GDPR faza nationala. Analizele de proces pentru risc ridicat (DPIA) vor fi clarificate.

Articol de Marta si Serban Popa

Daca pana la acest moment,in Romania, recomandarile Autoritatii de supraveghere nu au fost dese, incep sa apara semnale de emitere de recomandari si clarificari. ANSPDCP incepe presiunea pe conformare GDPR si publica spre consultare modalitatea de evaluare DPIA – Data Processing Impact Assessment

Poza_de_start

Ne reamintim din diversele articole publicate si interviuri ca inceperea conformarii la prevederile Regulamentului (UE) 2016/679 privind protectia persoanelor  fizice  in  ceea  ce  priveste  prelucrarea  datelor  cu  caracter  personal  si privind  libera  circulatie  a  acestor  date („Regulamentul general privind protectia datelor” sau „GDPR”) consta in  analiza proceselor de business si a identificarii acelora care pot ridica un risc semnificativ. De exemplu, in activitatea de marketing si publicitate, avem in vedere activitatile de marketing direct decise pe baza unor criterii automate pe baza evaluarii unor aplicatii informatice, numita generic in engleza si „DATA DRIVEN MARKETING” (activitate ce poate afecta direct drepturile consumatorului sau utilizatorului de serviciu, mai ca, fiind o activitate ce desfasurata  la scara larga, sunt combinate informatii colectate din surse diferite, ce includ si o activitate de scoring). Daca ne referim la supravegherile prin mijloace video (prelucrari de date biometrice) sau GPS (prelucrari de date biometrice si geolocatie), riscurile de afectare a drepturilor persoanelor fizice nu sunt deloc de neglijat.

Plecand de la premisa de a proteja operatiunile deja desfasurate, de a permite includerea de metodologii si tehnologii moderne, adoptarea de solutii inovative care nu numai sa reduca timpul de raspuns clientului dar sa permita si o adaptare a acestuia la cerintele si segmentul din care face parte acesta, atunci o analiza atenta a procesului de business este obligatorie (analiza contextului, a principiului de echilibrare a interesului operatorului economic versus client – necesitate si proportionalitate, analiza riscurilor existente si a masurilor aferente identificate, concluzionand cu harta riscurilor, planul de actiuni si recomandarile DPO-ului).

La data de 01.10.2018, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (A.N.S.P.D.C.P.) a publicat pe pagina proprie (www.dataprotection.ro) un proiect de Decizie cu privire la operatiunile pentru care este necesara realizarea evaluarii impactului asupra protectiei datelor.

La acest moment, putem vorbi numai despre un proiect de Decizie (respectiv de o lista propusa privind situatiile care necesita realizarea evaluarii de impact), urmand ca acesta sa parcurga intreaga procedura legislativa prevazuta de Legea nr. 52/2003 privind transparenta decizionala. Proiectul va fi in dezbatere publica pentru cel putin 30 zile lucratoare, inainte de avizare si adoptare. Decizia Presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal va intra in vigoare la momentul publicarii in Monitorul Oficial al Romaniei.

Un demers ce trebuie sa tina seama de recomandarile Comitetului  European al Protectiei Datelor

Demersul autoritatii din Romania se inscrie intr-o actiune coordonata de Comitetul European al Protectiei Datelor (EDPB), care a analizat pana la finalul lunii septembrie 2018 listele propuse de 22 autoritati nationale din state-membre ale Uniunii Europene. Actiunea are in vedere  lista propusa de fiecare stat a operatiunilor de prelucrare care necesita evaluarea impactului asupra protectiei datelor cu caracter personal (DPIA).

Reamintim ca, potrivit Articolului 35 (1) din Regulamentul general privind protectia datelor , DPIA este necesara atunci cand un tip de activitate de procesare a datelor personale este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice. DPIA trebuie efectuat inaintea prelucrarii.  Articolul 35 (4) din Regulamentul general privind protectia datelor prevede ca autoritatile de supraveghere intocmesc si publica o lista a tipurilor de operatiuni de prelucrare care fac obiectul cerintei de efectuare a DPIA, pe care le comunica EDPB.

