INTRODUCERE
In data de 25.05.2018 vor fi direct aplicabile noi reglementari europene privind protecția datelor personale care reafirma inca odata importanta dreptului la protecția datelor personale , parte integranta a dreptului la viata privata , prevazut de Conventiile privind drepturile omului si care se conturează tot mai mult ca ca un drept fundamental de sine stătător, autonom asa cum este aratat si in punctul de vedere al UNBR privind noile reglementari intitulat Noi responsabilitati, noi oportunitati, exprimat de presedintele acesteia, Av.dr.Gh.Florea.
Aceste noi reglementari europene care au intrat in vigoare in 25.05.2016 dar vor fi direct aplicabile la implinirea unei durate de 2 ani necesara implementarii lor, se refera de fapt la un intreg pachet de reforme in acest domeniu , pachetul de reformă al UE privind protecția datelor, din care face parte Regulamentul general privind protecția datelor (RGPD)- “GDPR” (General Data Protection Regulation) alături de directiva privind protecția datelor pentru autoritățile polițienești și judiciare si de alte reglementari europeana privind transferul datelor in afara UE.
Primele două acte normative europene din acest pachet de reforma care se evidentiaza ca impact sunt:
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privindlibera circulație a acestor date și de abrogare a Directivei 95/46/CE (GDPR) , care se va aplica direct, începând cu data de 25 mai 2018, fără a fi necesară vreo transpunere, fiind deja intrat in vigoare in 25.05.2016. Regulamentul (UE) 2016/679 actualizează principiile stabilite încă de acum două decenii de Directiva 95/46/CE care își va înceta aplicabilitatea.
Regulamentul le permite cetățenilor Uniunii Europene (UE) să dețină mai bine controlul asupra propriilor date cu caracter personal. De asemenea, acesta modernizează și unifică normele, permițându-le întreprinderilor să reducă birocrația și să se bucure de o încredere sporită din partea consumatorilor
Intrarea în vigoare a fost stabilită pentru 25 mai 2018, la aproximativ doi ani de la publicare, tocmai pentru a permite instituțiilor publice și companiilor de stat și private să își poată pregăti și implementa propriul cadru de conformitate la prevederile Regulamentului. deoarece după această dată există sancțiuni importante pentru lipsa de conformitate.
Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului , care are termen limită de implementare 6 mai 2018.
Această directivă trebuie transpusă si in acest sens există un proiect, care a fost în dezbatere publică pe site-ul Ministerului Afacerilor Interne, autoritatea desemnată pentru implementarea Direcției (UE) 2016/680.
Proiectul de lege care implementează GDPR și Directiva (UE) 2016/680 a fost publicat pentru dezbatere publică pe site-ul MAI, la data de 5.09.2017 impreuna cu expunerea de motive si un tabel comparativ al modificarilor impuse. In prezent este inca in circuitul legislativ, in 21 .03.2018 fiind pe ordinea de zi a sedintei Guvernului.Este un proiect de modificare și completare a nr. Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Acesta abrogă și Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, întrucât Regulamentul GDPR este aplicabil direct, în toate țările UE, nefiind necesară nici o transpunere. Acest proiect trebuie urgentat in prcedura legislativa, în următoarele două luni, pentru a nu intra în procedura de infringement.
La nivelul UE exista in plus orientări/documente ale grupul de lucru instituit prin articolul 29, în vederea punerii în aplicare a regulamentului, referitoare la aspecte foarte importante, cum ar fi: încălcarea securității datelor, consimțământul, transparența , certificarea și acreditarea etc, și care sunt în curs de elaborare.
ARIA DE APLICARE MATERIALA SI TERITORIALA
Regulamentul nr. 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date se aplica asa cum se mentioneaza in art 3(22) si (25) din Regulament
* se aplică tuturor societăţilor care au sediul în Uniunea Europeană şi care, în desfăşurarea activităţii, prelucrează date cu caracter personal, indiferent dacă prelucrează sau nu aceste date pe teritoriul Uniunii Europene.
*organizaţiilor fără un sediu în Uniunea Europeană, atunci când activitățile de prelucrare sunt legate de oferirea de bunuri sau servicii unor persoane vizate aflate în Uniune sau de monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
ACTIVITĂȚILE AFECTATE PRIN IMPACT MAJOR
Sunt vizați în primul rând toți operatorii de date. Mulți procesatori de date existenți vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor. Prin noua definiție, destul de largă și de interpretabilă a datelor personale, multe companii care credeau că nu au de ce să se alinieze la prevederile GDPR descoperă că prin parteneriatele lor sunt parte integrată din sistemele de operatori și procesatori de date. Astfel încât practic orice organizație, indiferent de mărime și domeniu de activitate, este angrenată într-un fel sau altul într-un mecanism de procesare a datelor personale.
DOMENII PRIORITAR AFECTATE
financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.;
utilități: energie, gaze, apă, salubritate, transport public; furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de da furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data center, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW; organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.; companii comerciale de retail, distribuție, magazine online; organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de consultanță tehnică, economică sau juridică, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare; și instituții publice.
APLICARE GENERALA
De regula, răspunsul este “DA”. În majoritatea cazurilor, companiile procesează, într-o formă sau alta, date cu caracter personal, fie că realizează această procesare în interes propriu, fie că o realizează în interesul altor companii. Conceptul de date personale este atât de larg, încât este aproape imposibil ca o entitate să nu prelucreze astfel de date. Fie că vorbim despre prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing, sau a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal sau judiciar etc.), toate aceste situații transformă compania într-un subiect al GDPR.
GDPR se aplică nu doar companiilor cu sediul în Uniunea Europeană, ci și celor cu sediul în alte state ale lumii, în măsura în care ele prelucrează date personale ale unor persoane din Uniunea Europeană. Cu alte cuvinte, dacă un retailer mare din spațiul non-UE vinde online și livrează bunuri UE, atunci compania respectivă este obligată să respecte condițiile impuse de GDPR.
REGULAMENTUL NU SE APLICA
Regulamentul precizează şi care sunt cazurile în care prevederile sale nu se aplică, respectiv:
a) în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii;
b) de către statele membre atunci când desfăşoară activităţi care intră sub incidenţa capitolului 2 al titlului V din Tratatul UE,
c) de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice;
d) de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor, sau al executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şi al prevenirii acestora.”
Prin urmare, societățile ar trebui să evalueze propria activitate în vederea identificării aspectelor ce trebuie aduse în concordanță cu prevederile noului Regulament. Nu exista un sistem de diferentiere pe baza obiectului de activitate sau a cifrei de afaceri. Fie ca e vorba despre asociati, administratori, angajatii proprii, clienti sau parteneri de afaceri, fiecare companie proceseaza date cu caracter personal. Simpla stocare a acestora sau mentionare intr-un document reprezinta operatiune de procesare si intra in sfera de aplicare a GDPR.