Legea nr. 190/2018 privind masurile de aplicare a GDPR intra in vigoare
La data de 17 iulie 2018 a fost promulgata si trimisa spre publicare de catre Presedinte Propunerea legislativa privind masurile de punere in aplicare a GDPR (Regulamentului (UE) 2016/679 de protectie a datelor cu caracter personal).
In data de 18 iulie 2018 aceasta propunere a devenit Legea nr. 190/2018, urmand a intra in vigoare in termen de 5 zile de la publicare in Monitorul Oficial al Romaniei, Partea I.
Principalele clarificari sau elemente in plus fata de prevederile Regulamentului pe care le aduce Legea nr. 190/2018, in varianta in care a fost transmisa spre publicare, privesc urmatoarele chestiuni:
1.Definirea conceptelor
In capitolul I din lege – Dispozitii generale – sunt clarificate o serie de concepte pe care Regulamentul (UE) 2016/679 nu le trateaza sau le trateaza insuficient.
La art. 2 lit. b) este definit numarul de identificare national ca fiind acel numar prin care se identifica o persoana fizica in anumite sisteme de evidenta si care are aplicabilitate generala, cum ar fi: codul numeric personal, seria si numarul actului de identitate, numarul pasaportului, numarul permisului de conducere, numarul de asigurare sociala de sanatate. Aceasta definitie pune capat speculatiilor potrivit carora doar CNP-ul persoanei poate fi considerat numar de identificare national.
In cuprinsul art. 2 lit. c) regasim definitia planului de remediere ca fiind o anexa la procesul-verbal de constatare si sanctionare a contraventiei prin care ANSPDCP (Autoritatea de supraveghere din Romania) stabileste masuri si termen de remediere.
Observam ca in cuprinsul art. 2 lit. e) este indicat in mod expres termenul de remediere maxim de 90 de zile, insa acesta este aplicabil doar autoritatilor/organismelor publice.
Acest fapt conduce la concluzia ca Autoritatea de supraveghere stabileste aceste termene in functie de situatia fiecarui caz in parte, fara a se depasi insa perioada de 90 de zile.
Coroborand aceste dispozitii cu prevederile din Capitolul VI, art. 13 alin. 2.Conditii pentru prelucrarea numarului de identificare national
In Capitolul II din lege – Reguli speciale privind prelucrarea unor categorii de date cu caracter personal, la art. 4 alin. (2) sunt stipulate in mod expres conditiile pe care operatorii trebuie sa le indeplinesca pentru a prelucra numerele de identificare nationale ale persoanelor fizice. In concret, entitatile pot prelucra numere de identificare nationale in temeiul interesului legitim doar daca:
– pun in aplicare masuri tehnice si organizatorice adecvate;
– numesc un responsabil cu protectia datelor cu caracter personal;
– stabilesc termene de stocare specifice in functie de natura datelor si scopul prelucrarii;
– instruiesc periodic persoanele care prelucreaza efectiv aceste date cu caracter personal.
3.Conditiile pentru supravegherea prin mijloace electronice audio/video la locul de munca
Captolul II, art. 5 prevede conditiile in care este permisa monitorizarea angajatilor la locul de munca de catre angajator, respectiv:
– interesul legitim al angajatorului prevaleaza asupra interesului sau drepturilor angajatilor;
– angajatii au fost informati corespunzator, in prealabil, asupra modurilor de supraveghere;
– a fost consultat sindicatul inainte de introducerea sistemelor de monitorizare;
– nu exista alte metode mai putin intruzive pentru indeplinirea scopului;
– durata de stocare a inregistrarilor este de maxim 30 de zile, exceptand situatiile expres reglementate de lege
4.Organismele de certificare
Legea stabileste la Capitolul V art. 11 alin. (1) ca acreditarea organismelor de certificare prevazute la art. 43 din Regulament se realizeaza de Asociatia de Acreditare din Romania -RENAR, in conformitate cu:
– standardul EN-ISO/IEC 17065;
– dispozitiile art. 43 din Regulamentul (UE) 2016/679;
– cerintele suplimentare stabilite de catre Autoritatea de supraveghere .
5.Tipurile de sanctiuni
In cuprinsul Capitolului VI din lege – Masuri coercitive si sanctiuni – sunt stipulate ca sanctiuni contraventionale principale avertismentul si amenda contraventionala.
De asemenea, sunt detaliate tipurile de incalcari care constituie contraventii, cu trimitere la articolele din Regulament, precum si pragurile amenzilor (minim si maxim) pe care le pot aplica reprezentantii Autoritatii de supraveghere pentru diferitele tipuri de incalcari.
Un aspect important de retinut este acela ca pragurile amenzilor sunt aplicabile doar autoritatilor/organismelor publice.