Recomandarile Autoritatii de Supraveghere din Romania

Potrivit recomandarilor emise de EDPB catre autoritatea din Romania la data de 25.09.2018, enumerarea cuprinsa in lista propusa privind operatiunile pentru care este necesara realizarea DPIA trebuie sa aiba caracter indicativ (nu exhaustiv). De asemenea, EDPB a recomandat autoritatii din Romania sa adauge la Decizie o declaratie care sa clarifice faptul ca lista are la baza Instructiunile 248 rev.01 emise de fostul Grup de Lucru al Articolului 29 in domeniul protectiei datelor personale (Working Party 29 sau WP29) referitoare la DPIA si ca are rolul de a completa si a detalia Instructiunile.

Astfel, potrivit listei propuse de A.N.S.P.D.C.P., urmatoarele operatiuni necesita evaluarea impactului asupra protectiei datelor cu caracter personal de catre operatori in conformitate cu GDPR:

  1. prelucrarea  datelor  cu  caracter personal  in  vederea  realizarii unei  evaluari sistematice  si  cuprinzatoare  a  aspectelor  personale  referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa;
  2. prelucrarea  pe  scara  larga  a  datelor  cu  caracter  personal  care dezvaluie originea  rasiala  sau  etnica,  opiniile  politice,  confesiunea  religioasa  sau convingerile  filozofice  sau  apartenenta  la  sindicate,  a  datelor genetice,  a datelor biometrice pentru identificarea unica a unei persoane fizice, a datelor privind  sanatatea,  viata  sexuala  sau  orientarea  sexuala  ale  unei  persoane fizice sau a datelor cu caracter personal referitoare la condamnari penale si infractiuni;
  3. prelucrarea  datelor  cu  caracter personal  avand  ca  scop  monitorizarea sistematica  pe  scara  larga  a  unei  zone  accesibile  publicului,  cum  ar  fi supravegherea video in zone publice, precum cai de acces, piete, parcuri sau alte asemenea spatii;
  4. prelucrarea  pe  scara  larga  a  datelor  cu  caracter  personal  ale  persoanelor vulnerabile, in special ale minorilor, prin mijloace automate de monitorizare si/sau  inregistrare  sistematica  a  comportamentului,  inclusiv  in vederea desfasurarii activitatilor de reclama, marketing si publicitate;
  5. prelucrarea  pe  scara  larga  a  datelor  cu  caracter  personal  prin utilizarea inovatoare sau implementarea unor solutii tehnologice automate noi, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de  a-si  exercita  drepturile,  cum  ar  fi  utilizarea  tehnicilor  de recunoastere faciala in vederea facilitarii accesului in diferite spatii;
  6. prelucrarea pe scara larga a datelor generate prin intermediul  dispozitivelor cu senzori care transmit date prin Internet sau alte mijloace (aplicatii „Internetul lucrurilor” cum ar fi smart TV, vehicule conectate, contoare inteligente, jucarii inteligente, orase inteligente sau alte asemenea aplicatii) in scopuri precum evaluarea  situatiei  economice,  a  starii  de  sanatate,  a  preferintelor  sau intereselor  personale,  a  solvabilitatii  sau  comportamentului,  localizarea geografica a persoanelor vizate;
  7. prelucrarea pe scara larga si/sau sistematica a datelor de telefonie, de internet sau a altor date de comunicare, a metadatelor sau a datelor de localizare sau urmarire  a  persoanelor  fizice  (cum  ar  fi  urmarirea  prin  Wi-Fi, prelucrarea datelor  de  localizare  geografica  a pasagerilor  in  transportul  public  sau  alte asemenea situatii) atunci cand prelucrarea nu este necesara pentru prestarea unui serviciu solicitat de persoana vizata.

In privinta listei propuse de A.N.S.P.D.C.P., in cadrul opiniei emise la 25.09.2018, EDPD a mai formulat urmatoarele pozitii si recomandari:

