Ruxandra Vișoiu – Avocat fondator R&R Partners Bucharest | Membru JCI Bucurestiruxandra_visoiu

Pentru a crea un echilibru între protecţia datelor personale şi drepturile cetăţenilor, Comisia şi Parlamentul European au adoptat în 2017 Regulamentul General de Protecţie a Datelor (GDPR), document care a adus schimbări importante în modul prin care informațiile personale pot fi folosite de către societăți și autorități publice.

Începand cu data de 25 mai 2018, toate companiile, atât naționale cât și cele străine, care procesează informaţii personale aparţinând cetăţenilor europeni sunt obligate să se conformeze prevederilor Regulamentului General de Protecţie a Datelor. Nerespectarea acestuia poate fi sancţionată cu amenzi de până la 20 de milioane de Euro sau un maxim de 4% din cifra de afaceri a companiei.

Deși sunt prevăzute într-un Regulament UE, noile reglementări privind protecța datelor se aplică nu doar firmelor din UE, ci și celor dinafară care colaborează sau au clienți în spațiul Uniunii, scopul legii fiind acela de a proteja cetățenii Uniunii indiferent de raporturile comerciale în care se implică.

Care sunt principalele noi reglementări în protecția datelor personale?

  • Firmele nu mai sunt obligate să se înregistreze ca operator de date cu caracter personal

Înainte de GDPR, toate societățile care procesau, prin orice modalități, date cu caracter personal aveau obligația să se adreseze în prealabil Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o notificare prin care să prezinte tipul de date pe care le prelucrează sau stochează și să solicite obținerea unui număr de înregistrare ca operator de date cu caracter personal, număr care urma să fie menționat în documentele emise de societate.

Conform noilor reglementări, firmele care prelucrează date cu caracter personal sunt în mod automat operatori, fără a fi necesar să notifice ANSPDCP în acest sens. GDPR se concentrează așadar mai degrabă pe acordul la conformare a companiilor, respectarea cerințelor legale, nu pe calificarea entităților drept operatori sau non-operatori. În consecință, fiecare societate va trebui să își facă propria analiză a datelor prelucrate și să aprecieze dacă i se aplică sau nu GDPR, fără să notifice ANSPDCP. În acest context, însă, orice entitate este un posibil operator de date si ANSPDCP poate realiza controale pentru verificarea conformității la oricare firmă de pe piață.

  • Cartografierea datelor cu caracter personal

Înaintea procesării informațiilor personale, companiile trebuie să creeze un document intern numit “cartografierea datelor cu caracter personal” care sintetizează tipul de date prelucrate și procedurile aplicate. Acest document ar trebui să fie realizat în mod obligatoriu doar dacă societatea are peste 250 de angajați sau dacă procesează date personale considerate “sensibile” de lege( de exemplu informații despre starea de sănătate, despre profilul personal). Cu toate acestea, recomandăm pe cât posibil realizarea acestei cartografieri și pentru firmele care au sub 250 angajați, întrucât este un instrument foarte util în procesul ulterior de conformitate.

  • Data Protection Officer (DPO) sau Responsabil cu protecţia datelor

Companiile obligate să realizeze cartografierea datelor cu caracter personal trebuie să numească un responsabil cu protecţia datelor (data-protection officer, DPO), care va ţine evidenţa incidentelor legate de baze de date.

Cu toate acestea, autorităţile române au recomandat ca toate companiile inclusiv cele care au  mai puţin de 250 de angajați, să desemneze un DPO. Pentru a evita conflictele de interese, DPO-ul nu trebuie să ocupe o funcție de conducere în firmă, e.g. administrator, director general, director de HR, marketing sau financiar.

Funcţia de DPO poate fi ocupată de un angajat al firmei sau de un colaborator extern. Cu toate acestea, recomandăm în special firmelor mici și medii să păstreze funcția de DPO în intern, întrucât data protection officer trebuie să cunoască în primul rând foarte bine afacerea și procedurile interne ale firmei. O persoană externă, oricât de bine ar fi pregătită din punct de vedere teoretic nu va putea fi de ajutor în cazul unui posibil control dacă nu cunoaște bine procedurile firmei. Angajarea unui DPO extern nu exonerează societatea de răspunderea legală sau posibile amenzi în cazul în care se găsesc nereguli în ce privește procesarea datelor cu caracter personal.

