Ce au înțeles parlamentarii din România despre GDPR și regulile UE
Pe 27 iunie, Senatul României a aprobat mult așteptata lege privind măsurile de punere în aplicare a GDPR. Asta la mai mult de o lună după ce fusese aprobată de către Camera Deputaților.
[related]
Soluția adoptată de Senat este una dezamăgitoare, îngreunându-se situația operatorilor privați de date cu caracter personal (fără a se diminua cuantumul amenzilor pentru aceștia) concomitent cu stabilirea unui regim sancționator foarte lax pentru operatorii publici de date cu caracter personal, aspect care va încuraja abuzurile din partea funcționarilor publici.
Se introduc restricții cu privire la prelucrarea datelor cu caracter personal constând în date genetice, biometrice sau date privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri. Aceste operațiuni de prelucrare a datelor cu caracter personal se pot realiza doar în baza a două temeiuri: (i) consimțământul persoanei fizice vizate sau în baza unor (ii) dispoziții legale care impun o obligație în acest sens pentru operator.
Operatorii privați de date cu caracter personal în contextul GDPR
Prelucrarea datelor cu caracter personal constând în CNP, serie și număr act de identitate, numărul pașaportului, numărul permisului de conducere, numărul de asigurare socială de sănătate, dacă se realizează de către operatorul privat de date cu caracter personal în temeiul intereselor legitime ale acestuia, sunt stabilite o serie de obligații suplimentare în sarcina acestuia:
- numirea unui responsabil pentru protecția datelor
- stabilirea de termene specifice în care aceste date cu caracter personal trebuie șterse sau revizuite în vederea ștergerii
- instruirea periodică a angajaților implicați
Dacă prelucrarea acestor date cu caracter personal se va realiza în baza altor temeiuri, cum ar fi consimțământul persoanei fizice vizate sau o obligație legală, aceste condiții suplimentare mai sunt aplicabile.
În cazul în care operatorul privat de date cu caracter personal dorește să introducă supravegherea video a angaților, sunt cerute a fi îndeplinire o serie de condiții suplimentare cumulative, după cum urmează:
- interesul legitim urmărit de angajator este temeinic justificat
- a fost consultat sindicatul sau, după caz, reprezentantul angajaților
- au fost testate și alte modalități, mai puțin intruzive, pentru atingerea scopului urmărit de angajator iar acestea nu și-au dovedit eficiența
- durata de stocare este de maxim 30 de zile, cu excepția cazurilor temeinic justificate sau a dispozițiilor legale contrare
Încălcarea acestor noi obligații de către operatorul privat de date cu caracter personal este sancționată cu amendă contravențională de până la 20 de milioane de euro sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare. Aplicarea avertismentului nu este posibilă în aceste situații.
Operatorii publici de date cu caracter personal
Legea privind măsurile de punere în aplicare a GDPR este foarte indulgentă cu autoritățile și organismele publice, într-un mod total disproporționat față de regimul aplicabil operatorilor privați de date cu caracter personal. În primul rând trebuie menționat că în cadrul operatorilor publici de date cu caracter personal sunt incluse unitățile de cult, asociațiile și fundațiile de utilitate publică.
Prelucrarea datelor cu caracter personal, dar și a celor cu caracter special, este permisă partidelor politice și organizațiilor cetățenilor aparținând minorităților naționale, organizațiilor neguvernamentale, fără consimțământul persoanelor fizice vizate.
Indiferent de gravitatea încălcării dispozițiilor GDPR, operatorii publici de date cu caracter personal vor primi, în urma controlului, doar un avertisment la care se va atașa un plan de remediere. Termenul de implementare a recomandărilor din planul de remediere este de maxim 90 de zile.
Suprinzător, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal nu este obligată să reia controlul după expirarea termenului de implementare, ci doar are această posibilitate, lăsând larg deschisă poarta abuzurilor și aplicarea în mod discriminatoriu a dispozițiilor GDPR.
[related]
În caz că aceste prevederi nu avantajau deja în mod disproporționat operatorii publici de date cu caracter personal, cuantumul amenzilor ce pot fi aplicate acestora este de maximum 200.000 lei, spre deosebire de cele 20 de milioane de euro pentru operatori privați de date cu caracter personal.
Constatarea contravențiilor în contextul GDRP
Prin modificarea legii de organizare a Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, a fost stabilită procedura de control a încălcării dispozițiilor GDPR. În primul rând trebuie știut că această instituție poate realiza și controale inopinate, neavând obligația de a notifica operatorii în acest sens.
Dacă operatorul de date cu caracter personal refuză controlul sau furnizarea informațiilor solicitate de către autoritatea de control, se poate aplica o amendă de 3.000 lei pe zi. Având în vedere și posiblitatea controlului inopinat, este indicat ca toți operatorii de date cu caracter personal să aibă la sediu, în permanență, toată documentația aferentă conformării dispozițiilor GDPR și să desemneze o persoană care să poată furniza toate detaliile solicitate de către autoritate.
[readmore]
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate solicita instanței de judecată autorizarea controlului, atunci când sunt împiedicați în exercitarea atribuțiilor. Împotriva amenzii cât și împotriva procesului-verbal de control se poate face contestație în termen de 15 zile de la înmânarea procesului-verbal.
Nu în ultimul rând este important de evidențiat că pot fi sancționate fapte care au avut loc cu maximum patru ani anterior momentului controlului.
Conținutul articolelor din secțiunea Opinii reprezintă strict opiniile autorilor textelor și nu reprezintă neapărat poziția oficială a PLAYTECH.ro.