ANSPDCP subliniaza problemele GDPR pentru firme in 2020

"Anul 2018 a reprezentat un moment de reforma in domeniul protectiei datelor cu caracter personal, prin inceperea aplicarii efective, din data de 25 mai 2018, a Regulamentului (UE) 2016/679 privind protectia persoanelor fizice fata de prelucrarea datelor cu caracter personal si libera circulatie a acestor date si de abrogare a Directivei 95/46/EC (Regulamentul General privind Protectia Datelor), adoptat pe data de 27 aprilie 2016, de catre Parlamentul European si Consiliul. Efectul adoptarii acestei reglementari europene a constat in uniformizarea principiilor si regulilor de prelucrare a datelor personale in toate statele membre ale Uniunii Europene, in consolidarea adusa drepturilor persoanelor fizice si in cresterea responsabilitatii operatorilor in legatura cu prelucrarile efectuate. Un aspect de noutate, pe care doresc sa-l supun atentiei dumneavoastra, consta in instituirea obligatiei institutiilor publice si, in anumite situatii, a entitatilor private, de a-si desemna o persoana responsabila cu protectia datelor, in functie de anumite criterii stabilite expres prin dispozitiile art. 37 din Regulament. Apreciem ca aceasta a avut un impact pozitiv in activitatea operatorilor din Romania si, implicit, efecte benefice in privinta respectarii drepturilor persoanelor fizice", spune Ancuta Gianina Opre, presedintele ANSPDCP.

Aceasta a mai aratat ca in anul 2018, actiunile ANSPDCP au urmarit in mod special:

• finalizarea adoptarii cadrului normativ national in concordanta cu noile reglementari ale Uniunii Europene, prin implicare alaturi de institutiile responsabile;
• consolidarea capacitatii administrative interne prin luarea masurilor necesare destinate aplicarii noilor acte normative europene si nationale;
• monitorizarea aplicarii Regulamentului General privind Protectia Datelor si a celorlalte reglementari aplicabile in domeniu;
• asigurarea constientizarii publice cu privire la noile reguli de prelucrare a datelor personale. 

In primul rand, privind la datele cuprinse in raport aflam ca GDPR a stabilit si un mecanism nou de cooperare intre autoritatile nationale de supraveghere care implica un organism european cu personalitate juridica – Comitetul European pentru Protectia Datelor (European Data Protection Board - EDPB). Acesta va raspunde de medierea pozitiilor intre autoritatile nationale de supraveghere, precum si de elaborarea unor ghiduri si recomandari destinate unei aplicari unitare a acestei noi reglementari in spatiul Uniunii Europene. Mai mult, se prevede o extindere a competentelor si sarcinilor autoritatilor nationale de supraveghere si, pe cale de consecinta, rezulta necesitatea anumitor modificari legislative nationale prin care sa se consolideze capacitatea institutionala si administrativa a Autoritatii nationale de supraveghere, inclusiv prin alocarea si asigurarea unor resurse umane, materiale si financiare corespunzatoare. 

In al doilea rand, ANSPDCP ofera clarificari importante cu privire la o serie de intrebari importante, dupa cum urmeaza:
Prelucrarea datelor privind starea de sanatate
Art. 4 din GDPR stabileste o serie de definitii, printre care si cea a datelor cu caracter personal. De asemenea, datele privind sanatatea sunt definite de aceleasi dispozitii legale sus-mentionate, ca fiind ”date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia” (art. 4 pct. 15). Prin urmare, in acceptiunea definitiilor sus-citate, Autoritatea Nationala de Supraveghere a precizat ca informatiile precum codurile diagnosticelor ce apartin unor persoane fizice (angajatii) reprezinta date cu caracter personal ce vizeaza starea de sanatate. ANSPDCP a apreciat ca datele privind starea de sanatate pot fi prelucrate (dezvaluite) fie cu consimtamantul persoanei vizate, fie in celelalte conditii de exceptie, de stricta interpretare si aplicare prevazute de GDPR, iar in indeplinirea anumitor scopuri, datele se prelucreaza de catre un profesionist supus obligatiei de pastrare a secretului profesional sau de catre o alta persoana supusa unei obligatii de confidentialitate.

Monitorizarea angajatilor la locul de munca

250 Modele de fise de post EDITABILE actualizate conform GDPR

Vezi AICI detalii

Compuneri perfecte pentru clasele III-IV

Vezi AICI detalii

Consilier - Codul Muncii abonament 12 actualizari

Vezi AICI detalii

Stabilirea calitatii de operator, imputernicit sau operatori asociati
In contextul prelucrarii datelor personale de catre diverse entitati in vederea realizarii scopurilor propuse, acestea pot avea, dupa caz, calitatea de operatori, imputerniciti sau operatori asociati, asa cum sunt acestia definiti de Regulamentul general privind protectia datelor. Raportat la prevederile legale incidente, o anumita entitate si partenerii sai contractuali ar putea avea calitatea de operatori asociati, in masura in care acestia stabilesc in comun scopurile si mijloacele de prelucrare, au incheiat un acord prin care se stabilesc responsabilitatile fiecaruia in ceea ce priveste indeplinirea obligatiilor care le revin in temeiul Regulamentului si, indiferent de clauzele acordului, persoana vizata isi poate exercita drepturile in temeiul Regulamentului cu privire la si in raport cu fiecare dintre operatori. De asemenea, o societate si partenerii sai pot avea fiecare calitatea de operator pentru prelucrarile de date pe care le realizeaza in mod individual, potrivit scopurilor si mijloacelor stabilite de operator sau de un act normativ si pentru care poarta intreaga raspundere. In ceea ce priveste calitatea de imputernicit, art. 4 pct. 8 din Regulamentul General privind Protectia Datelor defineste „persoana imputernicita de operator” ca fiind persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului. De asemenea, art. 28 alin. (3) lit. a) si alin. (10) din acelasi Regulament stabileste o serie de obligatii in sarcina operatorului si a imputernicitului. 

