La nivelul Uniunii Europene a fost adoptat Regulamentul 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE („Regulamentul general privind protectia datelor“), ce a intrat in vigoare incepand cu data de 24 mai 2016 si care va fi aplicabil incepand cu data de 25 mai 2018.
Regulamentul general privind protectia datelor stabileste faptul ca in cazul colectarii datelor cu caracter personal referitoare la o persoana vizata, operatorul, in momentul obtinerii acestor date, are obligatia de a furniza persoanei vizate toate informatiile urmatoare: (i) identitatea si datele de contact ale operatorului, reprezentatului sau si ale responsabilului cu protectia datelor; (ii) scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii, inclusiv interesul legitim daca acesta este temeiul; (iii) destinatarii sau categoriile de destinatari ai datelor, inclusiv intentia de a transfera datele cu caracter personal catre o tara terta; (iv) perioada pentru care vor fi stocate datele sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada; (v) drepturile sale privind datele prelucrate.
Persoanelor vizate de prelucrarea datelor cu caracter personal trebuie sa li se respecte urmatoarele drepturi: (i) transparenta informatiilor; (ii) dreptul de acces; (iii) dreptul de rectificare; (iv) dreptul la stergerea datelor – dreptul de a fi uitat; (v) dreptul la restrangerea prelucrarii; (vi) dreptul la portabilitatea datelor; (vii) dreptul la opozitie; (viii) dreptul de a nu fi supus unei decizii automate, inclusiv profilare.
Fata de aceste drepturi garantate persoanei vizate, noutatea este reprezentata de dreptul la portabilitatea datelor potrivit caruia aceasta are dreptul sa solicite, de cate ori vrea si fara conditionare de incetarea serviciului, sa primeasca datele prelucrate de operator, si sa decida ce anume face cu ele, inclusiv sa le pastreze exclusiv pentru uzul sau privat, precum si dreptul sa solicite ca datele sale sa fie transferate direct unui alt operator, „fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal“.
In ceea ce priveste minorii, prelucrarea este legala numai daca si in masura in care persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice, iar copilul are cel putin varsta de 16 ani. Daca copilul are sub 16 ani, respectiva prelucrare este legala numai daca si in masura in care consimtamantul respectiv este acordat sau autorizat de titularul raspunderii parintesti asupra copilului.
Totodata, in cazul prelucrarilor de date ale minorilor regulile aplicabile acestora trebuie sa fie clare si simple, pentru a putea fi intelese de catre acestia.
Gestionarea datelor cu risc
Regulamentul general privind protectia datelor prevede faptul ca in cazul prelucrarilor de date care pot presupune un risc ridicat pentru viata privata a persoanelor, operatorul de date trebuie sa efectueze un studiu de impact asupra vietii private. Rezultatul unui astfel de studiu ii va permite sa identifice riscuri specifice si sa adopte masuri care sa impiedice aparitia/ producerea acestor situatii. O asemenea evaluare va incepe intotdeauna cu inventarierea datelor/categoriilor de date personale pe care operatorul intentioneaza sa le prelucreze. Acestea vor fi supuse unei analize de necesitate pentru a verifica daca sunt, intr-adevar, necesare toate acele date/categorii de date pentru a atinge scopul urmarit de operator, in vederea respectarii principiului minimizarii datelor. Ulterior pot fi identificate si riscurile presupuse de prelucrarea acelor date. In functie de riscurile identificate, operatorul de date isi va stabili prin proceduri interne si masuri tehnice si organizatorice pentru a preveni producerea acestora.
In plus, operatorii economici care prelucreaza date cu caracter personal, in nume personal, cat si in calitate de imputernicit, au obligatia de a numi un responsabil cu protectia datelor daca:
- prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor de judecata
- activitatea principala consta in monitorizare periodica si sistematica, pe scara larga, a persoanelor vizate
- activitatea principala consta in prelucrarea pe scara larga a unor categorii speciale de date.
Noutatea evidentei
Fata de reglementarea anterioara se instituie obligatia operatorilor economici de a mentine o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea lor, obligatie ce revine in mod corespunzator si imputernicitilor operatorilor economici. Evidenta activitatilor de prelucrare va cuprinde urmatoarele informatii: (a) numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor; (b) scopurile prelucrarii; (c) o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal; (d) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale; (e) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si documentatia care dovedeste existenta unor garantii adecvate; (f) daca este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date; (g) si o descriere generala a masurilor tehnice si organizatorice de securitate.
Obligatia nu se aplica entitatilor cu mai putin de 250 de angajati decat daca:
- prelucrarea este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, si
- prelucrarea nu este ocazionala, sau
- prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnari penale si infractiuni.
Cabinet de Avocat Ionut Rotaru
