Mitul #1: sunt o firma mica, iar problemele legate de protectia datelor personale nu ma privesc.
Adevarul: GDPR priveste pe aproape toata lumea cu foarte putine exceptii (de exemplu: un PFA, fara angajati, care presteaza servicii B2B in care nu se vehiculeaza date cu caracter personal).
Regulamentul 679/2016 privind privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (GDPR) se aplica “prelucrarii datelor cu caracter personal, efectuatatotal sau partial prin mijloace automatizate, precum si prelucrarii prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenta a datelor”. Totodata, datele cu caracter personal sunt definite ca “orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
Cu alte cuvinte, chiar daca aveti o cafenea care pune la dispozitie gratuit o conexiune WIFI la internet prelucrati date cu caracter personal. De asemenea, daca aveti un birou de traduceri, ori sunteti medic stomatolog, prelucrati date cu caracter personal. In ultimele doua exemple, datele prelucrate au caracter special, ceea ce necesita un plus de atentie in activitatea curenta pentru conformitatea cu prevederile GDPR.
Daca recitim cu atentie domeniul de aplicare al GDPR, obligatia respectarii Regulamentului nu este limitata la datele stocate in format electronic, ci este extinsa la orice forma de stocare si procesare a acestora. Chiar si CV-urile tinute intr-un dulap in departamentul de resurse umane, in vederea unor recrutari viitoare, constituie date cu caracter personal, aflate intr-un sistem de evidenta non-electronic si prelucrate in mod neautomat.
Mitul #2: GDPR a fost introdus ca sa puna noi bete in roate antreprenorilor.
Adevarul: Protectia datelor cu caracter pesonal este un subiect legiferat cu multi ani in urma, insa GDPR a definit intr-o maniera mai stricta obligatiile operatorilor si intr-o maniera mai detaliata drepturile persoanelor vizate. In plus, GDPR ia intotdeauna in calcul doua aspecte, pentru care operatorul trebuie sa isi identifice singur solutia cea mai la indemana:
- Operatorul are obligatia sa respecte confidentialitatea datelor cu caracter personal ale persoanelor vizate si prevederile Regulamentului;
- Operatorul are libertatea de a-si alege masurile tehnice si organizatorice adecvate, in conditiile de cost optime pentru el, masuri care sa conduca la respectarea obligatiei de la punctul (a).
Aceasta exprimare destul de vaga, dar si generoasa in acelasi timp, face ca, de ingeniozitatea operatorului, sau a consultantilor sai, sa depinda modul in care, cu efort minim, sa se asigure totusi respectarea Regulamentului.
Mitul #3: Amenzile de 20 de milioane de euro vor scoate din joc multi antreprenori.
Adevarul: Ultimele luni au inregistrat o abundenta de cursuri si oferte de consultanta, unele de calitate indoielnica, care s-au promovat intr-o maniera la fel de dubioasa, prin activarea sentimentului de panica la nivelul clientilor, panica controlata prin mentionarea amenzilor maxime care pot fi date de un eventual control, respectiv 20 de milioane de euro sau 4% din cifra de afaceri globala.
Pentru oricine a facut o lectura, fie si lejera, a Regulamentului, este clar ca logica Autoritatii de Supraveghere nu este sa inchida operatorii economici, ci sa sanctioneze intr-o maniera rezonabila abaterile de la prevederile GDPR. Astfel, Autoritatea are la indemana o lista lunga de actiuni corective:
– poate emite avertizari sau mustrari;
– poate da dispozitii unui operator cu privire la conformarea cu prevederile Regulamentului;
– poate obliga un operator sa informeze persoanele vizate sau sa limiteze anumite prelucrari;
– poate impune limitari temporare de prelucrare a unor date;
– poate dispune stergerea datelor detinute de un operator;
– poate impune amenzi administrative.
Amenzile, la randul lor, se cuantifica in functie de gravitatea incalcarii Regulamentului, de gradul de risc pe care actiunile sau lipsa de actiune a operatorului l-au generat fata de drepturile si libertatile fundamentale ale persoanelor vizate, precum si in functie de o serie de circumstante atenuante sau agravante.
Recenta amenda in valoare de 10.000 de lei aplicata de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal unui mare operator de telefonie mobila pentru prelucrarea nelegala a unor date demonstreaza ca situatia nu e nici pe departe atat de dramatica pe cum o prevedeau “specialistii” inainte de 25 mai 2018, data intrarii in vigoare a Regulamentului.
Nu este insa mai putin adevarat faptul ca, daca o prima amenda poate fi modicata, Autoritatea poate aplica in mod repetat amenzi aceluiasi operator, iar constatarea repetata a aceleiasi abateri (circumstanta agravanta) poate genera cresterea exponentiala a amenzii.
Nu in ultimul rand, mentionam ca, potrivit dispozitiilor Legii nr. 129/2018, act normativ recent intrat in vigoare, la data de 24.06.2018, operatorul sau persoana imputernicita de acesta au dreptul de a ataca sanctiunile aplicate impotriva sa, de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Calea de atac este contestatia, ce se poate formula in termen de 15 zile de la comunicare la sectia de contencios administrativ a tribunalului competent (de regula, tribunalul in a carei circumscriptie isi are sediul operatorul), iar solutia pronuntata la fond poate fi, la randul sau, atacata cu apel ce va fi solutionat de sectia de contencios administrativ a instantei superioare (curtea de apel competenta).
Mitul #4: Aplicarea GDPR inseamna sa obtii consimtamantul angajatilor pentru prelucrarea datelor si sa postezi o nota de informare pe site-ul web.
Adevarul: Nimic mai fals. Cum spuneam mai sus, aplicarea GDPR inseamna instituirea de catre companie a unui set de masuri tehnice si organizatorice care sa demonstreze oricarui eventual control ca procesarea datelor cu caracter personal (fie a angajatilor, sau a clientilor sau a oricarei alte persoane vizate) se face in mod legitim si in siguranta.
Respectivele masuri, de cele mai multe ori de natura mai degraba organizatorica decat tehnica, vor fi cuprinse intr-un manual de proceduri GDPR care vor constitui dovada conformarii operatorului la prevederile legislative in materie de protectia datelor cu caracter personal.
Consultat GDPR,
Valentin Militaru
0 Comments