In Jurnalul Oficial al Uniunii Europene, seria L 119/1, a fost publicat Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in legatura cu prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor).

Motivele adoptarii:

• Principiile si normele referitoare la protectia persoanelor fizice, in ceea ce priveste prelucrarea datelor lor cu caracter personal, ar trebui, indiferent de cetatenia sau de locul de resedinta al persoanelor fizice, sa respecte drepturile si libertatile fundamentale ale acestora, in special dreptul la protectia datelor cu caracter personal;
• Regulamentul urmareste sa contribuie la realizarea unui spatiu de libertate, securitate si justitie si a unei uniuni economice, la progresul economic si social, la consolidarea si convergenta economiilor in cadrul pietei interne si la bunastarea persoanelor fizice;
• Apararea dreptului la viata intima, familiala si privata in privinta prelucrarii datelor cu caracter personal.

Acest regulament a intrat in vigoare in a douazecea zi de la data publicarii in Jurnalul Oficial al Uniunii Europene si se aplica incepand cu data de 25 mai 2018. Mai mult, Regulamentul a impus un set unic de reguli direct aplicabile in toate statele membre ale Uniunii Europene si a inlocuit Directiva 95/46/CE si, implicit, prevederile Legii nr. 677/2001.

In legislatia nationala, Regulamentul a fost transpus prin Legea 190/2018.

Este considerata data cu caracter personal orice informatie referitoare la o persoana fizica identificata sau identificabila. O persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Date cu nivel de protectie normal

• Nume
• Prenume
• Adresa e-mail
• Numar telefon
• Numarul unui cont bancar
• Data nasterii
• Numar de identificare personal etc.

Cu alte cuvinte, orice date care permit compromiterea directa sau indirecta a identitatii unei persoane prin intermediul unei terte parti.

Date sensibile

Se interzice prelucrarea de date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.

Date genetice

Definite in documente internationale ca date referitoare la caracteristicile ereditare ale unei persoane sau la modelul ereditar al unor astfel de caracteristici referitoare la un grup de persoane dintr-o familie, datele genetice sunt date cu caracter personal in sensul Directivei 95/46/EC, deoarece permit identificarea persoanei in cauza, punand in evidenta unicitatea acesteia.

Date biometrice

Datele biometrice incluse in documentele electronice sunt imaginea faciala in format digital si imaginile impresiunilor papilare a doua degete, in format digital.

Date privind sanatatea unei persoane

Presupun date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia.

Alte date speciale

Date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate.

Articolul 9 al Regulamentului enumera exceptiile de la interdictia prelucrarii datelor sensibile. Acestea vor fi prelucrate doar in masura in care exista temeiuri legale de prelucrare, stabilite exhaustiv in Regulament.

Datele vor fi: 

• Prelucrate in mod legal, echitabil si transparent fata de persoana vizata (legalitate, echitate si transparenta);
• Colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri („limitari legate de scop”);
• Adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate (reducerea la minimum a datelor).
• Exacte si, in cazul in care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere („exactitate”);
• Pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele („limitari legate de stocare”);
• Prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare („integritate si confidentialitate”).

Conditii de prelucrare a datelor

Prelucrarea legala a datelor se face in urmatoarele conditii:      

• Persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
• Prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
• Prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
• Prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
• Prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
• Prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

Drepturi noi ale persoanei vizate aduse de Regulament

Pe langa drepturile existente (dreptul de a fi informat, dreptul de a solicita portarea datelor intre operatori, dreptul de a face opozitie, dreptul de a se opune la profilari), Regulamentul a adus patru drepturi noi ale persoanei vizate:

• Dreptul de acces la date – dreptul de a obtine de la operator informatii cu privire la ce informatii prelucreaza, scopul lor etc.
• Dreptul la rectificarea datelor – dreptul de a obtine de la operator rectificarea datelor cu caracter personal inexacte care o privesc
• Dreptul la stergea datelor (dreptul de a fi uitat) – dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate
• Dreptul la restrictionarea prelucrarii – dreptul de a obtine restrictionarea datelor folosite de operator sau a transferului de date

Conform noului Regulament, copiii au nevoie de o protectie specifica a datelor lor cu caracter personal, intrucat pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile lor in ceea ce priveste prelucrarea datelor cu caracter personal.

Aceasta protectie specifica ar trebui sa se aplice, in special, utilizarii datelor cu caracter personal ale copiilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator si la colectarea datelor cu caracter personal privind copiii in momentul utilizarii serviciilor oferite direct acestora. Consimtamantul titularului raspunderii parintesti nu ar trebui sa fie necesar in contextul serviciilor de prevenire sau consiliere oferite direct copiilor.

Intrucat copiii necesita o protectie specifica, orice informatie si orice comunicare, in cazul in care prelucrarea vizeaza un copil, ar trebui sa fie exprimate intr-un limbaj simplu si clar, astfel incat copilul sa il poata intelege cu usurinta.

Daca acesta are varsta sub 16 ani, respectiva prelucrare este legala numai daca si in masura in care consimtamantul respectiv este acordat sau autorizat de titularul raspunderii parintesti asupra copilului.

