Ce se schimbă în gestionarea datelor personale începând cu luna mai 2018

Noul Regulament General de Protecția Datelor se dorește a fi un instrument prietenos ce creează, mai curând, o relație de încredere și responsabilitate între subiecții prelucrării, persoanele fizice de la care sunt prelucrate, și operatorii care colectează, prelucrează sau transferă datele, decât un mijloc formalist de autoritate și control.

Regulamentul fixează în cuprinsul său domeniul de aplicare, oferindu-i aptitudinea de a se aplica worldwide, în scopul sporirii protecției drepturilor persoanelor vizate, de la care se colectează datele și ale căror date sunt transferate, favorizând o extensie a efectelor către operatori/ colectorii de date cu sediul în state din afara UE.

Complexitatea Regulamentului și conceptele nou introduse planează în jurul a trei concepte de bază, pe care dispozițiile Regulamentului le-a consolidat și cărora le-a extins domeniul de aplicare.

Noul Regulament crează un cadru transparent pentru persoanele de la care se colectează datele, asigurând persoanelor vizate un rol mult mai activ și facil în exercitarea instrumentelor directe, precum : retragerea instant a consimțământului, solicitarea de ștergere a datelor și, totodată, posibilitatea de transmitere a datelor de la un operator la altul.

Nou Regulament renunță la formalismul exacerbat și la barierele birocratice impuse pentru obținerea unor autorizații de transfer al datelor, lăsând totodată posibilitatea statelor de a fixa cadrul normativ (ghiduri, norme de aplicare) pentru oferirea unui nivel adecvat de protecție. Or, acest fapt este foarte benefic din perspectiva jucătorilor mari de la nivel internațional de a avea o politică unitară și proceduri de transfer și securitate unice, fără a întâmpina obstacole legislative.

Așadar, notificările și autorizațiile de trasnfer vor deveni istorie, după data de 25 mai 2018 acestea ramânând în amintirea noastră ca mijloace rudimentare de transferare.

Prin simplificarea formalismului și limitarea rolului Autorităților naționale de supraveghere, se realizează un transfer al atribuțiilor direct în saracina operatorilor și colectorilor care trebuie să asigure de la nivel incipient, cu strictețe, toate obligațiile legale și totodată să monitorizeze rigurozitatea standardelor de prelucrare  a datelor și de transfer.

Dacă în partea de început am enunțat faptul că Regulamentul crează un raport, care poate fi, de ce nu, asimilat unei relații contractuale între subiectele principale, am avut în vedere și faptul că elementul central al unui asemenea raport este consimțământul.

Intrând în nucleul acestui raport ca modalitate de interacțiune, observăm reducerea aportului autorităților publice și plasarea în sfera privată din perspectiva administrativă, în care părțile își gestionează singure drepturile, obligațiile și interesele respectând cu sfințenie consimțământul dat, care este, ca regulă, oricând revocabil. Acest fapt are rolul de a oferi și un nivel ridicat de încredere între subiecții raportului.

Responsabilitatea sporită a operatorilor rezultă din dublul rol pe care trebuie să îl asigure aceștia, îndeplinirea obligațiilor și monitorizarea permanentă, pe de-o parte și acțiuni de prevenire și măsuri de control al eventualelor încălcări, pe de altă parte.

Împreună cu Raluca Ileana, Associate în cadrul Cosmovici Intellectual Property, am detaliat care sunt schimbările pe care le aduce noul regulament:

Domeniul de aplicare

Context legislativ

  • În data de 27 aprilie 2016 Parlamentul European și Consiliul au adoptat Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE;
  • Regulamentul (UE) 2016/679 (Regulamentul general privind protecţia datelor – RGPD), a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018;
  • Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

Rațiunea elaborării GDPR

  • Transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal;
  • Stabilirea unei serii de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul online;
  • Consolidarea drepturilor garantate persoanelor vizate și introducerea a noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării;
  • Înăsprirea sancțiunilor de până la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.

Aplicarea teritorială a GDPR

  • Prelucrarea datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii (Weltimmo v Naih – (C-230/14) ; Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12));
  • Prelucrarea datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de:
  1. oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată;
  2. monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
  • Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.

Excepții – situațiile în care nu se aplică GDPR

  • GDPR nu se aplică prelucrării datelor cu caracter personal :
  1. În ceea ce privește activitățile care nu intră sub incidența legislației UE (de exemplu, activități privind securitatea națională);
  2. În ceea ce privește politica externă și de securitate comună a UE;
  3. De către autoritățile competente în scopul prevenirii, investigării, detectării sau urmăririi penale a infracțiunilor și a aspectelor asociate;
  4. De către instituțiile UE, în cazul în care se va aplica Regulamentul 45/2001 / CE în locul GDPR. Prezentul regulament este necesar să fie actualizat pentru a asigura coerența cu GDPR;
  5. De către o persoană fizică, ca parte a unei “persoane pur personale sau de uz casnic ex: Bodil Lindqvist (C-101/01).