  • Evidența încălcării protecţiei datelor

Conform noilor reglementări, fiecare companie trebuie sa ţină evidenţa tuturor incidentelor legate de pierderea, înlocuirea sau compromiterea bazelor de date ce stochează date personale. Spre exemplu, un atac informatic, pierderea ori furtul unui stick cu date personale sau dispariția fizică a unor liste cu date se încadrează în această categorie. Această procedură are drept scop responsabilizarea societăților care ar trebui să acorde maximă atenție securității datelor pe care le stochează sau le prelucrează și să ia toate măsurile  necesare ca aceste date să nu fie sustrase.

  • Înştiinţarea autorităţilor în maxim 72 de ore de la încălcarea protecţiei datelor

Cum am menţionat mai sus, companiile trebuie sa ţină evidenţa tuturor incidentelor legate de bazele lor de date. Cu toate acestea, unele încălcări ar putea reprezenta o ameninţare majoră la integritatea informaţiilor personale colectate și stocate de către companie.

Astfel, noile reglementări de protecţie a datelor obligă companiile să înştiinţeze imediat autorităţile în cazul unei incălcări de protecţie,  de exemplu baza de date a fost copiată de un terţ sau un angajat a lăsat compania cu o copie a bazei de date.

Companiile trebuie să înştiinţeze autorităţile în maxim 3 zile din momentul în care s-a constatat incidentul de securitate privind datele.

  • Acordul utilizatorilor cu privire la procesarea informaţiilor lor personale

Reglementările anterioare prevedeau că cetăţenii europeni trebuie să îşi dea consimţământul înainte ca o companie să le proceseze datele personale. Cu toate acestea, multe companii au găsit modalităţi de a obţine consimţământ fără cunoştinţa utilizatorilor, cum ar fi preselectarea opţiunilor la înregistrarea pe site-uri online, incluzând consimţământul procesării de date personale în contracte.

Noile reglementări sunt mai clare cu privire la acest aspect, iar sancţiunile aplicabile sunt de asemenea mai mari. Consimţământul explicit al persoanelor trebuie înregistrat fără a fi condiţionat de termeni comerciali şi trebuie păstrat în singuranţă de companie ca dovadă. Spre exemplu, dacă societatea stochează date pentru transmiterea unui newsletter lunar, acordul pentru primirea newsletter-ului trebuie păstrat, fizic sau informatic, în funcție de modul de prelucrare, astfel încât  la un control să poate fi demonstrat faptul că persoanele care primesc newsletter şi-au dat cu adevărat acordul în acest sens. O eroare comună este reluarea  consimțământului persoanelor, odată cu intrarea în vigoare a GDPR – aceasta este o eroare, întrucât consimțământul preluat în trecut este valabil și stocat cu dovada aferentă și nu trebuie repetată procedura.

Aceste cerințe presupun o legătură mult mai strânsă între departamentul de marketing şi IT, sau chiar departamentul legal al societății pentru a stabili cea mai bună variantă de procedură de preluare a consimțământului persoanei și stocarea acestuia. Soluții IT vor trebui găsite și pentru site-urile firmelor care utilizează cookies, întrucât utilizatorii trebuie anunțați de acest aspect încă de la intrarea pe site și să își dea acordul expres pentru folosirea acestora.

  • Dreptul de a fi șters din baza de date

În cazul nr. 131/12 Google v. Spain, Curtea Europeană de Justiție a afirmat că o persoana care la un anumit moment şi-a dat consimțământul unei companii ca datele sale să fie procesate, îşi poate retrage consimțământul în orice moment şi poate forţa compania să şterargă toate informațiile pe care le-a stocat în perioada respectivă.

Noile reglementări fac ca decizia Curţii Europene sa fie un standard pentru procesarea datelor personale. Astfel, orice persoană poate cere să fie ștearsă din baza de date a unei companii ( să nu mai primească newsletter sau oferte de job-uri în viitor etc.), fără a fi nevoită să ofere un motiv pentru care vrea să fie ștearsă.