Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 – GDPR
Legea nr. 190/2018 privind masurile de punere in aplicare a GDPR (Regulamentului (UE) 2016/679 de protectie a datelor cu caracter personal), a intrat in vigoare la data de 31 iulie 2018, fiind publicată in Monitorul Oficial al Romaniei, Partea I nr. 651 din 26 iulie 2018.
Vă oferim, în continuare, o prezentare sintetică a principalelor prevederi ale Legii nr. 190/2018.
1.Definirea conceptelor
In Capitolul I din lege – Dispozitii generale – sunt clarificate o serie de concepte pe care Regulamentul (UE) 2016/679 nu le tratează sau le tratează insuficient.
În art. 2, se definesc următorii termeni:
- a) autorități și organisme publice – Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și instituțiile publice autonome, autoritățile administrației publice locale și de la nivel județean, alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora. În sensul prezentei legi, sunt asimilate autorităților/organismelor publice și unitățile de cult și asociațiile și fundațiile de utilitate publică
- b)număr de identificare național – numărul prin care se identifică o persoană fizică în anumite sisteme de evidență și care are aplicabilitate generală, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială de sănătate
Aceasta definitie pune capat speculatiilor potrivit carora doar CNP-ul persoanei poate fi considerat numar de identificare national.
- c)plan de remediere – anexă la procesul-verbal de constatare și sancționare a contravenției, întocmit în condițiile prevăzute la 11, prin care Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea națională de supraveghere, stabilește măsuri și un termen de remediere
Așadar, planul de remediere reprezintă o anexa la procesul-verbal de constatare si sanctionare a contraventiei prin care ANSPDCP (Autoritatea de supraveghere din Romania) stabileste masuri si termen de remediere.
- d)măsură de remediere – soluție dispusă de Autoritatea națională de supraveghere în planul de remediere în vederea îndeplinirii de către autoritatea/organismul public a obligațiilor prevăzute de lege
- e)termen de remediere – perioada de timp de cel mult 90 de zile de la data comunicării procesului- verbal de constatare și sancționare a contravenției, în care autoritatea/organismul public are posibilitatea remedierii neregulilor constatate și îndeplinirii obligațiilor legale
Observpm cp este indicat în mod expres termenul de remediere maxim de 90 de zile, însă acesta este aplicabil doar autorităților/organismelor publice. Acest fapt conduce la concluzia că Autoritatea de supraveghere stabilește aceste termene în funcție de situația fiecărui caz în parte, fără a se depăși însă perioada de 90 de zile. Coroborând aceste dispoziții cu prevederile din Capitolul VI, art. 13 alin. (3), Autoritatea de supraveghere poate să reia controlul la respectiva autoritate publică/organism public în termen de 10 zile de la data expirării termenului de remediere.
Per a contrario, pentru operatorii care nu se încadrează în sfera autorităților publice/organismelor publice, legea nu prevede în mod expres un termen maxim de remediere, lăsând la latitudinea Autorității de supraveghere stabilirea acestuia.
- f)îndeplinirea unei sarcini care servește unui interes public – include acele activități ale partidelor politice sau ale organizațiilor cetățenilor aparținând minorităților naționale, ale organizațiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public ori funcționării sistemului democratic, incluzând încurajarea participării cetățenilor în procesul de luare a deciziilor și a pregătirii politicilor publice, respectiv promovarea principiilor și valorilor democrației.
2.Reguli specciale privind prelucrarea unor categorii de date cu caracter personal
In Capitolul II din lege – Reguli speciale privind prelucrarea unor categorii de date cu caracter personal – , cuprinde o serie de prevederi aplicabile următoarelor date:
- Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea (art. 3):
Art. 3, alin.1 prevede că prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.
Potrivit alin. 2 al aceluiași articol, prelucrarea datelor privind sănătatea realizată în scopul asigurării sănătății publice, astfel cum este definită în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă, nu se poate efectua ulterior, în alte scopuri, de către terțe entități.
- Prelucrarea unui număr de identificare național (art. 4):
Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, se poate efectua în situațiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecția datelor (art. 4, alin. 1).
