Aplicarea, incepand cu data de 25 mai 2018, a prevederilor Regulamentului General privind protectia Datelor
Material publicat in cotidianul Mesagerul Hunedorean in data de 14 februarie 2018
În data de 4 mai 2017 au fost publicate în Jurnalul Oficial al Uniunii Europene cele două acte normative care compun pachetul legislativ privind protecţia datelor la nivelul Uniunii Europene:
– Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
– Directiva (UE) 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii.
Regulamentul General de Protecția Datelor a intrat în vigoare pe data de 25 mai 2016 și va fi de directă aplicabilitate începând cu data de 25 mai 2018.
În data de 24 ianuarie 2018 Comisia Europeană a publicat Comunicarea către Parlamentul European și Consiliu „Stronger protection, new opportunitie – Commission guidance on the direct application of the General Data Protection Regulation as of 25 May 2018”, cu privire la liniile directoare referitoare la directa aplicare a Regulamentului General privind Protecția Datelor începând cu data de 25 mai 2018. Astfel, așa cum se arată și în conținutul Comunicării, noul cadrul legal va aduce schimbări semnificative pentru persoanele fizice, companii, autorități publice și alte organizații. În acest context, se subliniază faptul că persoanele fizice vor putea beneficia de o mai bună protecție a datelor cu caracter personal și de un control mai bun asupra modului în care le sunt utilizate datele cu caracter personal.
Textul Comunicării Comisiei Europene este disponibil la adresa: http://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX%3A52018DC0043&qid=1517578296944&from=EN.
De asemenea, Comisia Europeană a lansat un ghid online sub formă de întrebări și răspunsuri destinate cetățenilor, întreprinderilor, în special IMM-urilor, și altor organizații. Respectivul instrument online vine în sprijinul părților interesate în vederea pregătirii lor pentru aplicarea Regulamentului General privind Protecția Datelor și a respectării noilor reguli europene în domeniul protecției datelor cu caracter personal. Ghidul online este disponibil la adresa: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_ro.”
Drept urmare, începând cu data de 25 mai 2018, potrivit Regulamentului General Privind Protecția Datelor (GDPR), orice companie care se ocupă, în principal, de prelucrări de date personale va trebui să aibă o persoană responsabilă cu protecția acestora. În cele ce urmează vă prezentăm, succint, câteva aspecte semnificative vizate de noua obligație privitoare la protecția datelor cu caracter personal.
1. Entitățile responsabile de aplicare:
a) autoritățile și organismele publice, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale. În categoria autorităților și organismelor publice responsabile de aplicare se încadrează Guvernul, camerele Parlamentului, Consiliul Legislativ, consiliile locale și județene, primăriile, instituția prefectului, organele de specialitate din subordinea Guvernului, autoritățile administrative autonome (Consiliul Concurenței, SRI, STS, SPP, SIE, ANI, Curtea de Conturi etc.), dar și alte organisme care desfășoară o sarcină publică și sunt guvernate de legislația în domeniul public, cum ar fi: spitalele, furnizorii de servicii de transport public, furnizorii de apă și energie etc.;
b)entitățile private care au ca activitate principală operațiuni care implică o monitorizare periodică și sistematică, pe scară largă, a persoanelor vizate. Intră în această categorie companiile a căror activitate principală implică prelucrarea datelor pe scară largă pentru publicitate comportamentală, profilare online, prevenirea fraudelor, detectarea spălării de bani, administrarea programelor de fidelizare, monitorizarea spațiilor (CCTV), monitorizarea senzorilor inteligenți (smart meters) etc.;
c)entitățile private care au ca activitate principală prelucrarea pe scară largă a unor categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală) sau a unor date cu caracter personal privind condamnări penale și infracțiuni. Intră în această categorie clinicile private, administratorii aplicațiilor care monitorizează date de sănătate, ONG-urile care asistă bolnavi cu HIV, institutele de sondare a opiniei, sindicatele etc.
