Practic, vorbim despre ‘momentul zero’ de la care datele de identificare, tranzacţionale, financiare, demografice, de localizare sau alte date personale ale unei persoane fizice, în calitate de client utilizator al anumitor servicii, trebuie colectate şi procesate responsabil de către companiile din diverse domenii de activitate.
Noul regulament prevede, totodată, obligaţia pentru operatorii de date cu caracter personal să desemneze un responsabil cu protecţia datelor (DPO), acesta având rolul de a informa şi consilia operatorul sau persoana împuternicită de către operator, precum şi angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter personal.
GDPR – între drepturile clienţilor persoane fizice şi obligaţiile operatorilor de date
Odată cu intrarea în vigoare a noului Regulament privind Protecţia Datelor cu Caracter Personal, după acordul clientului persoană fizică, informaţiile personale vor fi prelucrate pe tot parcursul relaţiei contractuale cu organizaţia sau compania.
În acest context, în sistemul bancar, de exemplu, pentru oferirea unor servicii cât mai competitive, pentru a executa tranzacţiile pe care clientul le iniţiază, dar şi pentru îndeplinirea obligaţiilor legale ce revin băncii sau în alte scopuri legitime, este posibil ca datele personale să fie transmise către autorităţile publice, organele judiciare, birourile notariale, consultanţi externi, societatea-mamă şi alte entităţi ale grupului din care face parte instituţia bancară.
Pe de altă parte, în cazul comerţului online, magazinele de profil trebuie să se asigure că folosesc datele personale ale clienţilor cu un scop clar, fără a face abuz, fie că este vorba despre datele necesare pentru a vinde, datele de facturare sau informaţiile despre angajaţi, pentru a fi în conformitate cu legislaţia GDPR. Astfel, începând din 25 mai 2018, afacerile din e-commerce vor fi obligate să ţină evidenţa activităţilor de prelucrare a datelor personale, să le şteargă la cererea persoanelor fizice şi, în cazul magazinelor mari, chiar să numească un DPO (Data Protection Officer) – Ofiţer Responsabil de Protecţia Datelor.
Tot în ceea ce priveşte magazinele online, principalele date personale pe care acestea le colectează sunt cele ale clienţilor care cumpără un produs sau serviciu şi sunt folosite în scop de executare a contractului, dar uneori şi pentru acţiuni de marketing. Pe de altă parte, pot fi şi datele personale ale angajaţilor.
Specialiştii susţin că, pentru a nu risca amenzi după intrarea în vigoare a GDPR, magazinele online trebuie să se asigure, în primul rând, că datele colectate au un scop clar şi nu sunt folosite în alt scop. Totodată, în cazul unei firme care deţine două magazine online diferite, datele colectate nu pot fi folosite ‘la comun’, deoarece scopul colectării este considerat diferit. De asemenea, un magazin online este obligat să restricţioneze accesul la datele clienţilor şi să permită acest lucru doar angajaţilor care au nevoie de acele date pentru a-şi îndeplini sarcinile de serviciu. În plus, trebuie să deţină un registru al evidenţelor în care să ţină cont de activităţile de prelucrare a datelor, deoarece activitatea acestora nu este ocazională şi să se asigure că terţii cu care lucrează sunt din Uniunea Europeană, Spaţiul Economic European sau în alte state cu regim adecvat, dar şi că asigură securitatea datelor.
Compania care deţine o afacere în mediul online este obligată să informeze clienţii, în pagina de întâmpinare, cu privire la folosirea datelor pe care aceştia le oferă (datele de facturare şi livrare), întrucât informarea clienţilor cu privire la datele colectate este obligatorie din momentul colectării datelor. În acelaşi timp, trebuie să şteargă datele la cererea clientului, dacă respectiva cerere are un temei legal, indiferent dacă acest lucru se face prin suprascriere sau ştergere definitivă, atât timp cât procesul este ireversibil.
Experţii din domeniu menţionează faptul că, în cazul magazinelor online care aplică deja o bună practică a folosirii şi stocării datelor cu caracter personal, nu este necesar să repete procedurile începând din 25 mai 2018, atunci când începe perioada de aplicare a GDPR. De exemplu, în cazul abonaţilor la newsletter (e-mailurile comerciale), nu este necesar să li se ceară din nou consimţământul dacă acesta a fost obţinut în mod corect, în prealabil.
Drepturile adiţionale ale clienţilor persoane fizice după activarea GDPR
Cât priveşte drepturile persoanelor fizice, din momentul intrării în vigoare a GDPR, în afară de drepturile existente, va intra în aplicare o listă adiţională din care nu lipsesc o serie de noutăţi. O primă precizare se referă la dreptul la informare. În acest caz, conform documentului oficial, persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective.
În ceea ce priveşte dreptul la rectificare şi completare a datelor personale, acesta se referă la faptul că persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. De asemenea, ţinându-se cont de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.