La art. 4 alin. (2) sunt stipulate in mod expres conditiile pe care operatorii trebuie sa le indeplinesca pentru a prelucra numerele de identificare nationale ale persoanelor fizice. In concret, entitatile pot prelucra numere de identificare nationale in temeiul interesului legitim doar cu respectarea următoarelor garanții:
- a)punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor art. 32 din Regulamentul general privind protecția datelor;
- b)numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din prezenta lege;
- c)stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
- d)instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.
Cu alte cuvinte, elementul care excede dispozițiilor Regulamentului vizează entitățile care vor utiliza ca temei al prelucrării interesul legitim și care au, odată cu implementarea acestei legi, obligația (și nu recomandarea) de a numi DPO.
- Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă (art. 5):
Art. 5 prevede condițiile în care este permisă monitorizarea angajaților la locul de muncă de către angajator prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video, respectiv:
- a)interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
- b)angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
- c)angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
- d)alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
- e)durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
- Prelucrarea datelor cu caracter personal și de categorii speciale de date cu caracter personal, în contextul îndeplinirii unei sarcini care servește unui interes public (art. 6):
Potrivit art. 6, în cazul în care prelucrarea datelor personale și speciale este necesară pentru îndeplinirea unei sarcini care servește unui interes public conform art. 6 alin. (1) lit. e) și art. 9 lit. g) din Regulamentul general privind protecția datelor, această operațiune se efectuează cu instituirea de către operator sau de către partea terță a următoarelor garanții:
- a)punerea în aplicare a măsurilor tehnice și organizatorice adecvate pentru respectarea principiilor enumerate la art. 5 din Regulamentul general privind protecția datelor, în special a reducerii la minimum a datelor, respectiv a principiului integrității și confidențialității;
- b)numirea unui responsabil pentru protecția datelor, dacă aceasta este necesară în conformitate cu art. 10 din prezenta lege;
- c)stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii.
3.Derogări
Capitolul III din lege prevede, limitativ, anumite derogări de la dispozițiile Regulamentului european și, implicit, ale Legii 190/2018, în ce privește prelucrarea datelor cu caracter personal:
●Prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare (art. 7):
Conform art. 7, în vederea asigurării unui echilibru între dreptul la protecția datelor cu caracter personal, libertatea de exprimare și dreptul la informație, prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare poate fi efectuată, dacă aceasta privește date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată, prin derogare de la următoarele capitole din Regulamentul general privind protecția datelor:
- a)capitolul II – Principii;
- b)capitolul III – Drepturile persoanei vizate;
- c)capitolul IV – Operatorul și persoana împuternicită de operator;
- d)capitolul V – Transferurile de date cu caracter personal către țări terțe sau organizații internaționale;
- e)capitolul VI – Autorități de supraveghere independente;
- f)capitolul VII – Cooperare și coerență;
- g)capitolul IX – Dispoziții referitoare la situații specifice de prelucrare.
●Prelucrarea datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public (art. 8):
Potrivit art. 8, alin. 1, prevederile art. 15, 16, 18 și 21 din Regulamentul general privind protecția datelor nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică, în măsura în care drepturile menționate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.
Alin. 2 al aceluiași articol statueaza că prevederile art. 15, 16, 18, 19, 20 și 21 din Regulamentul general privind protecția datelor nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare în interes public, în măsura în care drepturile menționate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar aceste derogări sunt necesare pentru îndeplinirea acestor scopuri.
Derogările prevăzute la alin. (1) și (2) sunt aplicabile numai sub rezerva existenței garanțiilor corespunzătoare pentru drepturile și libertățile persoanelor vizate, prevăzute la art. 89 alin. (1) din Regulamentul general privind protecția datelor (art. 8, ali. 3). De asemenea, în cazul în care prelucrarea menționată la alin. (1) și (2) servește în același timp și altui scop, derogările se aplică numai prelucrării în scopurile menționate la alineatele respective (art. 8, alin. 4).
- Prelucrarea datelor cu caracter personal de către partidele politice și organizațiile cetățenilor aparținând minorităților naționale, respectiv de către organizațiile neguvernamentale (art. 9):
În vederea asigurării proporționalității și a unui echilibru între dreptul la protecția datelor cu caracter personal și a datelor speciale și prelucrarea unor astfel de date de către partidele politice și organizațiile cetățenilor aparținând minorităților naționale, organizațiilor neguvernamentale, art. 9, alin. 1, predeve următoarele garanții:
- a)informarea persoanei vizate despre prelucrarea datelor cu caracter personal;
- b)garantarea transparenței informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate;
- c)garantarea dreptului de rectificare și ștergere.
