Anuntul intrarii in vigoare a REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUIdin 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, denumit, in cele ce urmeaza GDPR, a generat numeroase intrebari pr ivind aplicabilitatea si obligatiile care decurg din aplicarea acestuia care ar reveni societatilor comerciale care isi desfasoara activitatea pe teritoriul Romaniei.
In aceste conditii, chiar si micile companii (SRL-uri, Societati in comandita, I.I.-uri) ale caror activitati nu se deruleaza in domenii care, in mod implicit constituie operatori de date personale (telefonie mobila, furnizare de internet, servicii medicale, servicii de securitate și de asigurări, servicii bancare/financiare, etc.) isi pun problema obligativitatii, in ceea ce le priveste trasarea si implemetarea masurilor de protectie a datelor personale, impuse prin GDPR.
Regulamentul european prevede ca obligatia de a tine o evidenta a activitatilor de prelucrare a datelor personale revine oricarui operator, astfel cum este definit acesta la pct. 7, art. 4 din GDPR: – “persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”.
Pentru a intelege, cu claritate, conceptul reglementat prin noul regulament ce urmeaza sa se aplice si in tara noastra, incepand cu data de 25 mai 2018, este necesar a mentiona si definitiile altor doua notiuni, si anume:
„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; |
|
„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. |
Una dintre primele intrebari, pe care o companie, in calitatea acesteia de angajator, o formuleaza, in mod firesc, este aceea daca, avand in vedere ca, la incheierea contractelor individuale de munca, sunt solicitate date cu caracter personal, acest fapt ar intra in aria de aplicabilitate a GDPR? Avand in vedere ca aceste culegeri si prelucrari de date decurg firesc din raportul de munca, din necesitatea ca angajatorul sa poata identifica, in mod corect si complet angajatul, sa ii poata efectua virarea salariului in contul bancar, sa efectueze inregistrarea contractului de munca in sistemul Revisal, fiind chiar obligatorii, atat timp cat prelucrarea datelor nu excede scopurile stabilite si legale, aceste operatiuni nu vor contraveni prevederilor noului regulament.
Prelucrarea datelor personale de catre angajatori, exclusiv in cadrul executarii contactelor de munca este legala, insa se va efectua cu respectarea urmatoarelor conditii:
Cu ocazia indeplinirii unor obligatii legale ce ii revin angajatorului, precum inregistrarea contractelor individuale de munca in sistemul Revisal, transmiterea datelor angajatilor in scopul protectiei muncii sau asigurarilor sociale, transmiterea datelor catre administratia financiara, prelucrari legate de medicina muncii. Orice alte date personale colectate in mod suplimentar si prelucrate pot fi considerate excessive si sanctionate.
Existenta consimtamantului din partea persoanei vizate: acordul persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate. Foarte important de retinut este faptul ca este necesara o analiza detaliata a situatiei concrete, pentru asigurarea respectarii tuturor prevederilor GDPR.
Printre aceste cerințe se numără și oferirea unor drepturi suplimentare angajatului, fata de cazul prelucrarii datelor pentru executarea contractului sau indeplinirea unei obligatii legale, precum dreptul angajatului de a-si retrage consimtamantul, oricand doreste. In situatia in care angajatul isi retrage consimtamantul, angajatorul este obligat sa inceteze, deindata, prelucrarea datelor si, eventual, sa le stearga.
Angajatorul operator trebuie sa detina un interes legitim: interesul legitim al angajatorului poate fi folosit ca temei pentru prelucrarea datelor, in conditiile in care nu aduce o ingerinta nepermisa in viata privata a angajatului. Insa, anterior implementarii unor masuri justificate pe existent unui interes legitim, societatea ar trebui sa efectueze o analiza a proportionalitatii, intre scopurile sale si dreptul la viata privata a angajatului si daca nu cumva exista alte mijloace de culegere a informatiilor necesare, care sa nu presupuna ingerinte in viata privata a angajatului.
O alta situatie in care o companie, in calitate de angajator, ar solicita si prelucra date personale o constituie procedura de recrutare. Se apreciaza ca, deindata ce procesul de recrutare a luat sfarsit, iar persoanei analizate i-a fost comunicat refuzul, angajatorul ar trebui sa stearga datele personale ale celui intervievat. In cazuri speciale, in care angajatorul are un interes legitim in stocarea acestor date (pentru o eventuala viitoare etapa de recrutare) – interes legitim care trebuie evaluat in mod real – acesta va putea pastra datele accumulate, cu conditia de a aduce la cunostinta persoanei vizate intentia sa si perioada pentru care datele vor fi stocate.
