Revista Art-emis
Importanţa şi responsabilitatea Regulamentului General privind Protecția Datelor PDF Imprimare Email
Col. (r) Lector univ. dr. Tiberiu Tănase   
Miercuri, 05 Decembrie 2018 20:09

Protectia datelorObiectul acestei teme a căpătat o amploare şi importanţă deosebită, că urmare a tendinţelor relevate de consolidarea cadrului normativ, dar şi de crearea unor instituţii independente, cu atribuţii specifice domeniului abordat astfel „Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal", față de care se raportează orice operator de date cu caracter personal de are următoarele atribuţii:
- răspunde ca drepturile şi libertăţile fundamentale ale persoanelor fizice, în special dreptul la viaţă privată, să fie respectate de către instituţiile şi organismele comunitare naţionale în procesul de prelucrare a datelor cu caracter personal;
- are misiunea de a supraveghea şi de a asigura aplicarea corespunzătoare a prevederilor legale în materie, totodată revenindu-le şi sarcina de a consilia instituţiile, diferitele organisme şi subiecţii luaţi în evidenţă cu privire la toate aspectele referitoare la prelucrarea datelor cu caracter personal.
Regulamentul (U.E.) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind liberă circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor) este în aplicare în toate statele membre ale Uniunii Europene începând cu dată de 25 mai 2018. Un element de noutate pe care acest act normativ european îl aduce în peisajul juridic românesc îl reprezintă instituirea „obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor". Regulamentul General privind Protecția Datelor (R.G.P.D.) oferă un cadru legal modernizat, de conformitate bazat de responsabilitate pentru protecția datelor în Europa. Data Protection Officer - (D.P.O.) - responsabilul cu protecția datelor - reprezintă centrul acestui nou cadru juridic pentru multe organizații, facilitând respectarea prevederilor R.G.P.D., adică a Regulamentului (U.E.) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind liberă circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor) (MO L 119, 4.5.2016). Potrivit R.G.P.D., este obligatoriu că anumiți operatori și persoane împuternicite de operatori să desemneze un D.P.O.
Numirea unui D.P.O este obligatorie pentru autoritățile competențe potrivit art. 32 din Directiva (U.E.) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competențe în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind liberă circulație a acestor date și de abrogare a Decizie-Cadru 2008/977/JAI (M.O. L 119, 4.5.2016, p. 89-131), dar și legislația națională de implementare. Această va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care - că și activitate principală - monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă.
Exemple de situații care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:
- gestionarea unei rețele de telecomunicații;
- profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
- urmărirea locației, spre exemplu prin aplicății mobile (geolocalizare);
- desfășurarea de programe de loialitate;
- monitorizarea stării de sănătate prin intermediul dispozitivelor portabile;
- televiziune cu circuit închis - C.C.T.V.;
- prelucrarea datelor pacienților de către un spital;
- prelucrarea datelor datelor de conținut, locație, trafic de către furnizorii de servicii de internet;
- prelucrarea datelor personale de către companii de asigurări;
- publicitate comportamentală.
Chiar și în situația în care R.G.P.D. nu impune în mod expres numirea unui DPO, organizațiile pot găși că fiind utilă desemnarea unui D.P.O. în mod voluntar. Numirea acestuia reprezintă un prim pas, dar trebuie să se asigure că D.P.O. are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient. R.G.P.D. recunoaște D.P.O. că un actor-cheie în noul sistem de guvernare al protecției datelor și stabilește condițiile pentru numirea să, poziția și sarcinile sale.

Noutați aduse de Regulamentul General pentru Protecţia Datelor

Regulamentul este rezultatul unui proces început în anul 2009, care a inclus elaborarea de studii, conferințe și mese rotunde, dar și consultarea cu părțile implicate (autorități naționale de reglementare, organizații de protecția consumatorilor etc.). și a fost adoptat în aprilie 2016 şi va întră în vigoare în luna mai a acestui an, U.E. oferind companiilor şi instituţiilor vizate doi ani să se alinieze la noile norme.
Regulamentul are că obiective:
- crearea unui cadru unitar de reglementare a protecției datelor cu caracter personal la nivelul Uniunii Europene;
- lărgirea din punct de vedere teritorial a sferei de aplicare a reglementărilor Uniunii Europene privind datele cu caracter personal;
- impunerea de noi obligații și recunoașterea de noi drepturi, prevăzând totodată amenzi semnificative pentru încălcarea lor (până la 20 de milioane euro sau 4% din cifra de afaceri globală).

