Din 25 mai 2018 devine aplicabil Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulaţie a acestor date, cu aplicabilitate directă în UE, care abrogă Directiva 95/46/CE. Reglementările normative sunt consacrate sub denumirea de GDPR – General Data Protection Regulation și prezintă o importanţă semnificativă.
GDPR se aplică în cazul oricărei informații referitoare la o persoană fizică identificată sau identificabilă („persoana vizată“), o persoană fizică identificabilă fiind o persoană care poate fi identificată prin referire la un element (nume, număr de identificare, date de localizare, un identificator online) sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Operatorul este entitatea care prelucrează datele, împuternicitul este o terță parte care prelucrează, pe seama și la instrucțiunile operatorului, datele personale.
Elementele speciale aduse de GDPR sunt multe, ne vom opri asupra câtorva dintre cele cu impact direct, fără a ne ocupa de salariaţi, incidente de securitate, răspunderea operatorului/împuternicitului, pe care vă sfătuim să le luați însă în considerare.
GDPR a egalizat temeiurile în baza cărora se pot prelucra legal date cu caracter personal. Acest lucru are relevanță mai ales în piaţa din România, unde s-a făcut abuz de consimţământ ca temei pentru prelucrare.
Astfel, temeiurile pentru prelucrarea datelor cu caracter personal sunt:
- consimțământul persoanei vizate pentru unul sau mai multe scopuri specifice;
- executarea unui contract în care parte este persoana vizată sau în demersurile cu privire la încheierea unui contract;
- îndeplinirea unei obligații legale a operatorului;
- protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice;
- îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
- interesul legitim, cu excepția situației în care interesele sau drepturile și libertățile fundamentale ale persoanei vizate prevalează și este necesară protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Temeiul ales de operator în operaţiunile de prelucrare este foarte important. În funcţie de acesta decurg obligaţiile sale viitoare față de persoana vizată. Pe scurt, nu se recomandă folosirea consimţământului când este disponibil pentru operator un interes legitim. Atunci când prelucrează în baza consimţământului, operatorul trebuie să fie conştient că, dacă persoana vizată retrage acest consimţământ, orice prelucrare trebuie să înceteze iar datele să fie şterse. În practică este dificil, uneori chiar şi pentru simplul motiv că nu se mai ştie unde sau în câte locuri sunt acele date.
Indiferent de temeiul de prelucrare, operatorul trebuie să realizeze obligaţia de informare a persoanei vizate, eşecul fiind sancţionat cu amendă maximă prevăzută de GDPR.
Informarea trebuie făcută la momentul colectării, dacă operatorul colectează direct datele, şi trebuie să conţină minim:
(i) identitatea și datele de contact ale
operatorului, datele de contact ale Data Protection Officer-ului (DPO); (ii) scopurile în care sunt prelucrate datele, precum și temeiul juridic al prelucrării, inclusiv interesul legitim dacă acesta este temeiul; (iii) destinatarii sau categoriile de destinatari ai datelor; (iv) perioada pentru care vor fi stocate datele – sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; (v) faptul că persoana vizată are dreptul de acces la date şi de a porta datele, dreptul să ceară rectificarea, ștergerea datelor sau restricționarea prelucrării, dreptul de a se opune prelucrării, precum şi dreptul de a retrage consimțământul dacă prelucrarea se întemeiază pe acesta ; (vi) dreptul de a depune o plângere în fața unei autorități de supraveghere; (vii) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date și care sunt eventualele consecințe ale nerespectării acestei obligații; (viii) dacă se ia o decizie automată incluzând crearea de profiluri, iar în acest caz informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări.
Când nu se identifică un interes legitim, modalitatea în care se solicită și se acordă consimţământul trebuie să respecte următoarele cerințe obligatorii: (i) consimțământul trebuie acordat printr-o acțiune neechivocă, clară, liber exprimată și în cunoștință de cauză, absența unui răspuns, a unei acțiuni sau existența unor căsuțe pre-bifate de către operator nu valorează consimțământ; (ii) persoana vizată să își poată retrage consimțământul într-o modalitate la fel de simplă cum a fost acordat și în orice moment; (iii) solicitarea consimțământului trebuie să fie într-o formă inteligibilă și ușor accesibilă, folosind un limbaj simplu și clar – folosirea de duble negaţii, texte criptice, nu constituie o informare clară; (iv) operatorul să poată demonstra existența consimțământului – în practică, mai ales pentru consimţământul obţinut online, acest aspect este o sarcină plină de provocări cu buget considerabil; (v)dacă prelucrarea privește mai multe aspecte, solicitarea consimțământului trebuie clar diferențiată de celelalte aspecte și trebuie dat pentru fiecare aspect/scop în parte – atâtea bife câte scopuri/operaţiuni de prelucrare diferite sunt; (vi) solicitarea consimțământului nu trebuie condiționată de prestarea unui serviciu sau executarea unui contract, dacă nu sunt afectate de lipsa consimţământului.
