RO EN
The cart is empty

CNIPMMR: Obligatii si sanctiuni in domeniul protectiei datelor cu caracter personal

I. Protectia datelor la nivel european
In data de 4 mai 2016, a fost publicat in Jurnalul Oficial al Uniunii Europene pachetul legislativ privind protectia datelor la nivelul Uniunii Europene, respectiv:
- Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), care va avea directa aplicabilitate in toate statele membre, inclusiv in Romania, incepand cu data de 25 mai 2018 si
- Directiva (UE) 2016/680 referitoare la protectia datelor personale in cadrul activitatilor specifice desfasurate de autoritatile de aplicare a legii.
Regulamentul UE 2016/679 circumstantiaza si detaliaza multe conditii deja existente in legislatia europeana (Directiva privind protectia datelor cu caracter personal 95/46/EC, care isi va inceta aplicabilitatea).
II. Regulamentul General privind Protectia Datelor
Prevederi principale
Regulamentul General privind Protectia Datelor stabileste normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal, precum si normele referitoare la libera circulatie a datelor cu caracter personal. Din punct de vedere al domeniului de aplicare material, Regulamentul se aplica prelucrarii datelor cu caracter personal, efectuata total sau partial prin mijloace automatizate, precum si prelucrarii prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenta a datelor.
Din punct de vedere al domeniului de aplicare teritorial, Regulamentul se aplica prelucrarii datelor cu caracter personal in cadrul activitatilor unui sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, indiferent daca prelucrarea are loc sau nu pe teritoriul Uniunii. Regulament se aplica prelucrarii datelor cu caracter personal ale unor persoane vizate care se afla in Uniune de catre un operator sau o persoana imputernicita de operator care nu este stabilit(a) in Uniune, atunci cand activitatile de prelucrare sunt legate de:
- oferirea de bunuri sau servicii unor astfel de persoane vizate in Uniune, indiferent daca se solicita sau nu efectuarea unei plati de catre persoana vizata
- monitorizarea comportamentului lor daca acesta se manifesta in cadrul Uniunii.
Cu privire la tipul de date colectate, Regulamentul UE 2016/679 largeste spectrul de date incluse sub sigla ”personale”, fiind din aceasta perspectiva cea mai stricta reglementare europeana de pana acum.
Regulamentul defineste datele personale ca orice fel de informatie despre o persoana fizica care poate duce, direct sau indirect, la identificarea acestei persoane. In aceasta categorie sunt incluse numele, numerele de identificare, date despre locatie dar si orice alt tip deidentificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice. Spre deosebire de Directiva 95/46/EC, informatiile despre locatie sau identificatorii online vor fi considerate date personale. Regulamentul UE 2016/679 vizeaza si identificatorii online oferiti de device-uri, de aplicatii sau de protocoale, markeri de tipul adrese internet protocol, chiar si cookies sau tag-uri de radio frecventa.
Principiile de prelucrarea datelor cu caracter personal- datele cu caracter personal trebuie sa fie:
(a) prelucrate in mod legal, echitabil si transparent fata de persoana vizata („legalitate, echitate si transparenta”);
(b) colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;
(c) adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate („reducerea la minimum a datelor”);
(d) exacte si, in cazul in care este necesar, sa fie actualizate;
(e) pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele;
(f) prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal.
Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:
(a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
(c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
(d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
(f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.
Persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:
(a) scopurile prelucrarii;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din tari terte sau organizatii internationale;
(d) acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
(e) existenta dreptului de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
(f) dreptul de a depune o plangere in fata unei autoritati de supraveghere;
(g) in cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informatii disponibile privind sursa acestora;
(h) existenta unui proces decizional automatizat incluzand crearea de profiluri.
Cu privire la responsabilitatea operatorului, tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar.
Obligatiile de pastrare a evidentei nu se aplica unei intreprinderi sau organizatii cu mai putin de 250 de angajati, cu exceptia cazului in care prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnari penale si infractiuni, astfel cum se mentioneaza la articolul 10.
La realizarea unei evaluari a impactului asupra protectiei datelor, operatorul solicita avizul responsabilului cu protectia datelor, daca acesta a fost desemnat.
