Ghidul pentru aplicarea Regulamentului UE privind Protecția Datelor, publicat de Autoritatea Națională în domeniu
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a lansat Ghidul orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor, pentru a a pregăti intrarea în vigoare a acestui Regulament european , prevăzută pentru 25 mai 2018. Regulamentul (UE) 2016/679 consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării. Totodată, introduce sancţiuni severe, pâna la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.
DOMENIU DE APLICARE AL REGULAMENTULUI UE
În Ghidul lansat de ANSPDCP se arată că Regulamentului General privind Protecţia Datelor se aplică prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul UE. În același timp, se aplică și prelucrării datelor cu caracter personal ale unor persoane vizate care se află în UE de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de: oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. Nu în ultimul rând, Regulamentul european se aplică și prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.
OBLIGAȚIA DE A DESEMNA UN RESPONSABIL CU PROTECŢIA DATELOR
Ghidul orientativ pregătit de Autoritatea în domeniu din România atrage atenția că, în anumite situații, este necesar ca, din 25 mai 2018, operatorul de date personale să-și desemneze un responsabil cu protecția datelor, având ca atribuții informarea, consilierea și de controlul în plan intern privind gestionarea datelor cu caracter personal. Situațiile în care este obligatorie numirea unui astfel de responsabil apar:
– în cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, cu excepţia instanţelor în exercitarea funcţiei lor jurisdicţionale;
– desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
– desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.
FIȘA POSTULUI RESPONSABILULUI CU PROTECȚIA DATELOR
Autoritatea în domeniu din România arată în Ghidul său că responsabilul cu protecția datelor, care este punctul de contact al Autorității cu entitatea (companie, ONG, instituție etc.), are rolul de a informa și consilia operatorul sau persoana împuternicită de operator, precum și angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter personal. De asemenea, va trebui să monitorizeze respectarea Regulamentului UE și a legislaţiei naţionale în domeniul protecţiei datelor și să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor și să verifice efectuarea acestora. Autoritatea recomandă și entităților pentru care nu este obligatorie numirea unui astfel de responsabil să desemneze, totuși, o persoană în această poziție, pentru a preîntâmpina riscul producerii unor litigii în această zonă și pentru un dialog sistematic în privința protecției datelor cu instituția amintită.
CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL
Ghidul orientativ al ANSPDCP mai atenționează că toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii prelucrărilor de date cu caracter personal efectuate. Mai mult, potrivit Ghidului, chiar și operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia cartografierii prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni.
EVIDENȚĂ COMPLETĂ ȘI EXACTĂ A PRELUCRĂRILOR DE DATE PERSONALE
Autoritatea consideră că, pentru a evalua în mod eficient impactul Regulamentului UE asupra activităţii entităţii, este necesară identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenţei activităţilor de prelucrare. Ghidul orientativ specifică, în acest sens, că pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter personal efectuate și pentru a răspunde noilor exigenţe, trebuie identificate, în prealabil, cu precizie:
– diferitele prelucrări de date cu caracter personal;
– categoriile de date cu caracter personal prelucrate;
– scopurile urmărite prin operaţiunile de prelucrare a datelor;
– persoanele care prelucrează aceste date;
– fluxurile de date, indicând originea și destinaţia datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene.
CE TREBUIE PĂSTRAT DE OPERATOR
Autoritatea evidențiază în Ghidul orientativ ce anume trebuie ca operatorul de date personale să păstreze în urma operațiunilor sale de prelucrare a unor astfel de date:
– numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecţia datelor;
– scopurile prelucrării;
– o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
– categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
– dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective și, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General privind Protecţia Datelor, documentaţia care dovedește existenţa unor garanţii adecvate;
– acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
– acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menţionate la articolul 32 alineatul (1) din Regulamentul General privind Protecţia Datelor.
ORGANIZAREA PROCEDURILOR INTERNE PENTRU PROTECȚIA DATELOR
Ghidul orientativ al Autorității mai specifică faptul că pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum breșe de securitate; solicitări privind exercitarea drepturilor persoanelor vizate; modificarea datelor cu caracter personal colectate; schimbarea prestatorului.
Potrivit Ghidului orientativ, organizarea procedurilor interne implică, în special:
– luarea în considerare a protecţiei datelor cu caracter personal încă de la momentul conceperii (privacy by design) unei aplicaţii sau a unei prelucrări: minimizarea colectării datelor în funcţie de scop, cookie-uri, perioada de stocare, informaţiile furnizate persoanelor vizate, obţinerea consimţământului persoanelor vizate, securitatea și confidenţialitatea datelor cu caracter personal, garantarea rolului și responsabilităţii părţilor implicate în efectuarea prelucrării datelor;
– aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării (privacy by default), având în vedere: volumul de date colectate, gradul de prelucrare a acestora, perioada de stocare și accesibilitatea lor, astfel încât datele cu caracter personal să nu fie accesate, fără intervenţia persoanei, de un număr nelimitat de persoane;
– sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui plan de pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal;
– soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora;
– exercitarea drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în cazul în care datele au fost colectate prin astfel de mijloace;
– anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite cazuri, obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de ore și a persoanelor vizate în cel mai scurt timp;
– asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și organizatorice adecvate, incluzând printre altele, după caz: a) pseudonimizarea și criptarea datelor cu caracter personal; b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și rezistenţa continue ale sistemelor și serviciilor de prelucrare; c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică; d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Ghidul RGPD poate fi consultat aici.