Proiect de lege privind aplicarea Regulamentului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date („GDPR”)

 

Camera deputaţilor a adoptat propunerea legislativă privind măsurile de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor).

 

Conform Regulamentului Parlamentului European şi al Consiliul Uniunii Europene nr. 679/27.04.2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei nr. 94/45/CE (denumit în continuare, în mod generic “Regulamentul”), datele cu caracter personal pot fi utilizate şi stocate numai   în condiţii de siguranţă şi numai pentru scopuri clar specificate.

 

Datele cu caracter personal sunt definite ca fiind orice informaţii privitoare la o persoană fizică identificată sau identificabilă. O persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular, prin referire la un număr de identificare ori la unul sau la mai multi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Prelucrarea datelor cu caracter personal reprezintă orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea.

 

Potrivit Regulamentului, operatorii de date cu caracter personal, precum şi orice alte persoane juridice ori autorităţi au obligaţia de a garanta faptul că datele cu caracter personal la care au acces sunt:

  • Prelucrate cu bună credinţă şi în conformitate cu dispoziţiile legale;
  • Colectate în scopuri determinate, explicite şi legitime;
  • Adecvate, pertinente şi neexcesive, prin raportare la scopul în care sunt colectate şi ulterior prelucrate;
  • Exacte şi actualizate. Datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate şi respectiv prelucrate vor fi şterse sau rectificate;
  • Stocate într-o formă care să permită identificarea persoanei vizate strict pe perioada necesară realizării scopurilor în care datele sunt colectate şi prelucrate.

 

Persoanele fizice, ale căror date personale sunt prelucrate, au dreptul de fi informate asupra scopurilor şi modurilor în care respectivele date sunt utilizate, precum şi de a se opune la utilizarea acestora, atunci când nu şi-au dat acordul asupra utilizării acestora, ori atunci când operatorii de date cu caracter personal încalcă regulile de folosire şi stocare a acestor informaţii.

 

De asemenea, în conformitate cu prevederile acestui Regulament, operatorii de date cu caracter personal au obligaţia de a desemna un responsabil cu protecţia datelor cu caracter personal, care să supravegheze şi să urmărească implementarea procedurilor specifice asigurării respectării tuturor regulilor şi măsurilor instituite de Regulament, pentru protecţia menţionatelor date.

 

Regulamentul este direct aplicabil în dreptul nostru intern, începând cu data de 25 mai 2018, iar proiectul de lege adoptat deja de Camera Deputaţilor (denumit în continuare „Proiectul de Lege/Legea”) instituie măsuri specifice pentru punerea în aplicare a Regulamentului.

           

            Proiectul de Lege defineşte:

  • autorităţile şi organismele publice ce vor implementa şi respecta Regulamentul (ex. Parlamentul, Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de specialitate ale administraţiei publice centrale şi locale, etc.);
  • numărul de identificare naţional, ca fiind numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere şi numărul de asigurare socială de sănătate.

 

Totodată, Proiectul de Lege preia definiţiile date de Regulament, în dreptul intern.

 

Conform Proiectului de Lege, prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua numai în situaţiile şi scopurile prevăzute de Regulament, respectiv al realizării intereselor legitime urmărite de operator ori de o terţă persoană, cu instituirea de proceduri specifice acordării următoarelor garanţii, dintre care enumerăm:

  • punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea principiului reducerii la minim a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrării datelor cu caracter personal;
  • numirea unui responsabil pentru protecţia datelor, conform rigorilor Regulamentului;
  • aderarea la un cod de conduită instituit în mod particular pentru protecţia datelor şi asumarea respectării dispoziţiilor acestui cod;
  • stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite;
  • instruirea periodică cu privire la obligaţiile ce le revin persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează datele cu caracter personal.

 

Proiectul de lege mai instituie o serie de reguli privitoare la:

  • prelucrarea datelor cu caracter personal în contextul relaţiilor de muncă, inclusiv în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de supraveghere video la locul de muncă;
  • prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator;
  • prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopuri academice, artistice sau literare;
  • prelucrarea datelor cu caracter personal în scopuri de cercetare ştiinţifică sau istorică, în scopuri statistice sau în scopuri de arhivare în interes public.

 

Potrivit Regulamentului, fiecare stat membu are obligaţia de a se asigura că una sau mai multe autorităţi publice independente sunt responsabile cu:

  • monitorizarea aplicării prevederilor referitoare la protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în ceea ce priveşte prelucrarea;
  • facilitarea liberei circulaţii a datelor cu caracter personal.

De asemenea, conform Regulamentului, autorităţile de supraveghere încurajează instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi sigilii sau mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă Regulamentul, cu luarea în considerare a necesităţilor specifice ale microîntreprinderilor, ale întreprinderilor mici sau mijlocii. Mecanismele de certificare sunt instituite nu numai pentru a fi respectate de către operatori sau de persoanele împuternicite de aceştia, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de aceştia, în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale.

Potrivit Proiectului de Lege, acreditarea organismelor de certificare, în ţara noastră, se realizează de Asociaţia de Acreditare din România („RENAR”), în conformitate cu Regulamentul (CE) nr. 765/2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de aprobare a Regulamentului (CEE)  nr. 339/93 şi cu O.G. nr. 23/2009 privind activitatea de acreditare a organismelor de evaluare a conformităţii, cu modificările şi completările ulterioare.

 

Proiectul de Lege reglementează, în detaliu, regimul sancţionator al nerespectării prevederilor Regulamentului, precum şi ale Legii. Încălcarea acestor reglementări constituie contravenţie, iar sancţiunile principale sunt mustrarea şi amenda. Sancţiunile pot viza, însă, şi următoarele măsuri:

  • impunerea, în sarcina operatorului, a unor limitări temporare sau definitive de prelucrare a datelor;
  • obligarea la rectificarea sau ştergerea datelor;
  • restricţionarea prelucrării.

 

Conform Proiectului de Lege, autoritatea competentă cu efectuarea inspecţiilor necesare şi aplicării măsurilor contravenţionale este Autoritatea Naţională de Supraveghere a Datelor cu Caracter Personal.

 

Concluzionând, legea a fost adoptată de Camera Deputaţilor, cu majoritate de voturi, urmând a fi supusă dezbaterilor în Senatul României, în calitate de for decizional, apoi promulgată de Preşedintele României şi publicată în Monitorul Oficial.

 

avocat Mădălina Ionescu

Înscriere newsletter

Abonați-vă la newsletter pentru a fi la curent cu toate noutățile Avestis.

Vă rugăm să așteptați...

Mulțumim pentru înscrierea la newsletter!

 

Etichete: , ,