  • Monitorizarea angajatilor –  EDPB este de parere ca DPIA ar putea fi necesar in aceasta situatie. Avand in vedere ca autoritatea de supraveghere din Romania a inclus deja pe lista sa aceste activitati, EDPB recomanda includerea unei referinte explicite la Instructiunile 248 rev.01 emise de WP29 cat priveste prelucrarea datelor persoanelor vulnerabile si monitorizarea sistematica de date, considerand ca analiza trebuie efectuata in acest cadru. Observam ca, desi mentionata in opinia din 25.09.2018 a EDPD la capitolul “Analiza a listei propuse”, monitorizarea angajatilor nu este prevazuta ca atare in lista emisa de A.N.S.P.D.C.P., insa ea se poate regasi  in operatiunile cuprinse  la litera a), d), e) sau f) ale proiectului de Decizie.
  • Prelucrarea datelor biometrice – EDPB confirma propunerea autoritatii nationale pentru aceasta situatie, considerand ca procesarea datelor biometrice in vederea identificarii in mod unic a unei persoane fizice, realizata in conjunctie cu cel putin unul din celelalte criterii ce determina necesitatea DPIA conform Instructiunilor 248 rev.01, este consistenta si cu alte propuneri ale celorlalte autoritati nationale.
  • Prelucrarea datelor genetice  – EDPB confirma propunerea autoritatii nationale, considerand ca procesarea datelor genetice, daca este realizata in conjunctie cu unul din celelalte criterii ce determina necesitatea DPIA conform Instructiunilor 248 rev.01, va necesita DPIA.

Dupa cum chiar EDPB precizeaza, rolul opiniilor EDPB nu este de a impune o lista unica de prelucrari care necesita DPIA. Mai degraba, se intentioneaza stabilirea unei abordari armonizate si consistente in toate statele-membre ale UE pentru evitarea inconsistentelor ce pot afecta protectia in mod echivalent a persoanelor vizate in aceste state si libertatea de miscare in Uniune.

Potrivit procedurii de colaborare intre autoritatile nationale si EDPB, autoritatea din Romania (cat si alte autoritati nationale carora li s-au transmis recomandari) va trimite pozitia sa finala asupra listei in termen de 2 saptamani (asadar, in jurul datei de 15 octombrie 2018), urmand fie sa urmeze recomandarile si sa amendeze lista propusa fie sa o mentina (precizand motivele relevante). Ramane de vazut care va fi pozitia finala a Romaniei, insa, avand in vedere caracterul relativ minimal al recomandarilor, este de asteptat ca autoritatea nationala sa le implementeze.

Data-Protection2

Concluzii

Se evidentiaza clar necesitatea finalizarii proceselor de evaluare a proceselor de business, identificarea acelor procese unde riscul poate sa fie semnificativ si unde cel putin doua din criteriile enumerate de autoritate sunt indeplinite.

Chiar daca analiza de tip DPIA nu este obligatorie, aceasta va putea aduce claritate in ceea ce priveste riscul existent, a masurilor deja identificate si a riscurilor reziduale, putand duce in primul rand la cunoasterea proceselor interne si la o protectie mai buna a organizatiei.

Astfel de evaluari se pot efectua relativ usor de echipele operationale din business impreuna cu expertii/consultantii de GDPR. Pe baza concluziilor extrasevor rezulta livrabilele necesare procesului si respectiv planul de actiuni pe care fiecare organizatie poate sa le considere in strategia sa de adecvare pe termen mediu si lung.

Neefectuarea  unor analize serioase poate duce la intreruperea activitatii operationale (de prelucrare a datelor personale ale clientilor, ceea ce, in functie de specificul activitatii poate determina incetarea totala a operatiunilor companiei) si, desigur,la aplicarea de amenzi din parte Autoritatii de Supraveghere. Avem deja exemple concrete in regiunea Europei Centrale si de Est unde amenzile incep sa apara, a se vedea ultimul verdict dat de Autoritatea de Supraveghere din Austria (DSB) pentru o activitatea de monitorizare video necorespunzatoare (spatiu public, marcaje inexistente) efectuata de un antreprenor local.

Marta Popa este membru al Baroului Bucuresti si avocat cu o experienta de peste 18 ani. Ofera consultanta comerciala clientilor si este specializata in Dreptul afacerilor, inclusiv, fara limitare, Corporate, M & A, Privatizari, Contracte, Imobiliare, Concurenta, Munca. Este de asemenea Senior Partner al Societatii de Avocati Voicu & Filipescu.

Serban Popa este consultant in tehnologia informatiei cu o experienta de peste 10 ani. Este interesat de sectorul financiar si bancar, specializat in proiectele bancare greenfield, implementarea ERP, optimizarea infrastructurii. Este manager de proiect intr-o mare varietate de aplicatii cu implicatii profunde in afacerile cotidiene. Este de asemenea si Managing Partner Unity Solutions Romania.