Potrivit art. 30, alin. 1 din GDPR fiecare operator si, după caz, reprezentantul acestuia are obligatia de a pastra o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea lor, in evidenta fiind inscrise urmatoarele informatii:
|
a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor; b) scopurile prelucrarii; c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal; d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale; e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate; f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date; g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1). Fiecare operator si, dupa caz, persoana imputernicita de operator pastreaza o evidenta a tuturor categoriilor de activitati de prelucrare desfasurate in numele operatorului, care va cuprinde: a) numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz; b) categoriile de activități de prelucrare desfășurate în numele fiecărui operator; c) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate; d) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1). Insa, obligatiile mentionate la alineatele 1 si 2 ale art. 30 se aplica unei intreprinderi sau organizatii cu mai mult de 250 de angajati. Aceste prevederi se vor aplica si acelor intreprinderi cu un numar mai mic de 250 de angajati, in situatia in care prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, cand prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date, astfel cum se prevede la art. 9, alin 1 (date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate și date genetice, biometrice pentru identificarea unica a unei persoane fizice, date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice) sau date cu caracter personal referitoare la condamnari penale si infractiuni, conform art. 10 din GDPR. In conditiile aplicarii noului regulament european, intreprinderile nu vor mai avea obligatia de a depune notificarea privind calitatea de operator de prelucrare a datelor cu caracter personal, la Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Vor fi efectuate controale, urmand ca, in cazurile in care sunt constatate incalcari ale prevederilor GDPR, sa fie aplicate sanctiuni. Desemnarea unui responsabil cu protecția datelor va fi obligatorie pentru entitățile publice (de principiu, autoritățile naționale, regionale și locale, exceptând instanțele) și pentru firmele care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale sau prelucrarea pe scară largă a unor categorii speciale de date. Potrivit art. 37 din regulament, intreprinderile au obligatia sa desemneze un responsabil cu protectia datelor personale – DPO (data protection officer) in urmatoarele cazuri: a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale; b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10. Potrivit Ghidului privind Responsabilul cu protecția datelor (DPOs), intocmit de grupul de lucru special constituit W29, cu exceptia cazului in care este evident faptul ca o organizatie nu este obligata sa desemneze un DPO, WP29 recomanda ca operatorii si persoanele imputernicite de operator sa documenteze evaluarile interne efectuate pentru a determina daca va fi numit un DPO, pentru a fi in masura sa demonstreze ca au fost luati in considerare in mod corespunzător factorii relevanti. Aceasta analiza reprezinta o parte a documentatiei potrivit principiului responsabilitatii. Aceasta poate fi solicitata de autoritatea de supraveghere si ar trebui actualizata atunci cand este necesar, de exemplu, in situatia in care operatorii sau persoanele imputernicite de operatori intreprind activitati noi sau furnizeaza servicii noi care se pot incadra in cazurile enumerate la art. 37(1). Totodata, nimic nu impiedica o organizatie, care nu are obligatia legala de a desemna un DPO si nu doreste sa desemneze un DPO in mod voluntar, sa angajeze personal sau consultanti externi cu sarcini legate de protectia datelor cu caracter personal. In acest caz, este important sa se asigure ca nu exista nicio confuzie in ceea ce priveste titlul, statutul, pozitia si sarcinile acestora. Pentru ca desemnarea unui DPO sa fie obligatorie, astfel cum rezulta din cuprinsul art. 37, trebuie ca operatorul sa desfasoare ca activitati principale, activitatile de prelucrare a datelor cu caracter personal. Art. 37(1)b) si c) din RGPD se refera la „activitatile principale ale operatorului sau ale persoanei imputernicite de operator”. W29 specifica faptul ca activitatile principale ale operatorului se refera la „activitatile de baza si nu la prelucrarea datelor cu caracter personal drept activitati auxiliare”. „Activitatile principale” pot fi considerate ca operatiuni-cheie necesare pentru indeplinirea obiectivelor operatorului sau persoanei imputernicite de operator. Cu toate acestea, „activitatile principale” nu ar trebui interpretate ca excluzand activitatile in care prelucrarea datelor reprezinta o parte indisolubila a activitatii operatorului sau persoanei imputernicite