Transferul de date intr-un stat tert
Cu privire la acest aspect, art. 46 alin. (1) din Regulamentul General privind Protectia Datelor prevede ca in absenta unei decizii privind caracterul adecvat al nivelului de protectie, operatorul sau persoana imputernicita de operator poate transfera date cu caracter personal catre o tara terta sau o organizatie internationala numai daca operatorul sau persoana imputernicita de operator a oferit garantii adecvate si cu conditia sa existe drepturi opozabile si cai de atac eficiente pentru persoanele vizate. Raportat la prevederile legale sus-mentionate, transferul datelor cu caracter personal catre state terte care nu ofera un nivel adecvat de protectie se poate realiza in temeiul art. 46 din Regulament, cu respectarea principiilor de prelucrare a datelor cu caracter personal. 

Supravegherea video de catre asociatiile de proprietari
Prelucrarea datelor cu caracter personal prin utilizarea unor sisteme de televiziune cu circuit inchis cu posibilitati de inregistrare si stocare a imaginilor si datelor se supune prevederilor GDPR. Instalarea si utilizarea sub aspect tehnic a echipamentelor si elementelor componente ale sistemului de supraveghere video se realizeaza si in conformitate cu Legea nr. 333/2003 si normele metodologice de aplicare a acesteia. Prelucrarile de date efectuate vor fi precedate de o informare clara, concisa, intr-un limbaj simplu, in conformitate cu art. 13 din Regulament, care obliga operatorul sa furnizeze persoanei vizate o serie de informatii. In ceea ce priveste informarea persoanelor vizate, Autoritatea Nationala de Supraveghere precizeaza faptul ca in spatiile monitorizate trebuie instalata o pictograma adecvata, care sa contina o imagine reprezentativa, pozitionata la o distanta rezonabila de locurile unde sunt amplasate echipamentele de supraveghere, astfel incat sa poata fi vazuta de orice persoana. In plus, s-a recomandat ca perioada de stocare a datelor cu caracter personal (imaginea) prelucrate de asociatie ca urmare a instalarii sistemului de supraveghere video sa nu depaseasca 30 zile. 

In al doilea rand, necesitatea notificarii prelucrarilor de date dupa aplicarea GDPR instituita inainte NU mai este necesara.

Recomandarile ANSPDCP pentru firme

In al treilea rand, ANSPDCP recomanda firmelor sa ia urmatoarele masuri concrete privind securitatea prelucrarii datelor cu caracter personal:

• pseudonimizarea si criptarea datelor cu caracter personal;
• capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;
• capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util, in cazul in care are loc un incident de natura fizica sau tehnica;
• un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

In al patrulea rand, validitatea consimtamantului si efectele retragerii acestuia introduc urmatoarele obligatii pentru companii:

• firma care prelucreaza date trebuie sa poata demonstra ca persoana vizata de prelucrarea datelor si-a dat consimtamantul;
• „in cazul in care consimtamantul persoanei vizate este dat in contextul unei declaratii scrise care se refera si la alte aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu”;
• „persoana vizata are dreptul sa isi retraga in orice moment consimtamantul. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia. Inainte de acordarea consimtamantului, persoana vizata este informata cu privire la acest lucru. Retragerea consimtamantului se face la fel de simplu ca acordarea acestuia”;
• pentru a fi valid si considerat ca fiind dat in mod liber, consimtamantul nu trebuie sa fie conditionat. De exemplu, de prestarea unui serviciu;
• daca persoana vizata si-a retras consimtamantul si si-a exercitat dreptul la stergerea datelor, firma trebuie sa ii stearga, fara intarzieri nejustificate, toate datele personale.

Atentie! Datele pot fi pastrate dupa retragerea consimantului numai:

• pentru valorificarea dreptului la libera exprimare si la informare;
• pentru respectarea unei obligatii legale (fie in temeiul dreptului Uniunii Europene, fie in temeiul dreptului intern);
• „din motive de interes public in domeniul sanatatii publice”;
• „in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice”;
• „pentru constatarea, exercitarea sau apararea unui drept in instanta”.

Finalmente, nu uitati ca specialistii nostri ti-au pus la dispozitie un portal profesionist si util din care poti afla toate informatiile care te intereseaza, inclusiv si aplicarea particularitatilor. 

Aveti, spre exemplu, o nelamurire din sfera protectiei datelor personale in firma dvs. (orice nelamurire)? Nu stiti exact cum se aplica prevederile GDPR in situatia concreta cu care va confruntati?

Daca aveti un abonament pe 6 de luni este suficient sa sunati joi, in intervalul 14.00-16.00 la Serviciul Infotel GDPR si veti primi PE LOC solutia impecabila, cu temeiul legal amanuntit – o solutie 100% profesionista si eleganta, asa cum doar specialistii de clasa pot sa ofere!