articol de Serban & Marta Popa

Asa cum va spuneam luna trecuta, lumea noastra se schimba accelerat si surprinzator. Din aceasta luna iata ca incepem sa avem primele dispozitii nationale in aplicarea GDPR, care vor trebui implementate de catre fiecare companie in masura in care activitatea ii este impactata. Este de remarcat ca legea tocmai promulgata defineste praguri valorice maxime pentru incalcarile prevederilor GDPR de catre autoritatile si organismele publice, lucru permis de regulament si lasat la latitudinea legislatorului national; in schimb, pentru entitatile private raman aplicabile in continuare, integral, prevederile regulamentului in aceste privinte.

Astazi, 17 iulie 2018, a fost promulgata legea privind masurile de punere in aplicare a Regulamentului UE 2016/679 sau, asa cum il cunoaste toata lumea Regulamentul pentru Protectia Datelor cu Caracter Personal (GDPR). Legea va fi trimisa spre publicare la Monitorul Oficial probabil maine, 18 iulie, si va intra in vigoare in 5 zile de la publicare Estimam astfel data intrare in vigoare a actului normativ in jurul datei de 23 iulie 2018.

Promulgarea acestui act normativ intervine dupa ce, in prima jumatate a lunii curente, au mai fost emise doua acte pregatitoare, respectiv decizii ale autoritatii de supraveghere, importante si cu impact in zona GDPR.

In data de 03.07.2018 s-a publicat in M. Of. Decizia ANSPDCP nr. 128/2018, prin care s-a aprobat formularul tipizat al notificarii de incalcare a securitatii datelor cu caracter personal.  Formularul trebuie completat de catre operatorul de date cu caracter personal si transmis autoritatii nationale de supraveghere in cazul aparitiei unei brese de securitate (“security breach”), in conformitate cu art. 33 din GDPR. Operatorul trebuie sa notifice incidentul de securitate autoritatii de supraveghere competente in temeiul art. 55 din Regulamentul GDPR, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care este putin probabil sa genereze un risc pentru drepturile si libertatile persoanelor fizice. A fost publicat si formularul standard ce trebuie utilizat de catre operator, fiind disponibil si pe pagina Autoritatii Nationale de Supraveghere.

In data de 13 iulie 2018 s-a publicat in M.Of. Decizia nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor de catre orice persoana vizata, plangere transmisa catre autoritate. Formularul ce trebuie completat in aceasta situatie este disponibil si pe site-ul autoritatii competente.

Pentru o mai usoara intelegere a legii proaspat promulgate, sumarizam in cele ce urmeaza principalele aspecte:

1. In cazul in care sunt utilizate sisteme de monitorizare prin mijloace de comunicatii electronice sau prin mijloace de supraveghere video la locul de munca, prelucrarea datelor cu caracter personal ale angajatilor va fi permisa, in vederea urmaririi intereselor legitime ale operatorului, insa doar cu indeplinirea urmatoarelor conditii:
   • angajatorul a realizat informarea prealabila obligatorie, completa si in mod explicit a angajatilor si a consultat sindicatul sau, dupa caz, reprezentantii angajatilor inainte de introducerea sistemelor de monitorizare;
   • alte forme si modalitati mai putin intruzive pentru atingerea scopului legitim urmarit de angajator nu si-au dovedit anterior eficienta;
   • durata de stocare a datelor cu caracter personal colectate prin sisteme de monitorizare prin mijloace de comunicatii electronice sau prin mijloace de supraveghere video nu va depasi 30 de zile.

Nota: Daca aveti interese legitime de protejat, activitatea de monitorizare a anagajatilor se poate efectua in limitele stabilite de lege, respectiv nu fara a justifica necesitatea acestora si fara a documenta aceasta necesitate si impactul ei asupra organizatiei, precum si cu garantii precum transparenta,  informarea personalului si consultarea sindicatelor (acolo unde exista) si cu luarea de masuri  care sa previna disiparea datelor colectate.

2. Prelucrarea numarului de identificare national al unei persoane fizice (CNP), in masura in care temeiul unei astfel de prelucrari este reprezentat de interesul legitim al angajatorului, se va realiza cu conditia punerii in aplicare a unor garantii, respectiv:
   • desemnarea unui responsabil cu protectia datelor;
   • stabilirea unor termene de stocare in functie de natura datelor si scopul prelucrarii, precum si a unor termene pentru revizuirea si stergerea acestor date;
   • asigurarea unei instruiri periodice a personalului care are rolul de a prelucra date cu caracter personal.

Nota: Prelucrarea CNP-ului este un element important in multe din aplicatiile existente in piata romaneasca, ce permite identificarea in mod unic a clientului, utilizatorului, pacientului, etc. Aceasta necesitate obiectiva, dar si anumite prevederi specifice din acte normative existente (de ex, ordinul ministerului finantelor nr. OMFP 2264/2016), permit utilizarea acestei date cu caracter personal cu conditia luarii de masuri asiguratorii de pastrarea confidentialitatii si securitatii acesteia.

3. Proiectul stabileste praguri valorice (in intervalul cuprins intre 10.000 si, in anumite cazuri, 100.000 RON, respectiv maxim 200.000 RON in cazul nerespectarii deciziilor autoritatii nationale de supraveghere) privind amenzile care urmeaza sa fie aplicate autoritatilor publice, dar aceste praguri nu se aplica si persoanelor juridice de drept privat. De asemenea, se mai specifica o serie de detalii legate de modalitatea transmiterii constatarilor de contraventie, a termenului in care autoritatea poate relua exercitarea controlului.

Nota: Este evidenta diferenta de tratament intre sfera privata si cea publica, cat priveste limitarea amenzilor la un nivel redus pentru acestea din urma. De mentionat ca toate persoanele juridice de drept privat vor ramane in continuare sub incidenta prevederilor GDPR, privind cuantumurile aplicabile ale amenzilor, fara a beneficia de limitarea pentru autoritatile si organismele publice stabilita la nivel national.

4. Sunt prevazute cateva specificatii legate de autoritatile de certificare, introducand astfel pe teritoriul Romaniei competenta Asociatiei de Acreditare din Romania – Renar.

Asadar, la aproape doua luni de aplicare a GDPR in Romania, avem in sfarsit primele semnale de clarificare a anumitor aspecte lasate de regulament la latitudinea statelor membre, fiind de asteptat ca atat legiuitorul (Parlamentul Romaniei) dar mai ales Autoritatea de Supraveghere (ANSPDCP) sa continue emiterea de prevederi legislative, instructiuni sau clarificari, extrem de interesante si utile pentru fiecare dintre noi.

Serban Popa este Managing Partner si Consulant GDPR @ Unity Solutions iar Marta Popa este Senior Partner @ Societatea de Avocati Voicu si Filipescu SCA