoanele vizate de protecția datelor. Regulamentul se aplică în România din 25 mai.

Avocatele Luiza Budușan și Flavia Barbur, alături de specialistul  în securitatea cibernetică și protecția datelor Sebastian Naste, care lucrează la Agenția Europeană pentru Drepturi Fundamentale (FRA) în Viena, au prezentat reprezentanților mediului de business și nu numai ce este GDPR (General Data Protection Regulation) și ce trebuie făcut până la aplicarea lui în România, la data de 25 mai.

”Am observat că informație există relativ puțină și, totodată, nu neapărat din partea unor persoane cu background juridic (….) Lipsa de informații este predominata în zona noastră, în estul Europei, care a fost mai puțin atentă sau foarte deschisă în a lăsa acces foarte mare datelor cu caracter persoanal. Se apropie cu pași repezi intrarea în vigoare a regulamentului, iar la noi informațiile și conștientizarea au început să apară de nu mai mult de șase luni”, a spus Luiza Budușan în deschiderea conferinței.

Obligații înainte de intrarea în vigoare a GDPR

Flavia Barbur a arătat ce obligații avem înainte de intrarea în vigoare a regulamentului.

Primul pas constă în identificarea tuturor categoriilor de date personale prelucrate de către toate departamentele unei societăți, precum și în identificarea tuturor activităților de prelucrare.

Urmează stabilirea scopurilor în care are loc prelucrarea, respectiv pentru ce sunt prelucrate datele.

”Întrebarea la care trebuie să răspundeți este De ce prelucrez aceste date? Adică la ce îmi trebuie? Din activitatea de audit pe care am desfășurat-o până în prezent, am întrebat uneori clienții: Categoria aceasta de date ce faceți cu ea? În ce scop o păstrați? Uneori nici nu au știut ce să ne spună. Au spus: le avem și atunci de ce să nu le păstrăm că poate cândva o să avem nevoie de ele. Odată cu data de 25 mai acest lucru nu va mai fi posibil. Trebuie ca fiecare categorie de date cu caracter personal să fie prelucrată într-un anumit scop”, a spus Barbur.

Exemple de scopuri:

  • încheierea și executarea contractului individual de munca,
  • completarea REVISAL,
  • plata salariului prin virament bancar,
  • emiterea unor facturi, pentru oferirea unor servicii, etc.

Al treilea pas este stabilirea temeiului în baza căruia are loc prelucrarea, pentru fiecare categorie de date în parte.

Exista 4 mari categorii de temeiuri în baza cărora operatorii pot prelucra date:

  • îndeplinirea unei obligații legale a societății
  • interesul legitim urmărit de către societate sau de către un terț
  • executarea unui contract la care persoana vizată este parte sau pentru a face demersuri, la cererea persoanei vizate, înainte de încheierea unui contract
  • consimțământul sau acordul persoanei vizate.

”Oricând persoana vizată are posibilitatea să-și retragă consimțământul. Din acel moment, datele cu caracter personal pe care le-ați prelucrat în baza consimțământului nu vor mai putea fi prelucrate de dvs decât în situația în care veți justifica un alt temei. Dacă legea vă permite să prelucrați anumite date ca obligație legală ar fi bine să folosiți această variantă.”, a precizat avocata.

Reguli pentru ca un consimțământ să fie valabil:

  • trebuie sa fie liber, nu poate fi condiționat
  • trebuie să fie specific dat pentru fiecare scop al prelucrării în parte (exemplu: dacă o persoană își dă consimțământul să îi folosiți adresa de email pentru a-i trimite un newsletter, nu puteți să îi furnizați adresa de email unui alt operator, pentru ca și acesta să îi transmită un newsletter.
  • trebuie să fie informat; persoanei vizate trebuie să i se explice în ce scop îi vor fi folosite datele și care sunt consecințele acestei utilizări, precum și ce drepturi are
  • toate explicațiile trebuie sa fie date într-un limbaj accesibil

Următorii pași pentru a respecta Regulamentul:

  • Stabilirea datei la care încetează prelucrarea sau a criteriilor în funcție de care se stabilește această dată
  • Minimizarea – nu vor mai fi prelucrate acele categorii de date pentru care nu a fost identificat un temei și care nu sunt necesare
  • Updatare politici și documente interne, precum și contracte- contractele individuale de munca și contractele cu colaboratorii
  • Întocmirea registrului operațiunilor de prelucrare
  • Redactarea modelului de obținere a consimțământului și obținerea noului consimțământ
  • Redactarea modelului de informare a persoanei vizate – Privacy Notice
  • Discuții și training cu Departamentul IT pentru implementarea procedurilor
  • Instruirea angajaților