Desemnarea unui responsabil cu protectia datelor

Operatorul si persoana imputernicita de operator trebuie sa desemneze un responsabil cu protectia datelor ori de cate ori:

• Prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;
• Activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;
• Activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter personal privind condamnari penale si infractiuni

Un grup de companii poate numi un responsabil cu protectia datelor unic, cu conditia ca acesta sa fie usor accesibil de fiecare dintre companii.

Sarcinile responsabilului cu protectia datelor

• Informarea si consilierea operatorului sau a persoanei imputernicite de operator, precum si a angajatilor care se ocupa de prelucrare cu privire la obligatiile care le revin in temeiul Regulamentului si al altor dispozitii de drept al Uniunii sau drept intern referitoare la protectia datelor;
• Monitorizarea respectarii Regulamentului, a altor dispozitii de drept al Uniunii sau de drept intern referitoare la protectia datelor si a politicilor operatorului sau ale persoanei imputernicite de operator in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunilor de sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;
• Furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionarii acesteia;
• Cooperarea cu autoritatea de supraveghere;
• Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila si, daca este cazul, consultarea cu privire la orice alta chestiune.

Transferul de date cu caracter personal catre o tara terta sau o organizatie internationala se poate realiza atunci cand Comisia a decis ca tara terta, un teritoriu ori unul sau mai multe sectoare specificate din acea tara terta sau organizatia internationala in cauza asigura un nivel de protectie adecvat. Transferurile realizate in aceste conditii nu necesita autorizari speciale.

In absenta unei decizii, operatorul sau persoana imputernicita de operator poate transfera date cu caracter personal catre o tara terta sau o organizatie internationala numai daca operatorul sau persoana imputernicita de operator a oferit garantii adecvate si cu conditia sa existe drepturi opozabile si cai de atac eficiente pentru persoanele vizate.

Incepand cu 25 mai 2018, toti operatorii din sistemul public, persoanele imputernicite de operatori, precum si operatorii din sistemul privat cu mai mult de 250 de angajati au obligatia de a cartografia prelucrarile de date cu caracter personal efectuate. Aceasta obligatie este prevazuta de art. 30 din Regulament.

Obligatia de cartografiere este necesara si pentru angajati sub pragul mai sus mentionat, in cazul in care prelucrarea pe care o efectueaza operatorul este susceptibila de a genera un risc pentru drepturile si libertatile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnari penale si infractiuni.

Respectiva evidenta a activitatilor de prelucrare va cuprinde urmatoarele informatii:

• Numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor;
• Scopurile prelucrarii;
• Descrierea categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
• Categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;
• Daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respectiv, documentatia care dovedeste existenta unor garantii adecvate;
• Acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date;
• Acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate.

Evidenta se va pastra in scris, inclusiv in format electronic.

La cerere, operatorul sau persoana imputernicita de acesta, precum si, dupa caz, reprezentantul operatorului sau al persoanei imputernicite de operator vor pune evidentele la dispozitia autoritatii de supraveghere.

Operatorul si persoanele imputernicite vor avea obligatia de notificare a autoritatii de supraveghere in cazul in care are loc o incalcare a securitatii datelor.

Notificarea se va face in maximum 72 ore de la data la care Operatorul a luat cunostinta de aceasta incalcare. In cazul in care exista un risc major pentru drepturile si libertatile persoanei vizate (de exemplu, furt de identitate), aceasta va fi informata in cel mai scurt timp.

Orice persoana care a suferit un prejudiciu material sau moral ca urmare a unei incalcari a Regulamentului are dreptul sa obtina despagubiri de la operator sau de la persoana imputernicita de operator pentru prejudiciul suferit.

Orice operator implicat in operatiunile de prelucrare este raspunzator pentru prejudiciul cauzat de operatiunile sale de prelucrare care incalca Regulamentul. Persoana imputernicita de operator este raspunzatoare pentru prejudiciul cauzat de prelucrare numai in cazul in care nu a respectat obligatiile din Regulament, care revin, in mod specific, persoanelor imputernicite de operator sau a actionat in afara sau in contradictie cu instructiunile legale ale operatorului.

Regulamentul prevede sanctiuni administrative severe, iar acestea pot ajunge pana la 10 milioane de euro sau 2% din cifra de afaceri la nivel international pentru incalcarea regulilor referitoare la comunicari nesolicitate sau pana la 20 milioane de euro sau 4% din cifra de afaceri la nivel international pentru prelucrarea nelegala.

Mai mult, statele membre stabilesc normele privind alte sanctiuni aplicabile in caz de incalcare a Regulamentului, in special pentru incalcari care nu fac obiectul unor amenzi administrative si iau toate masurile necesare pentru a garanta faptul ca acestea sunt puse in aplicare. Sanctiunile respective sunt eficace, proportionale si disuasive.

In Romania, autoritatea desemnata sa supravegheze prelucrarea datelor cu caracter personal ale operatorilor si sa aplice sanctiuni pentru nerespectarea Regulamentului este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, in calitate de autoritate publica centrala autonoma cu competenta generala in domeniul protectiei datelor personale.