Regulamentul abrogă Directiva 95/46/C.E. privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și liberă circulație a acestor date.
De menționat că orice companie care stochează sau procesează date personale ale cetăţenilor europeni trebuie să se alinieze regulamentului pentru protecţia datelor. Dar principala noutate o reprezintă introducerea acestei obligativităţi pentru companiile din afară U.E., care nu au vreo prezenţă încorporată în cele 28 de state membre. Astfel, datele personale ale europenilor ar urmă să fie protejate în centrele de date ale companiilor americane de servicii online, sub ameninţarea cu amenzi care pot ajunge până la 4% din cifra de afaceri.Tot la capitolul drepturi noi pentru consumatori, cetăţenii europeni vor trebui notificaţi în termen de 72 de ore în cazul în care sunt afectaţi de compromiterea datelor personale şi fiecare persoană va putea obţine informaţii privind datele colectate despre ea, scopul pentru care au fost colectate, şi unde sunt stocate şi procesate. De asemenea, cetăţenii europeni vor putea obţine, gratuit, copii în format electronic privind datele persoale care au fost colectate, practică asemănătoare descărcării istoricului personal de la Google sau Facebook. De asemenea, regulamentul extinde „dreptul de a fi uitat": orice persoană va putea cere companiilor să şteargă datele care o vizează, inclusiv în cazul în care informaţiile au fost diseminate către terţi.

O obligație foarte importantă pentru companii este comunicarea permanentă cu autorităţile de protecţie a datelor din statele membre şi, în cazul organizaţiilor care procesează volume mari de date personale, înfiinţarea unui Departament de Protecţie a Datelor condus de un director de protecţie a datelor - D.P.O. Aceste prevederi principale şi restul drepturilor, obligaţiilor şi procedurilor din noul regulament de protecţie a datelor din U.E. ar putea genera costuri semnificative pentru compani şi a stimulat deja dezvoltarea unui ecosistem de firme de consultanţă care oferă sprijin contra-cost companiilor în implementarea noilor reglementări. În prezent, fiecare stat U.E. are propria lege pentru protecţia datelor cu caracter personal.

Regulamentul General pentru Protecţia Datelor schimbă felul în care companiile pot folosi şi procesa datele personale pe care le adună despre clienţii şi angajaţi. Datele care întră sub incidenţa regulamentului sunt împărţite în două categorii:
- date personale, care se referă la informaţii de identificare - nume, adresă, adresă I.P. etc.
- date personale sensibile: convingeri politice şi religioase, orientare sexuală, informaţii medicale. Deci, categoriile speciale sunt acele date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. Astfel de informaţii sunt deja protejate de legile naţionale de protecţie a datelor şi de vechea directivă U.E., însă regulamentul aduce că noutate protejarea datelor colectate anonim sau sub pseudonim.

Prelucrarea datelor cu caracter personal să se facă în mod legal (adică să existe un temei al prelucrării dintre cele prevăzute la Art. 6 din Regulament), echitabil și transparent (cu informarea persoanei vizate):
- Datele să fie colectate în scopuri determinate, explicite și legitime (operatorul trebuie să stabilească aceste scopuri).
- Datele să fie adecvate, relevante și limitate (scopul este reducerea la minimum a datelor, operatorul să colecteze strict datele necesare pentru atingerea scopurilor stabilite).
- Datele să fie exacte și actualizate.
- Datele să fie stocate pe o perioada determinate.
- Datele să fie prelucrate într-o modalitate care asigura securitatea adecvată a acestora, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
Mediul business, precum și rețelele de socializare sunt afectate în mod semnificativ de includerea identificatorilor online și a identificatorilor unici în categoria datelor cu caracter personal, urmând a ține cont de noile reglementări în domeniu. Politică de notificare a vizitatorilor asupra folosirii cookie-urilor ar putea implică cheltuieli de peste două miliarde de euro/an în cadrul Uniunii Europene, iar costurile pentru actualizarea unui site conform acestor prevederi sunt de aproximativ 900 de euro.

Una dintre cele mai provocatoare noutăți aduse de R.G.P.D. o reprezintă dreptul unei persoane de a nu face obiectul prelucrării automate sau creării de profil care produce efecte juridice asupra să sau o afectează în mod similar într-o măsură semnificativă, principiu unanim aplicabil cu excepția unor situații derogatorii anume precizate în Regulament.

