O politica GDPR (de prelucrare a datelor cu caracter personal) inseamna mult mai mult decat un simplu document in subsolul paginii web. Operatorul nu numai ca trebuie sa declare scopurile si conditiile in care se face prelucrarea, dar trebuie sa aiba si masuri de implementare bine stabilite.
Cadrul normativ aplicabil GDPR:
- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016.
Odata cu intrarea in vigoare a Regulamentului UE 2016/679, Legea nr. 677/2001 a fost abrogata, prin:
Articolul V din Legea nr. 129/2018:
Alin. (1) La data de 25 mai 2018 se abrogă Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 790 din 12 decembrie 2001, cu modificările și completările ulterioare.
Alin. (2) Toate trimiterile la Legea nr. 677/2001, cu modificările și completările ulterioare, din actele normative se interpretează ca trimiteri la Regulamentul general privind protecția datelor și la legislația de punere în aplicare a acestuia.
- Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare – republicata
- Legea nr. 129 din 15 iunie 2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date
- LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
- Regulamentul de Organizare şi Funcţionare al ANSPDCP din 11 Noiembrie 2005, cu modificările şi completările ulterioare
- Legea nr. 682 din 28 noiembrie 2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981
- Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice
- Norme metodologice din 20 noiembrie 2002 pentru aplicarea Legii nr. 365/2002 privind comertul electronic
- Legea nr. 146 din 10 iulie 2008 pentru aderarea României la Tratatul dintre Regatul Belgiei, Republica Federală Germania, Regatul Spaniei, Republica Franceză, Marele Ducat de Luxemburg, Regatul Ţărilor de Jos şi Republica Austria privind aprofundarea cooperării transfrontaliere, în special în vederea combaterii terorismului, criminalităţii transfrontaliere şi migraţiei ilegale, semnat la Prum la 27 mai 2005
- LEGE nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date
- Legea nr. 365/2002 privind comerțul electronic.
Sanctiuni aplicabile pentru neconformarea cu politica GDPR
Regulamentul UE prevede sanctiuni de pana la 20.000.000 EUR pentru incalcarea prevederilor sale, urmand ca Autoritatea Nationala de Supraveghere a Prelucrarii datelor cu caracter personal sa stabileasca de la caz la caz cuantumul amenzii, in functie de gravitatea incalcarii.
Autoritatea Nationala de Supraveghere a Prelucrarii datelor cu caracter personal a aplica deja mai multe sanctiuni contraventionale operatorilor.
Statistica pentru anul 2019: Ca urmare a investigațiilor, in anul 2019 au fost aplicate 28 de amenzi în cuantum total de 2.339.291,75 lei, asteptandu-ne la un numar din ce in ce mai mare de cazuri.
O amenda recenta (ianuarie 2020) a fost in cuantum de 10.000 euro, Autoritatea de Supraveghere sanctionand operatorul, o societate cu raspundere limitata:
-cu 5000 euro: pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare) si
-cu 5000 euro: pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate.
Operatorul SC CNTAR TAROM SA a fost sancționat contravențional cu amendă în cuantum de 95.194 lei, echivalentul a 20.000 EURO.
Sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste.
GDPR pentru persoane fizice sau juridice?
Datele pe care Regulamentul UE le protejeaza sunt cele ale persoanei fizice, nu juridice. Cu toate acestea, in relatiile comerciale este inevitabil sa nu aveti acces si la datele personale ale celor care lucreaza pentru acea companie, fie in calitate de reprezentanti legali, fie in calitate de angajati/delegati, caz in care vi se aplica si dvs Regulamentul UE.
Ce trebuie sa contina o Politica GDPR?
Pentru o protectie eficienta, noi recomandam sa aveti urmatoarele documente, personalizate in functie de obiectul de activitate al companiei si de fluxul datelor:
-un “Regulament intern”, cadru, prin care se stabilesc toate regulile si procedurile de urmat pentru toti cei care prelucreaza date cu caracter personal in numele operatorului. Acesta va face trimitere la urmatoarele:
-un “Regulament de securitate”, in care se descriu masurile de ordin tehnic si administrativ care trebuie luate pentru colectarea datelor, pastrarea si securizarea lor, inclusiv masurile care trebuie luate in cazul unei brese de securitate.
–“Politica confidentialitatii la locul de munca”, aplicabila angajatilor operatorului sau celor care lucreaza pentru operator.
-o “Politica de confidentialitate”, care se comunica publicului larg, prin care se aduc la cunostinta regulile si conditiile de prelucrare a datelor cu caracter personal, precum si drepturile de care beneficiaza persoanele vizate;
–“Politica de cookies”, pentru a informa utilizatorii asupra fisierelor cu date care se creeaza pentru a analiza modul de utilizare al unui site, de exemplu, lucru care poate genera afisarea de anunturi personalizate.
Nu este exclus sa fie necesare si alte documente, in functie de complexitatea activitatii operatorului.
GDPR luat de pe site-ul concurentei?
Cel mai usor este sa copiezi de la concurenta documentul public intitulat Politica de confidentialitate. Nu recomandam acest lucru. Cei care o fac nu inteleg ca in spatele acestuia stau documentele pe care le-am amintit mai sus si care instituie cadrul necesar unei companii pentru a se asigura ca respecta intr-adevar Regulamentul UE. Simpla afisare pe site sau inr-o aplicatie a Politicii de confidentialitate nu este suficienta si nu il salveaza pe operator de amenzile aplicabile. Politica trebuie stabilita si inteleasa intai de organele de conducere, pentru a fi explicata si implementata apoi in randul persoanelor responsabile cu prelucrarea datelor. In al doilea rand, ar trebui stabilite sanctiuni clare pentru cei care incalca regulamentele companiei, in caz contrar compania fiind singura care va suferi o pierdere.
Nu este interzis a te inspira din alte politici, chiar si din cele facute de concurenta, insa regulamentele privind confidentialitatea trebuie personalizate in functie de activitatea derulata, marimea companiei, daca exista angajati, daca datele se transfera in alte state, destinatarii carora se transfera datele, daca se prelucreaza date sensibile, precum si in functie de multi alti factori. In acest sens, un avocat specializat pe GDPR va incepe prin a analiza fluxul datelor cu caracter personal, impreuna cu administratorul societatii. Trebuie cunoscute atat dispozitiile Regulamentului UE, cat si jurisprudenta in materie si opiniile Grupului de lucru art. 29, pentru a vedea care dintre acestea sunt aplicabile si cum se vor implementa ele cel mai bine. De asemenea, este bine de stiut ca Politicile GDPR trebuie actualizate ori de cate ori au loc schimbari in societate, cu privire la fluxul datelor.