Ce este GDPR?
Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – GDPR).
Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018. Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecției datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.
Domenii de aplicare GDPR
Prelucrării datelor cu caracter personal în cadrul activităților derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:
-
Oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
-
Monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.
Principalele obligații pentru operatorii de date în aplicarea GDPR
Desemnarea unui Responsabil cu Protecția Datelor.
Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situații, este necesară o persoană care să exercite o misiune de informare, de consiliere și de control în plan intern: responsabilul cu protecția datelor. Desemnarea unui responsabil cu protecția datelor este obligatorie din 25 mai 2018, raportat la dispozițiile art. 37 – 39 din Regulamentul General privind Protecția Datelor, în cazul în care operatorul sau persoana împuternicită de operator:
-
Este o autoritate publică sau un organism public, cu excepția instanțelor în exercitarea funcției lor jurisdicționale;
-
Desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
-
Desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenența sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracțiuni.
Un responsabil cu protecția datelor reprezintă un avantaj major pentru operator în vederea înțelegerii și respectării obligațiilor prevăzute de GDPR, dialogului cu autoritățile pentru protecția datelor și reducerii riscurilor apariției unor litigii.
Rolul responsabilului cu protecția datelor cu caracter personal
-
Să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajații acestora cu privire la obligațiile existente în domeniul protecției datelor cu caracter personal;
-
Să monitorizeze respectarea GDPR și a legislației naționale în domeniul protecției datelor;
-
Să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecția datelor și să verifice efectuarea acestora;
-
Să coopereze cu autoritatea pentru protecția datelor și să reprezinte punctul de contact în relația cu aceasta.