Prelucrarea datelor cu caracter personal și special este permisă partidelor politice și organizațiilor cetățenilor aparținând minorităților naționale, organizațiilor neguvernamentale, în vederea realizării obiectivelor acestora, fără consimțământul expres al persoanei vizate, dar cu condiția să se prevadă garanțiile corespunzătoare, mai sus menționate (art. 9, alin. 2).
4.Responsabilul cu protecția datelor
Capitolul IV cuprinde prevederi referitoare la esemnarea și atribuțiile responsabilului cu protecția datelor. Astfel, operatorii (respectiv,persoanele împuternicite de operator), desemnează un responsabil cu protecția datelor în situațiile și condițiile prevăzute la art. 37-39 din Regulamentul general privind protecția datelor (art. 10, alin. 1).
În cazul în care operatorul/ persoana împuternicită de operator este o autoritate publică sau un organism public, astfel cum este definit la art. 2 alin. (1) lit. a) din Legea nr. 190/2018, poate fi desemnat un responsabil cu protecția datelor, unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare structura organizatorică și dimensiunea acestora (art. 10, alin. 2).
Activitatea și sarcinile responsabilului cu protecția datelor se realizează cu respectarea prevederilor art. 38 și 39 din Regulamentul general privind protecția datelor și a reglementărilor legale naționale aplicabile (art. 10, alin. 3).
5.Organismele de certificare
Legea stabileste la Capitolul V – Organisme de certificare -, art. 11 alin. (1), ca acreditarea organismelor de certificare prevazute la art. 43 din Regulament se realizeaza de Asociatia de Acreditare din Romania (RENAR), in conformitate cu:
– Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de supraveghere a pieței în ceea ce privește comercializarea produselor și de abrogare a Regulamentului (CEE) nr. 339/93;
– Ordonanța Guvernului nr. 23/2009 privind activitatea de acreditare a organismelor de evaluare a conformității, aprobată cu modificări prin Legea nr. 256/2011
– standardul EN-ISO/IEC 17065;
– cerintele suplimentare stabilite de catre Autoritatea de supraveghere .
6.Sancțiuni
In cuprinsul Capitolului VI din lege – Masuri coercitive si sanctiuni – sunt stipulate ca sanctiuni contraventionale principale avertismentul si amenda contraventionala (art. 12, alin. 2).
De asemenea, sunt detaliate tipurile de incalcari care constituie contraventii (art. 14), cu trimitere la articolele din Regulament, precum si pragurile amenzilor (minim si maxim) pe care le pot aplica reprezentantii Autoritatii de supraveghere pentru diferitele tipuri de incalcari.
Astfel, potrivit art. 14, alin. 2, constituie contravenție încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la:
- a)obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu prevederile art. 8, art. 11, art. 25-39, art. 42 și 43;
- b)obligațiile organismului de certificare în conformitate cu art. 42 și 43;
- c)obligațiile organismului de monitorizare în conformitate cu art. 41 alin. (4).
(3) Constituie contravenție încălcarea de către autoritățile/organismele publice a dispozițiilor art. 3-9 din prezenta lege.
(4) Contravențiile prevăzute la alin. (2) și (3) se sancționează cu amendă de la 10.000 lei până la 100.000 lei.
(5) Constituie contravenție încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la:
- a)principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu art. 5-7 și art. 9;
- b)drepturile persoanelor vizate în conformitate cu art. 12-22;
- c)transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu art. 44-49;
- d)orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;
- e)nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării sau a suspendării fluxurilor de date, emisă de către Autoritatea națională de supraveghere în temeiul art. 58 alin. (2), sau neacordarea accesului, prin încălcarea dispozițiilor art. 58 alin. (1).
Un aspect important de reținut este acela că pragurile amenzilor sunt aplicabile doar autorităților/organismelor publice.
Pentru consultanță juridică în vederea implementării corecte a dispozițiilor noii reglementări pentru protecția datelor cu caracter personal, vă rugăm să ne contactați.