Copiii sunt mai vulnerabili în mediul online și pot fi mai ușor influențați de publicitatea comportamentală, cum ar fi: furnizarea mai multor anunțuri personalizate și oferirea unor jocuri online contra cost. Publicitatea comportamentală ar putea afecta în mod semnificativ o persoană în cazul în care construirea profilului se face într-un mod intruziv prin urmărirea persoanelor în diferite domenii, pe site-uri web, dispozitive și servicii. Pentru asigurarea confidențialității datelor utilizatorilor, operatorii rețelelor sociale trebuie să aibă actualizate politicile de termeni și de confidențialitate, astfel încât să respecte procedurile impuse de Regulament. Protecția datelor cu caracter personal se aplică pentru activități profesionale sau comerciale ale persoanelor fizice, la fel și pentru operatorii sau persoanele împuternicite de aceștia care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru activități personale sau domestice.

Responsabilul cu protecția datelor (D.P.O. )

Articolul 37 alin. 5 din Regulamentul U.E. 2016/679 stabilește că responsabilul cu protecția datelor să fie „desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţîi de a îndeplini sarcinile prevăzute la articolul 39".(conf R.G.P.D., regulamentul general privind protecția datelor , ediția îngrijită și adnotată de av Andrei Săvescu , editura Hamangiu 2018) .

Calități și competențe unui responsabilul cu protecția datelor (D.P.O.)

Pentru a fi capabil de a îndeplini sarcinile sunt necesare anumite calități personale (ex: integritate și etică profesională), cunoștințe, dar și o anumită poziție în cadrul organizației. Din punct de vedere profesional trebuie să aibă o anumită pregătire ce inseamnă:
- experiență în legislația și practicile de protecție a datelor la nivel național și european, și evident o bună cunoaștere a R.G.P.D.;
- să dețină nivelul necesar de cunoștințe în domeniul protecției datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
- să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informațîi și necesitățile de securitate și protecție a datelor prelucrate de operator;
în cazul unei autorități sau instituțîi publice, responsabilul cu protecția datelor trebuie - - să dețină, de asemenea, cunoștințe privind reglementările legale referitoare la organizarea și funcționarea acestora, precum și a procedurilor interne administrative ce vizează desfășurarea activității.

Respectarea Regulamentului General privind Protecția Datelor și a reglementărilor naționale la incidente.

Este obligat să păstreze secretul sau confidențialitateaîn ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.
Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, are obligaţia:
- să publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special);
- să comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;

Trebuie menționat faptul că responsabilului cu protecția datelor îi este permis să aibă și alte funcții. Acestuia îi pot fi încredințate și alte sarcini și atribuțîi, cu condiția ca el să nu dea naștere unor conflicte de interese (de ex: nu poate fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șeful departamentului de resurse umane sau șeful departamentului IT).
Responsabilul pentru protecția datelor nu poate fi demis sau sancționat de operator sau persoană împuternicită de operator pentru îndeplinirea sarcinilor sale, dar ar putea fi totuși demis, în mod legal, din alte motive decât cele privind îndeplinirea sarcinilor sale în această calitate. De exemplu, responsabilul poate fi demis în caz de furt, hărțuire ori o abatere gravă similară.

Desemnarea unui responsabil cu protecția datelor (D.P.O.)

Există acceastă obligativitate atunci când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale, dar și dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă. De asemena dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni, pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, această trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

Nu este necesară desemnarea unui responsabil cu protecţia datelor atunci când nu se prelucrează pe scară largă date cu caracter personal. Spre exemplu: prelucrarea datelor pacientului de către un cabinet medical individual sau prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un cabinet individual de avocatură. Menționam că deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

Atribuţiile resposabilului D.P.O.

- obligația de a informa şi consilia operatorul, sau persoană împuternicită de operator, precum şi angajaţîi care se ocupă de prelucrările de date;
- monitorizarea respectării Regulamentului, a altor dispoziţîi de drept al Uniunii sau de drept intern referitoare la protecţia datelor;
- consilierea operatorului în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia;
- cooperarea cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu această;
- de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.

Sarcinile responsabilului cu protecția datelor

- să informeze şi consilieze operatorul, sau persoană împuternicită de operator, precum şi angajaţîi care se ocupă de prelucrările de date;
- să monitorizeze respectarea Regulamentului, a altor dispoziţîi de drept al Uniunii sau de drept intern referitoare la protecţia datelor;
- să consilieze operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia;
- să coopereze cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu această;
- să țînă seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.
- Compania proprietara a magazinului online are calitatea de operator de date deoarece această stabilește scopul prelucrării.
- Compania adică, operatorul de date, trebuie să numească o persoană împuternicită să prelucreze datele cu caracter personal.Persoană împuternicita poate fi un angajat sau un terț, persoană fizică sau persoană juridică adică un - posibil un responsabilul cu protecția datelor (D.P.O.), dar nu obligatoriu.