de operator. Spre exemplu, activitatea principala a unui spital este de a oferi asistenta medicala. Cu toate acestea, un spital nu poate oferi asistenta medicala in conditii de siguranta si in mod eficient, fara prelucrarea datelor privind starea de sanatate, cum ar fi dosarele medicale ale pacientilor. Prin urmare, prelucrarea acestor date ar trebui sa fie considerata a fi una dintre activitatile principale in orice spital si, prin urmare, spitalele trebuie să desemneze un DPO. Ca un alt exemplu, o companie de securitate privata efectueaza supravegherea unui numar de centre comerciale private si spatii publice. Supravegherea este activitatea de baza a companiei, care, la randul sau, este indisolubil legata de prelucrarea datelor cu caracter personal. Prin urmare, aceasta societate trebuie sa desemneze, de asemenea, un DPO. Pe de alta parte, toate organizatii efectueaza anumite activitati, spre exemplu, plata angajatilor lor sau detinerea de activitati standard de suport IT. Acestea sunt exemple de functii de sprijin necesare pentru activitatea de baza sau principala a organizației. Chiar daca aceste activitati sunt necesare sau esentiale, acestea sunt de obicei considerate mai degraba functii auxiliare decat activitate principala. Intr-adevar, nu este posibil să se ofere un numar exact, fie în ceea ce privește volumul de date prelucrate, fie în ceea ce priveste numărul de persoane vizate, care ar fi aplicabil în toate situațiile, insa WP29 recomanda ca urmatoarele criterii sa fie luate in considerare atunci cand se stabileste daca prelucarea este efectuata pe o scara larga sau nu. Totodata, art. 37(1)b) și c) impune ca prelucrarea datelor cu caracter personal să fie efectuata pe o scară larga pentru declansarea activitatii de desemnare a unui DPO. RGPD nu defineste ce anume constituie prelucarea pe scara larga. Totusi, Ghidul ofera unele orientari. – numarul persoanelor vizate – un numar exact sau un procent relevant – volumul datelor si/sau gama de elemente diferite de date in curs de prelucrare – durata sau permanenta activitatii de prelucrare a datelor – suprafata geografică a activitatii de prelucrare – prelucrarea datelor pacientilor in activitatea regulata a unui spital Exemple de prelucrari pe scara larga includ: – prelucrarea in timp real a datelor de geolocalizare a clientilor unei retele internationale de fast-food in scopuri statistice de catre o persoana imputernicita de operator specializata in furnizarea serviciilor de acest tip – prelucrarea datelor de calatorie a unei persoane fizice ce utilizeaza sistemul de transport public (spre exemplu urmarire cu ajutorul cardurilor de calatorie) – prelucrarea datelor clientilor in activitatea regulata a unei companii de asigurari sau a unei banci – prelucrarea datelor personale de catre un motor de cautare in scop de publicitate comportamentala – prelucrarea datelor (continut, trafic, localizare) de catre furnizorii de telefonie sau servicii de Internet Exemple ce nu constituie de prelucrari pe scara larga includ: – prelucrarea datelor pacientului de catre un medic individual – prelucrarea datelor personale referitoare la condamnarile penale si infractiuni de catre un avocat individual Notiunea de monitorizare periodica si sistematica a persoanelor vizate nu este definita în RGPD, dar conceptul de „monitorizare a comportamentului persoanelor vizate” este mentionat in Ghid si include in mod clar toate formele de urmarire si profilarea pe Internet, inclusiv in scop de publicitate comportamentala. Cu toate acestea, notiunea de monitorizare nu este restrictionata in mediul online, iar urmarirea online ar trebui sa fie considerata doar ca un exemplu de monitorizare a comportamentului persoanelor vizate. Notiunea de „periodic”face trimitere la una dintre urmatoarele situatii: – in curs de desfasurare sau care apare la anumite intervale intr-o anumita perioada – recurente sau repetate la perioade fixe – constante sau care au loc periodic WP29 interpreteaza „sistematic” ca insemnand una sau mai multe din următoarele: – aparut conform sistemului prearanjat, organizat sau metodic – luand loc ca parte a unui plan general de colectare a datelor – efectuat ca parte a unei strategii Exemple de activitati care pot constitui o monitorizare periodica si sistematica a persoanelor vizate: operarea unei retele de telecomunicatii; furnizarea de servicii de telecomunicatii; e-mail de directionare repetata; activitati de marketing bazate pe date; profilare și scoring in scopul evaluarii riscurilor (de exemplu, in scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spalarii banilor); urmarirea locatiei, spre exemplu, prin aplicatii mobile; programe de loialitate; publicitate comportamentala; monitorizarea wellness, fitness si a datelor de sanatate prin intermediul dispozitivelor portabile; televiziune cu circuit inchis; dispozitive conectate spre exemplu, contoare inteligente, masini inteligente, automatizare acasa, etc.
|