Din 25 mai 2018 intra in vigoare Regulamentul european privind protectia datelor cu caracter personal. Ce masuri trebuie sa adopte companiile?

Regulamentul 2016/679 al Uniunii Europene privind datele cu caracter personal (« Regulamentul ») va produce efecte asupra activitatii companiilor din Romania si din toate statele (nu doar cele europene) care prelucreza date cu caracter personal ale cetatenilor UE, începând cu data de 25 mai 2018.

Deja discutat in mediile de specialitate, Regulamentul UE apare ca urmare a nevoii de a sancționa exploatarea de date ce excede scopurilor pentru care au fost preluate și absența considerației față de intimitatea datelor unei persoane si conține obligații a căror nerespectare atrage sancțiuni însemnate.

Cum pot, asadar, persoanele (fizice sau juridice) care „prelucrează” date cu caracter personal să se pregătească pentru acest moment?  Cine intra sub incidența prevederilor Regulamentului?

Potrivit Regulamentului, acesta se aplică tuturor „operatorilor”, adică persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Referitor la datele cu caracter personal, acestea reprezintă orice informații privind o persoană fizică identificată sau identificabilă.

Mediul de afaceri este platforma cea mai uzuală de ”stocare” și utilizare a datelor cu caracter personal și este, în consecință, cel care definește noțiunea de împrumut de date, în baza Regulamentului.

 Sanctiuni

 Încălcarea unora dintre obligațiile care țin de protecția datelor cu caracter personal ar putea rezulta în aplicarea unor sancțiuni de către A.N.S.P.D.C.P. constând în pana la 4% din cifra de afaceri anuală.

Ce obligatii vor avea companiile si organizatiile, incepand cu data de 25 mai 2018?

În primul rând, operatorii vor avea :

  • obligația să își desemneze/ recruteze un „data protection officer”, care trebuie să îndeplinească condiții privind experiența profesională
  • obligatia portabilității datelor: asigurarea unui format al datelor care să permită subiectului să solicite oricând o copie a datelor și a transferului facil al datelor de la un operator la altul, aspect care influențează dinamica pieței de afaceri prin cel mai important factor: competitivitatea. Astfel, există riscul foarte mare ca cel care refuză un transfer de date la un alt operator, pe motivul antemenționat, să fie protagonist al unor anchete privind abuzul de putere
  • obligatia efectuarii unei evaluări a impactului asupra datelor cu caracter personal în cazul prelucrărilor riscante
  • dar si asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (art. 25 din Regulament).
  • prelucrarea datelor cu caracter personal se poate face numai dacă există acord pentru prelucrare din partea utilizatorului, care trebuie să fie liber, specific, informat și neechivoc. Solicitarea acordului trebuie să se facă separat de alte clauze contractuale, folosindu-se un limbaj clar și precis. Acordurile pentru prelucrare care au fost date până la intrarea în vigoare a Regulamentului rămân valabile, însă numai dacă îndeplinesc cerințele de mai sus. Sarcina probei privind dovedirea existenței acordului pentru prelucrare aparține operatorului
  • referitor la obligația de notificare privind corecta prelucrare, aceasta presupune că operatorii trebuie să furnizeze informații persoanelor vizate, la momentul obținerii datelor cu caracter personal
  • in plus, în ceea ce privește dreptul de a solicita informații despre datele cu caracter personal procesate despre propria persoană, „dreptul de a fi uitat”, dreptul de a obține corectarea datelor inexacte, operatorul trebuie să răspundă acestor solicitări, ca regulă, în termen de o lună.

Operatorii vor asigura mecanisme clare pentru a îndeplini aceste obligații. Informațiile vor trebui să fie furnizate gratuit, cu excepția cazului în care solicitarea persoanei vizate de prelucrare este „vădit excesivă”.

Sectoarele cele mai expuse

 Cea mai afectată nișă ar fi cea a afacerilor online, în special a celor din sectoarele de analiză, publicitate și media, unde păstrarea confidențialității datelor nu este o practica curenta și unde includerea de identificatori online va afecta semnificativ activitatea acestora și va obliga la pseudonimizare.

Măsuri recomandate, pentru a evita suportarea de sancțiuni

Fiind avute în vedere toate cele expuse, considerăm necesar  să se stabilească un cadru organizational riguros cu privire la protecția datelor cu caracter personal, constând în măsuri concrete de monitorizare și evaluare a activității de prelucrare de date (inclusiv instruirea angajatilor).

În acest sens, verificarea legalității procesării datelor ar trebui să fie realizata periodic, în special în această perioadă anterioară intrării în vigoare a Regulamentului, pentru ca „tranziția” să nu vină însoțită de sancțiuni.

Material redactat de specialistii Casei de Avocatura Ionescu si Sava in colaborare cu studentii la Drept participanti la editia 2017 a « Ionescu si Sava Summer Academy » – Bianca Maria Rusu (Universitatea Alexandru Ioan Cuza – Iasi) si Dorin – Lucian Giurgi (Universitatea Babeș-Bolyai – Cluj – Napoca).