Drepturile persoanei vizate

  1. dreptul de a avea acces la datele sale: poate solicita să i se comunice categoriile de date cu caracter personal care îi sunt prelucrate, scopul în care are loc prelucrarea, destinatarii cărora le-au fost sau vor fi comunicate, perioada pentru care se preconizează că vor fi stocate sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; existența unui proces decizional automatizat incluzând crearea de profiluri
  2. dreptul de a solicita rectificarea datelor: în situația în care exista erori cu privire la datele care îi sunt prelucrate, are posibilitatea de a solicita corectarea lor; în cazul în care datele sunt incomplete, poate solicita completarea lor
  3. dreptul de a solicita restricționarea prelucrării datelor: are dreptul de a solicita restricționarea prelucrării datelor în următoarele situații:
  • dacă a contestat exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
  • dacă prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
  • operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
  • s-a opus prelucrării pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
  1. dreptul de a solicita ștergerea datelor: poate solicita ștergerea datelor prelucrate, dacă datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate , dacă și-a retras consimțământul și nu există niciun alt temei juridic pentru prelucrarea; dacă se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea; datele cu caracter personal au fost prelucrate ilegal; datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale conform dreptului intern sau dreptului comunitar.

Acest drept nu poate fi exercitat dacă datele sunt necesare pentru exercitarea dreptului la liberă exprimare și la informare; pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul; din motive de interes public în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.

  1. dreptul de a solicita transferul datelor: poate solicita transferul datelor către un alt operator dacă prelucrarea are la baza consimțământul sau și prelucrarea este una automata.
  2. dreptul de a va opune prelucrării: are dreptul să se opună prelucrării datelor dacă ele privesc marketingul direct. Totodată, se poate opune prelucrării, cu excepția cazului în care operatorul demonstrează că are motive legitime care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
  3. dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automatizată a datelor. Acest drept nu poate fi exercitat atunci când prelucrarea este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date; este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau are la bază consimțământul explicit al persoanei vizate.

Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a Regulamentului are dreptul să obţină despăgubiri de la societate pentru prejudiciul suferit.

Dreptul la viață privată – ”regele drepturilor fundamentale”

Sebastian Naste a început prin a vorbi despre dreptul la viață privată, despre care spune că este ”regele drepturilor fundamentale”. Naste a precizat că ceea ce spune la conferință sunt opiniile lui personale și nu reprezintă poziția Agenției europene pentru drepturi fundamentale, unde lucrează.

”Să vedem ce a dus la GDPR și la tot valul acesta de Privacy și Data protection. Dreptul la viață privată este un drept fundamental, care poate fi considerat, cum îmi place mie să spun, regele drepturilor fundamentale, deoarece dreptul la viață privată protejează domiciliul, protejează dreptul la confidențialitatea comunicării, dacă este pe e-mail, dacă este comunicare de la persoană la persoană sau dacă sunt folosite platformele sociale. Protejează relațiile sociale, adică dacă eu de aici mă duc să beau o bere cu un prieten de-al meu, vreau să o fac intim, nu vreau să veniți și voi. Vreau să fiu doar eu cu prietenul meu. Dreptul la viață privată îmi conferă această protecție. Dreptul al viața privată este dreptul unei persoane de a fi lăsată în pace, atât de autorități, cât și de prieteni.”, a spus Naste.

Potrivit acestuia, scopul GDPR este de a întări drepturile persoanelor ale căror date sunt procesate, de a facilita fluxul liber de date personale și de a oferi un cadru legal omogen în UE.

Principii GDPR

1) Legalitatea, corectitudine și transparență (Trebuie să anunțați persoane ce fel de date procesați, cum vor fi ele procesate și tot procesul care a fost explicat trebuie să corespundă și în realitate)

2) Limitarea scopului (Scopul procesării datelor trebuie să fie specificat, explicit și legitim)

3) Minimizarea (Datele colectate trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate)

4) Acuratețea datelor (Datele colectate trebuie să fie corecte și unde e necesar actualizate)

5) Limitarea stocării (Perioada pentru care datele personale sunt stocate este limitată la minim, iar datele de care nu mai aveți nevoie trebuie șterse)

6) Integritate, confidențialitate și responsabilitate (Datele personale trebuie prelucrate într-un mod care să asigure securitatea și confidențialitatea acestora)

Sebastian Naste a precizat că mai important decât amenzile prevăzute de Regulament este ”riscul reputațional” la care se expun companiile. ”Autoritatea probabil vă va amenda cu o sumă. Dar ce credeți, va mai veni publicul să apeleze la serviciile dvs după ce a văzut că toate copiile după buletinele clienților sunt acolo în net și oricine poate să facă ce vrea cu ele? Eu cred că acest risc reputațional, cum îmi place să-l definesc, este mai important decât amenzi. Iar în momentul în care implementați principiile din GDPR să vă gândiți la această chestiune, că este foarte important să nu vă pierdeți reputația companiei sau business-ului”, a spus specialistul. Acesta le-a spus celor prezenți, în contextul discuțiile actuale despre Facebook, că nu are rost să-și șteargă contul de pe rețeaua de socializare, căci datele lor sunt deja acolo.