Operatorul si persoana imputernicita de operator desemneaza un responsabil cu protectia datelor ori de cate ori:
(a) prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;
(b) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga; sau
(c) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date.
Un grup de intreprinderi poate numi un responsabil cu protectia datelor unic, cu conditia ca responsabilul cu protectia datelor sa fie usor accesibil din fiecare intreprindere. Nerespectarea Regulamentului General privind Protectia Datelor poate atrage mai multe tipuri de sanctiuni/despagubiri, inclusiv amenzi foarte mari de pana la 20 de milioane de euro sau 4% din cifra de afaceri globala.
III. Proces complex de implementare si costuri ridicate
Cheltuielile vor fi diferite in functie de sectorul de activitate si de complexitatea activitatilor desfasurate, fiind vizate aducerea site-ului si a sistemelor interne in conformitate cu Regulamentul, prelucrarea datelor angajatilor, a datelor clientilor in scopuri de marketing, a datelor sensibile ale unor clienti (date de sanatate, cazier fiscal/judiciar etc.), vanzarile on-line, etc.
Potrivit studiului “The Economic Costs of the European Union’s Cookie Notification Policy”din 2014 politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care Regulamentul General privind Protectia Datelor vine sa o inlocuiasca) genera o cheltuiala anuala de peste 2 miliarde de euro in cadrul Uniunii Europene. Costul investit in aducerea site-ului si a sistemelor interne in conformitate cu reglementarile in vigoare fusese atunci estimat la 900€/site, suma ce poate fi un reper si pentru cerintele Regulamentului General privind Protectia Datelor.
IV. CNIPMMR solicita masuri de sustinere a IMM-urilor
Desi, de regula, obligatiile de pastrare a evidentei nu se aplica IMM-urilor, intreprinderile sau organizatiile cu mai putin de 250 de angajati au obligatii de pastrare a evidentei incazul in care prelucrarea este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, daca prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date, foarte multe intreprinderi incadrandu-se in aceste situatii.
Nu exista masuri/programe de consiliere si sustinere a IMM-urilor din Romania pentru implementarea Regulamentului General privind Protectia Datelor, in conditiile in care mai sunt 3 luni pana la data aplicarii Regulamentului (25 mai 2018).
CNIPMMR solicita autoritatilor competente adoptarea urmatoarelor masuri urgente:
- asigurarea unui serviciu de consiliere gratuita pentru IMM-uri operational inainte cu minim 2 luni de data aplicarii Regulamentului General privind Protectia Datelor;
- realizarea unui ghid aplicativ concret si complet pentru IMM-uri, cu pasi de urmat, proceduri operationale, institutii, termene, formulare, etc. disponibil on-line;
- realizarea unei ample campanii de informare adaptate specificului IMM-urilor;
- punerea in aplicare a art. 3 alin. (1) din Legea prevenirii nr. 270/2017, potrivit cu care: “Toate autoritatile/institutiile publice cu atributii de control, constatare si sanctionare a contraventiilor au obligatia, corespunzator domeniilor aflate in responsabilitatea acestora, ca, in termen de 3 luni de la data intrarii in vigoare a prezentei legi, sa elaboreze si sa difuzeze materiale documentare si ghiduri si sa aloce pe pagina de internet sectiuni special dedicate informarii publice”;
- punerea in aplicare a art. 3 alin. (3) din Legea prevenirii nr. 270/2017, potrivit cu care: autoritatile/institutiile publice cu atributii de control au obligatia sa elaboreze proceduri de indrumare si control, sa afiseze pe site-urile proprii spetele cu frecventa ridicata si solutiile de indrumare emise, sa exercite activ rolul de indrumare, oferind, conform procedurilor, indicatiile si orientarile necesare pentru evitarea pe viitor a incalcarii prevederilor legale;
- punerea in aplicare a art. 3 alin. (4) din Legea prevenirii nr. 270/2017, potrivit cu care: „Autoritatea administratiei publice centrale cu atributii de coordonare la nivel national a domeniului mediul de afaceri (Ministerul pentru Mediul de Afaceri, Comert si Antreprenoriat) are obligatia ca, in termen de 6 luni de la data intrarii in vigoare a prezentei legi, de a dezvolta si opera un portal dedicat oferirii in mod centralizat de servicii online si resurse in vederea informarii in ceea ce priveste aspectele prevazute la alin. (1)”.

AGENDA CONSTRUCTIILOR

Vizualizaţi acum şi valorificaţi toate oportunităţile!
Ştiri de calitate și informaţii de afaceri pentru piaţa de construcţii, instalaţii, tâmplărie şi domeniile conexe. Articolele publicate includ:
- Ştiri de actualitate, legislaţie, informaţii statistice, tendinţe şi analize tematice;
- Informaţii despre noi investiţii, lucrări, licitaţii şi şantiere;
- Declaraţii şi comentarii ale principalilor factori de decizie /formatori de opinie;
- Sinteza unor studii de piaţă realizate de către organizaţii abilitate;
- Date despre noile produse şi tehnologii lansate pe piaţă.
AGENDA INVESTITIILOR
EURO-CONSTRUCTII
EURO-FEREASTRA
FEREASTRA

Abonare newsletter