2. Responsabilul cu protecția datelor:
Un grup de întreprinderi poate să numească un responsabil unic cu protecția datelor, cu condiția ca acesta să fie „ușor accesibil din fiecare întreprindere”. Accesibilitatea se referă atât la sarcinile sale externe (punct de contact pentru persoanele vizate ori pentru autoritatea de supraveghere), cât și la sarcinile sale interne de asistență a operatorului sau a persoanei împuternicite, precum și a angajaților care se ocupă de prelucrarea datelor personale, cu privire la obligațiile care le revin în temeiul Regulamentului european 2016/679. Un responsabil unic cu protecția datelor poate fi desemnat și pentru mai multe autorități sau organisme publice.
3. Calificările/certificările responsabilului cu protecția datelor:
Nu se cere o calificare specifică ori vreo certificare pentru un responsabil cu protecția datelor. Acesta trebuie selectat „pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile (…)”. Fiecare operator și împuternicit va aprecia în concret nivelul necesar al cunoștințelor de specialitate în funcție de tipurile de operațiuni de prelucrare efectuate și de nivelul de protecție necesar în acest context.
4. Sarcinile principale ale unui responsabil cu protecția datelor:
Sarcinile unui responsabil cu protecția datelor trebuie să includă cel puțin următoarele:
– consilierea companiei/intreprinderii și monitorizarea conformității cu Regulamentul european 2016/679, precum și alte reglementări în domeniul protecției datelor și politicile interne;
– training și eforturi de informare;
– efectuarea de audituri;
– consilierea în ce privește efectuarea evaluărilor de impact;
– cooperarea cu autoritatea de supraveghere.
Răspunderea pentru respectarea regulamentului nu aparține în mod personal responsabilului cu protecția datelor, ci rămâne a operatorului (sau a persoanei împuternicite, după caz), inclusiv pentru eventuala lipsă de susținere ori de alocare de resurse suficiente pentru ca responsabilul să își poată îndeplini atribuțiile în mod corespunzător.
5. Protecția suplimentară a responsabilului cu protecția datelor:
Responsabilul cu protecția datelor nu poate fi „demis sau sancționat de operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale”. Prevederea are în vedere o situație de conflict, în care responsabilul își face cunoscute concluziile cu privire la o anumită chestiune, iar operatorul nu este de acord cu acestea. Desigur că operatorul își poate asuma riscul de a ignora recomandările sau concluziile prezentate de responsabilul cu protecția datelor, fiind interzisă doar prejudicierea lui din acest motiv, inclusiv indirect (de exemplu, refuzarea unei promovări ori a unei măriri salariale). Responsabilul cu protecția datelor poate fi demis sau sancționat pentru alte motive imputabile lui.
6. Alte aspecte semnificative:
Responsabilul cu protecția datelor („data protection officer”/DPO), de care vor avea nevoie companiile ce se ocupă în principal cu prelucrarea datelor personale, va putea să ocupe, în același timp, și altă funcție. Practic, DPO-ului nu-i va fi interzis să îndeplinească alte sarcini și atribuții în afară de cele specifice funcției sale, dar companiile vor trebui să se asigure că nu apar conflicte de interese.
De principiu, DPO-ul nu poate ocupa, în același timp, și o funcție de decizie, ajungându-se în situația în care acesta își evaluează propria activitate privind prelucrarea datelor personale.
Astfel de exemple concrete de conflicte de interese, pot fi rezumate după cum urmează:
– funcția de DPO e ocupată de persoane cufuncții de conducere, cum ar fi cele de:
– administrator sau director general (apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei companii);
– director financiar (decide în aspectele financiare și poate influența decizia de a aproba finanțarea de măsuri de conformare stabilite de GDPR);
– director de resurse umane (poate influența mecanismele de prelucrare a datelor angajaților, foștilor angajați sau potențialilor angajați);
– director de marketing (poate influența mecanismele de prelucrare a datelor clienților în activitatea de marketing);
– funcția de DPO este recomandat a fi ocupată de persoane care n-au funcții de conducere, cum ar fi un consilier juridicce reprezintă compania în instanță într-un litigiu pe legalitatea prelucrării datelor personale.
Ocuparea funcției de DPO la companii se va face fie prin desemnarea unui angajat propriu (nou sau actual), fie prin contractarea unui colaborator extern (avocat, persoană fizică autorizată, altă firmă etc.).
Societatea TVG TAX AUDIT S.R.L.
Societate de consultanță fiscală
Societate de audit financiar