Trebuie reţinut că datele personale deţinute acum, colectate anterior, trebuie aliniate la noile reguli, fiind necesar să reobțineți consimţământul persoanelor vizate. În practică este aproape imposibil. Verificaţi şi analizaţi ce date aveţi, ce vă este necesar din ce aveţi, procedaţi la o asanare concretă a bazei de date, iar ulterior la alinierea acesteia cu GDPR.
GDPR introduce reguli cu privire la consimțământul copiilor în mediul online. Pentru prelucrarea datelor cu caracter personal ale unui copil sub 16 ani este nevoie de existența unui acord al titularului răspunderii părintești. Pentru a se asigura că există acordul titularului răspunderii părintești, operatorul are îndatorirea să depună toate eforturile rezonabile. Cum află operatorul că utilizatorul său online are peste 16 ani şi cum certifică acest rezultat este o topică în sine.
Unul dintre drepturile persoanei vizate nou introduse de GDPR este dreptul la portabilitatea datelor, în temeiul căruia aceasta poate solicita, fără condiționarea de încetare a serviciului prestat, să primească datele personale care au fost prelucrate de către operator și să hotărască ce anume va face cu ele. Acest drept include dreptul de a solicita și a obține din partea operatorului ca datele sale personale să fie transferate direct unui alt operator. În practică apar însă probleme întrucât sunt necesare interfeţe de comunicare între potențialii operatori între care se face transferul.
GDPR aduce pentru unele organizaţii obligaţia numirii unui responsabil cu protecția datelor (DPO) atunci când: (i) prelucrarea este realizată de către o autoritate sau un organism public, cu excepția instanțelor de judecată; (îi) activitatea principală a operatorului constă în monitorizare periodică și sistematică, pe scară largă, a persoanelor vizate; (iii) activitatea principală constă în prelucrarea pe scară largă a unor categorii speciale de date.
Noţiunea de scară largă este conturată de Recomandările Grupului de lucru Art. 29. Scară largă include procesarea datelor (i) de către spitale, societăţi de asigurare sau bănci în activitatea curentă, (îi) pentru scopuri de marketing comportamental, (iii) a locaţiei, a conţinutului şi traficului de către operatori de telefonie şi provideri de internet etc. Nu reprezintă scară largă procesare datelor unui pacient de către doctor sau ale unui client de către avocat.
Majoritatea organizaţiilor cad undeva la mijloc între aceste două extreme, astfel analiza necesitaţii unui DPO nu va fi superficială. DPO este independent şi nu trebuie să fie în conflict de interes –numirea cuiva din departamentul IT nu atinge scopul GDPR. DPO trebuie să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor personale. Operatorul poate numi ca DPO atât o persoană angajată, cât și un consultant extern.
Operatorii cu peste 250 angajaţi sunt obligați să întocmească Registrul operațiunilor de prelucrare, în care să țină evidența acestor activități. Operatorii cu mai puţin de 250 de angajați nu sunt obligați să întocmească acest registru, cu excepția cazului în care: a) prelucrarea datelor este succeptibilă să creeze un risc pentru drepturile și libertățile persoanei respective; b) prelucrarea datelor nu este ocazională; c) operatorul prelucrează categorii speciale de date personale. Rezultă că până la urmă toate organizaţiile trebuie să îl ţină, întrucât nu se regăseşte în practică un caz în care prelucrarea datelor personale să fie pur ocazională.
Pentru anumiţi operatori va fi obligatorie realizarea evaluării de impact – PIA, atunci când un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, cum ar fi: (i) prelucrare automată, inclusiv profilare; (îi) prelucrare pe scară largă a unor categorii speciale de date; (iii) monitorizări sistematice pe scară largă a unei zone accesibile publicului.
În raport de obligațiile pe care operatorul le încalcă, acesta poate fi obligat la amenzi care pot atinge 10-20 milioane de euro sau până la 2% sau 4% din cifra de afaceri.
Articol realizat de Cabinetul de avocatură Ionuț Rotaru