Atribuțiile persoanei împuternicite urmează a se stabili prin contract, de muncă sau de servicii. Atunci când persoană împuternicită este un angajat trebuie avut mare grijă la conflictul de interese între funcția detinută și calitatea de persoană împuternicita să prelucreze datele cu caracter personal. Întrucât activitatea principală a unui magazin online nu implică prelucrarea de date personale sensibile, cum ar fi:originea rasială, date privind sănătatea sau viață sexuală etc. și nici o monitorizare periodică și sistematică a persoanelor vizate pe scară largă, în mod normal, acestuia nu ar trebui să îi revină obligația numirii unui responsabil cu protecția datelor (D.P.O.). Potrivit dispozițiilor regulamentului, numirea unui D.P.O. este obligatorie în domeniul public și recomandabilă pentru sistemul privat. Așadar, un magazin online trebuie să desemneze o persoană împuternicită să prelucreze datele personale și să dețînă un sistem sigur de evidență a prelucrării datelor personale, apăstrării și protecției datele colectate și/sau prelucrate

Principiul de baza al colectării datelor personale este acela al reducerii la maximum a datelor colectate.Trebuie colectate doar datele personale adecvate, clare și necesare scopului. Deci nu se vor prelucra sau se va evita prelucrarea numărului cardului de credit dacă plata se face în sistem ramburs. Operatorul de date trebuie să asigure garanțîi tehnice și organizaționale adecvate pentru asigurarea securitățîi datelor inclusiv protecția împotriva prelucrării neautorizate.Aceste garanțîi se pot realiza prin pseudonimizare - înlocuirea materialelor indentificabile personal cu identificatori artificiali sau prin criptare - codificarea mesajelor astfel încât să nu poată fi citite decât de persoanele autorizate.
Măsuri adecvate conform Art. 32 R.G.P.D.

Având în vedere stadiul actual al dezvoltării, costurile implementării și natură, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoană împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc. Verificarea operațiunilor de prelucrarea și pregătirea unui inventar al acestora.
- Pentru a putea evalua măsurile care se impun în vederea asigurării conformității cu R.G.P.D., este necesar să se analizeze și să se identifice fluxul datelor cu caracter personal în interiorul platformei.
- Răspusuri la întrebările: ce date sunt procesate, cum sunt procesate, cine are acces la ele, unde ajung datele, cât timp sunt stocate și sub ce formă?. Astfel spus, nu se pot identifica aspectele de neconformitate, riscurile și punctele slabe ale prelucrării și securizarii datelor pe care le procesați, fără răspusurile la aceste întrebări.
- Această prima operațiune permite ulterior elaborarea unor proceduri interne privind prelucrarea datelor cu caracter personal în interiorul organizației Identificarea temeiurilor
Securitatea informatică devine de importantă vitală în contextual R.G.P.D. Se recomandă:
- Folosirea programelor de scanare a vulnerabilităților precum: Acunetix, Burp Suite sau Netsparker.
- Apelarea și la o companie de securitate informatică cel puțîn o dată pe an.

Concluzii

Din motive de claritate juridică dar și de bună organizare a activității manageriale, este recomandabil că operatorul de date cu caracter personal să realizeze un sistem de protecție a datelor cu carcter personal și să desemneze un responsabil care să raspundă în relația cu Autoritatea de Supraveghere și cu persoanele care își exercită drepturile cu privire la protecția datelor personale. Trebuie menționat faptul că Regulamentul General privind Protecția Datelor (R.G.P.D.) este în vigoare, iar sancțiunile pentru nerespectarea cerințelor R.G.P.D. pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro, oricare din ele este mai mare. Indiferent de domeniul de activitate sau de volumul de date, R.G.P.D. se aplică oricărei afaceri care prelucrează date personale.

Bibliografie
- Regulamentul general privind protecția datelor , ediția îngrijită și adnotată d eav Andrei săvescu , editura Hamangiu 2018 .
- Revista Română de Protecția datelor cu Caracter Personal ,nr 1/2018
- Ghidul privind Responsabilul cu protecția datelor (D.P.O.),
- Ghidul privind Responsabilul cu protecția datelor (D.P.O.), accesibil în secțiunea specială privind Noul Regulament de pe site-ul Autorității Naționale de Supraveghere a Datelor cu Caracter Personal - www.dataprotection.ro

footer