Categorii speciale de date

Este interzisă prelucrarea de date care devăluie:

  • Originea rasială sau etnică
  • Opiniile politice
  • Confesiunea religioasă
  • Apartenența la sindicate
  • Viața sau orientarea sexuală

Aceste date pot fi procesate în mod excepțional doar în anumite condiții prevăzute de GDPR.

De unde DPO? Statul pune condiții aberante

Avocata Luiza Budușan, coordonator la SCA Budușan și Asociații, a vorbit despre responsabilul cu protecția datelor, numit în engleză Data Protection Officer (DPO).  Acesta este o persoană care poate fi angajat al organizației sau contractant extern, obligatoriu pentru anumite tipuri de organizații și facultativ pentru altele.

În prezent, DPO funcționează în UE recomandați de propriile competențe în domeniu și urmare a unor cursuri de specializare organizate de specialiști recunoscuți în domeniu pe plan internațional, fără alte cerințe suplimentare de certificare. Cerințele și competențele necesare acestei funcții sunt prevăzute în GDPR art. 37, art. 38 și art. 39.

Reglementare recentă în România: Standardul ocupațional – cod COR 242231 – emis în 19 martie 2018 împreună cu planul de pregătire apreciat ca necesar pentru dobândirea competențelor

Există un semn de întrebare pe care încearcă să-l clarifice legislațiile interne. ”Regulamentul nu prevede necesitatea vreunei certificări pentru ofițerii responsabili cu protecția datelor. Aceasta este voluntară și, desigur, o anumită certificare atestă faptul că ai urmat cursuri, de preferință organizate de persoane cu autoritate în domeniu, cum este organizația IAPP (The International Association of Privacy Professionals – n.red)).

Regulamentul arată că certificarea este voluntară, dar totodară că autoritățile, la nivel intern, pot să prevadă reguli de certificare care să dea o oarecare siguranță beneficiarilor că acei DPO au competențele necesare pentru a asista societatea în toată această procedură. Drept pentru care, cu două luni înainte de intrarea în vigoare a regulamentului, când ar trebui teoretic să fim conformați cu GDPR-ul, s-a emis standardul ocupațional de către autoritățile române, care arată care sunt competențele și deprinderile, arată ce anume este necesar.

Printre cerințele minime pentru a putea fi DPO în România la ora actuală este să ai o experiență de minim trei ani în domeniul protecției datelor cu caracter personal. Ceea ce înseamnă că peste trei ani vom putea fi DPO în România, conform acestui standard. La acest moment, cei care au experiență în domeniu sunt câteva persoane de la Autoritatea (ANSPDCP – n.red), singura existentă în București, probabil cinci, care să spunem că știau ce înseamnă datele cu caracter personal, în niciun caz GDPR, care acum intră în vigoare. In UE, unde se lucrează intens cu DPO, în cadrul organizațiilor sau externi, fiind chiar firme puternice de DPO în care lucrează în colaborare cu IT-iști sau avocați, aceștia nu au avut nevoie de niciun fel de astfel de certificare sau de astfel de reguli impuse, ci doar pe baza competențelor pe care le au. Așa încât, la noi, la acest moment, ar putea să vină la oricare din firmele dvs. o persoană care are această denumire și această funcție recunoscută în UE să implementeze Regulamentul, dar probabil un DPO român nu îl veți putea găsi ușor, așa cum trebuie certificat, cu atât mai mult cu cât odată cu acest standard ocupațional s-a emis și planul de pregătire pe care trebuie să-l urmeze”, a precizat Luiza Budușan.