Conceptele introduse de GDPR

Transparență și consimțământ

  • organizațiile vor trebui să furnizeze informații extinse persoane cu privire la prelucrarea datelor lor personale;
  • furnizarea informațiilor într-un mod concis, transparent, inteligibil și ușor accesibile;
  • utilizarea pictogramelor pentru semnalarea informatiilor de interes ridicat;
  • interzicerea introducerii campurilor completate by default pentru acordarea cosimțământului;
  • prelucrarea datelor personale ale angajatului nu se realizează în baza simplului său consimțământ, ci în baza unui interes legitim invocat de angajator în momentul colectării acestora; dezechilibrul de poziție dintre angajat și angajator rezultă în prezumția că angajatul nu are un consimțământ liber, astfel încât temeiul procesării trebuie sa fie diferit.

Consimțământul copiilor

  • este interzisă prelucrarea datelor de la copii cu vârsta mai mică de 13 ani;
  • oferirea de servicii online în mod direct unui copil, ce presupune prelucrarea datelor acestuia, este legală dacă copilul are cel puțin vârsta de 16 ani;
  • dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de către părintele sau persoana responsabilă care exercită asupra copilului.

Pseudonimizare

  • presupune prelucrarea datelor cu caracter personal astfel încât să nu mai poată fi atribuite unei anume persoane fără a se utiliza informații suplimentare;
  • informațiile suplimentare menționate mai sus trebuie să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure lipsa conexiunii dintre ele și persoana vizată;
  1. este un factor care trebuie luat în considerare atunci când se determină dacă prelucrarea este “incompatibilă” cu scopurile pentru care datele cu caracter personal au fost inițial colectate și procesate;
  2. este inclus ca un exemplu al unei tehnici care poate îndeplinesc cerințele pentru punerea în aplicare a conceptelor privacy by design, privacy by default;
  3. poate contribui la îndeplinirea securității datelor GDPR (a se vedea secțiunea privind încălcarea datelor cu caracter personal și notificare);
  4. este necesară pentru organizațiile care doresc să utilizeze date personale ca open data pentru cercetări istorice sau cercetări științifice sau în scopuri statistice.

Încălcarea securității datelor cu caracter personal

  • prin GDPR este introdus un cadru pentru toți operatorii de date, indiferent de sectorul în care operează ;
  • obligația de notificare apare atunci când are loc o încălcare a securității datelor cu caracter personal. Astfel, operatorul notifică acest lucru autorității de supraveghere competente.

Extinderea noțiunii de date sensibile

  • date genetice – reprezintă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
  • date biometrice – reprezintă datele cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.

Privacy by design, privacy by default

  • privacy by design – obligația operatorului de crea o infrastructură care să asigure încă din stadiul dezvoltării faptul că aplicaţia sa va respecta regulile şi principiile stabilite de GDPR;
  • privacy by default – trebuie să se asigure că setările iniţiale, de fabrică, vor permite utilizatorilor să îşi menţină controlul asupra vieţii lor private asupra a ceea ce postează sau împărtăşesc cu alţi utilizatori.

Drepturi suplimentare pentru subiecții de la care se colectează datele

  • dreptul de a fi uitat – ştergerea datelor dacă acestea sunt prelucrate ilegal, fără consimţământ sau dacă datele nu mai sunt necesare scopului în care au fost prelucrate iniţial;
  • dreptul la portabilitatea datelor – există mai multă libertate în favoarea subiecților de la care se prelucrează datele. Se poate opta pentru transmiterea datelor de la un alt operator la altul.

Autoritate de supraveghere

  • monitorizează aplicarea prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea;
  • facilitează liberea circulație a datelor cu caracter personal în cadrul Uniunii;
  • acţionează ca interlocutor, ca punct de contact atunci când operatorul de date este stabilit într-un alt stat.

Data protection officer / responsabilul pentru protecţia datelor

  • numirea unui DPO la nivelul operatorului de date reprezintă una dintre măsurile prin care se încearcă responsabilizarea operatorilor de date. Acesta oferă operatorului consultanţa necesară în vederea respectării tuturor obligaţiilor acestuia şi asigurării transparenţei necesare faţă de persoanele vizate.

 

Efectele aplicării GDPR-ului în România

  • eliminarea formalismului – nu mai este necesară notificarea Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;
  • responsabilizarea operatorilor de date prin obligațiile de a asigura respectarea dispozițiilor GDPR-ului prin intermediul persoanelor desemnate, iar în cazurile speciale, numirea unui ofițer de date personale;
  • în cazul transferului de date în străinătate – nu mai este necesară obținerea autorizației de transfer, însă se impune depunerea documentației necesare (a contractului cu clauze standard, BCR);
  • operatorul este obligat să asigure îndeplinirea obligațiilor privind informarea clară și neechivocă a subiecților de la care se prelucrează datele și să obțină consimțământul acestora în vedera utilizării datelor.

Sancțiuni

  • pentru încălcarea unui ordin emis de autoritatea de supraveghere se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.