Dreptul la ştergerea datelor sau ‘dreptul de a fi uitat’ reprezintă o altă speţă care lucrează în favoarea apărării persoanei fizice. Aceasta are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive: datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea şi nu există niciun alt temei juridic pentru prelucrare; persoana vizată se opune prelucrării datelor; datele cu caracter personal au fost prelucrate ilegal.
În cazul dreptului la restricţionarea prelucrării datelor, articolul 18 al Regulamentului European prevede, printre altele, ca persoana vizată să poată obţine din partea operatorului restricţionarea prelucrării în cazul în care se contestă exactitatea datelor, prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor, operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării.
Pe lista drepturilor pe care le au persoanele fizice faţă de operatorii care stochează şi prelucrează date cu caracter personal se mai află: dreptul de opoziţie, dreptul la portabilitatea datelor către alt operator, dreptul de a depune plângere faţă de modalitatea de prelucrare a datelor personale la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), dreptul de retragere a consimţământului în cazurile în care prelucrarea are la bază consimţământul clientului şi, nu în ultimul rând, drepturi suplimentare aferente deciziilor automate. În acest ultim caz, clientul persoană fizică poate solicita şi obţine intervenţia umană pentru prelucrarea datelor şi îşi poate exprima propriul punct de vedere cu privire la aceasta sau poate contesta decizia.
Legislaţia prevede, totodată, că orice persoană vizată şi care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile legale în vigoare, are dreptul de a depune plângere la Autoritatea Naţională Supraveghere, dacă presupusul abuz are loc pe teritoriul României. Plângerea poate fi depusă inclusiv prin mijloace electronice de comunicare.
Responsabilul cu protecţia datelor, persoana-cheie dintr-o companie
Conform Ghidului ANSPDCP, una dintre principalele obligaţii pentru operatorii de date cu caracter personal este desemnarea unui Responsabil cu Protecţia Datelor (DPO). Desemnarea unui astfel de responsabil este obligatorie în cazul în care operatorul sau persoana împuternicită de către operator: este o autoritate publică sau un organism public (cu excepţia instanţelor în exercitarea funcţiei lor jurisdicţionale), desfăşoară o activitate principală care conduce la realizarea unei monitorizări constante şi
sistematice pe scară largă a persoanelor, desfăşoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi: date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale şi infracţiuni.
‘Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor, ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator. Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii şi respectării obligaţiilor prevăzute de Regulament, dialogului cu autorităţile pentru protecţia datelor şi reducerii riscurilor apariţiei unor litigii’, se arată în documentul citat.
Autoritatea pentru Protecţia Datelor menţionează că rolul responsabilului cu protecţia datelor este să informeze şi să consilieze operatorul sau persoana împuternicită de operator, precum şi angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter personal, să monitorizeze respectarea GDPR şi a legislaţiei naţionale în domeniul protecţiei datelor, să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor şi să verifice efectuarea acestora, şi, nu în ultimul rând, să coopereze cu autoritatea în domeniu.
Legislaţia în domeniul protecţiei datelor cu caracter personal
Pe data de 22 mai 2018, senatorii au adoptat proiectul pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Una dintre cele mai importante prevederi incluse în actul normativ se referă la faptul că investigaţia derulată de Autoritatea de control se poate realiza în intervalul orar 8:00 – 18:00, după această oră acţiunea putând continua numai cu acordul scris al persoanelor unde are loc investigaţia. Mai mult, controlul va trebui să se desfăşoare în prezenţa persoanelor vizate.
De asemenea, punerea în aplicare a unei amenzi de peste 300.000 de euro se va putea face doar prin decizia preşedintelui ANSPDCP, care are la bază procesul verbal de constatare şi raportul personalului de control.
Pe de altă parte, o propunere privind actualizarea modului de organizare şi funcţionare a Autorităţii, raportat la regulamentul european care urmează să intre în vigoare începând din data de 25 mai, vizează mărirea numărului de posturi până la 85, de la 50 de angajaţi, cât prevede schema de personal, la momentul actual.
Parlamentul European şi Consiliul European au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecţia Datelor – RGPD).
Regulamentul a fost publicat în Jurnalul Oficial al Uniunii din 4 mai 2016, iar prevederile acestuia sunt direct aplicabile în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018.
Documentul impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE şi, implicit, prevederile Legii nr. 677/2001.
Noul Regulament pune accent pe transparenţa faţă de persoana vizată şi responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal, stabileşte o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul online, consolidează drepturile garantate persoanelor vizate şi introduce noi drepturi.
La nivel de sancţiuni, companiile care vor încălca noul GDPR vor plăti amenzi de până la 10 de milioane de euro sau 2% din cifra de afaceri globală anuală pentru încălcări privind protecţia datelor, respectiv de până la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală pentru încălcări ale principiilor de bază privind prelucrarea datelor, luându-se în calcul cea mai mare valoare.