În planul de pregătire sunt trecute 180 de ore de pregătire. ”Dar nu avem pe nimeni care să organizeze aceste cursuri, în condițiile în care în două luni, multe firme sunt obligate să aibă DPO. Evident că n-o să ne putem conforma, ca norocul că opreliștile sunt puse chiar de Statul nostru. Prin urmare, nu ne vor putea amenda pentru că nu avem DPO, pentru că nu avem de unde să avem DPO, având în vedere că acestea sunt cerințele, dacă nu se modifică până în 24 mai. Ceea ce este posibil, întrucât GDPR permite autorităților locale să emită reguli, dar fără a le încălca pe cele europene”, a spus Budușan

Cazurile obligatorii de numire a unui DPO

a) Când prelucrarea este efectuată de o autoritate publică sau un organism public GDPR nu definește autoritatea sau organismul public

b) Când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă

Activități principale:- operațiunile cheie necesare pentru îndeplinirea activităților, activitățile de bază însă se aplică și dacă există activități conexe activității de bază fără de care nu s-ar putea îndeplini obiectul principal

c) categorii speciale de date sau date privind condamnări sau infracțiuni

Exemple de operatori pentru care există obligativitatea asistenței permanente de către un DPO:

  • spitale și clinici – deoarece detin datele de sănătate ale pacienților pentru a putea oferi asistență medicală
  • firmele  de securitate
  • băncile si societatile de asigurare
  • firmele care  care oferă servicii de tip cloud, arhivare și găzduire online
  • asociatiile si fundatiile care lucreaza cu persoanele dependente de droguri sau cu  victimele violenței domestice
  • farmacii
  • societăți care profilează utilizatorii pentru publicitatea comportamentală
  • magazinele online și offline care profilează utilizatorii prin intermediul istoricului de cumpărături

Calitățile profesionale ale unui DPO

  • trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile.
  • experiență în legislația și practicile de protecție a datelor la nivel național și european,
  • înțelegere complexă a RGPD
  • înțelegerea operațiunilor de prelucrare efectuate
  • înțelegerea tehnologiilor de informații și de securitate a datelor
  • cunoașterea sectorului de afaceri și a organizației
  • abilitatea de a promova protecția datelor în cadrul organizației

Resurse necesare DPO

  • sprijin activ al funcției DPO din partea managementului
  • sprijin corespunzător în ceea ce privește resursele financiare, infrastructură și personal
  • comunicare oficială către toți angajații cu privire la desemnarea DPO
  • accesul necesar la alte servicii precum resurse umane, juridic, IT, securitate etc. astfel încât DPO să beneficieze de un sprijin esențial, reacții și informați din partea altor servicii
  • pregătire continuă

Alte informații despre DPO

DPO este independent în îndeplinirea sarcinilor
DPO nu trebuie să existe instrucțiuni din partea mangement-ului – ci comunicare constructiva
Nu trebuie să existe consecințe – concediere sau sancționare în legătură cu îndeplinirea sarcinilor
Nu trebuie să existe conflict de interese cu alte sarcini sau atribuții
Nu răspunde în fața autorității – operatorul rămâne responsabil cu conformitatea cu prevederile GDPR
DPO răspunde în fața operatorului pentru consultanța acordata

DE REȚINUT: Ceea ce este important de stiut este ca majoritatea societatilor detin date cu caracter personal si au nevoie sa implementeze procedurile pentru a se conforma cu preverderile GDPR, respectiv sa stabileasca, in scris, o serie de reguli privind colectarea, pastrarea, organizarea, securizarea si raportarea in cazul unei brese de securitate. Desi majoritatea societatilor nu vor avea nevoie de un DPO  care sa monitorizeze constant respectarea regulilor, toate vor avea nevoie de acest set de reguli  – putem spune manual de protectie a datelor, personalizat in ceea ce priveste activitatea si datele detinute.

Amenzile

În ceea ce privește amenzile administrative aplicate, Regulamentul prevede ca se aplică amenzi administrative de până la 10.000.000 euro sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luânduse în calcul cea mai mare valoare, pentru incalcarea unor obligații cum sunt cele privitoare la obtinerea consimţământul copiilor în legătură cu serviciile societăţii informaţionale, prelucrarea care nu necesită identificare, pastrarea evidentei activitatii de prelucrare, notificarea în cazul breselor de securitate, etc.

De asemenea, se aplică amenzi administrative de până la 20.000.000 euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luânduse în calcul cea mai mare valoare pentru incalcarea principiilor de bază pentru prelucrare, inclusiv condiţiile privind consimţământul, a drepturilor persoanelor vizate, a dispozitiilor cu privire la transferurile de date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională, etc.

Comments

comentarii

Un bărbat de 50 de ani a murit la volan, luni seară, pe DN1, în apropiere de Dumbrava.... Citește mai mult
Patru bărbați din Huedin au fost prinși în flagrant în timp ce furau cablu din cupru de la infrastructura căii ferate.... Citește mai mult

Lasă un răspuns