In data de 26 iulie 2018, a fost publicata Legea nr. 190 din 18 iulie 2018 privind masurile de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor). Aceasta a intrat in vigoare la data de 1 august 2018, respectiv la 5 zile de la data publicarii in Monitorul Oficial.
Noutatile aduse de actul legislativ sunt urmatoarele:
1. In cazul in care operatorul alege sa mearga ca temei al prelucrarii numarului de identificare national (numarul prin care se identifica o persoana fizica in anumite sisteme de evidenta si care are aplicabilitate generala, cum ar fi codul numeric personal, seria si numarul actului de identitate, numarul pasaportului, al permisului de conducere, numarul de asigurare sociala de sanatate) pe interesul legitim, este necesara numirea unui responsabil cu protectia datelor cu caracter personal;
2. Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sanatatea, in scopul realizarii unui proces decizional automatizat sau pentru crearea de profiluri, este permisa cu consimtamantul explicit al persoanei vizate sau daca prelucrarea este efectuata in temeiul unor dispozitii legale exprese, cu instituirea unor masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate;
3. Prelucrarea datelor cu caracter personal in contextul relatiilor de munca in cazul in care sunt utilizate sisteme de monitorizare prin mijloace de comunicatii electronice si/sau prin mijloace de supraveghere video la locul de munca, prelucrarea datelor cu caracter personal ale angajatilor, in scopul realizarii intereselor legitime urmarite de angajator, este permisa numai daca:
- interesele legitime urmarite de angajator sunt temeinic justificate si prevaleaza asupra intereselor sau drepturilor si libertatilor persoanelor vizate;
- angajatorul a realizat informarea prealabila obligatorie, completa si in mod explicit a angajatilor;
- angajatorul a consultat sindicatul sau, dupa caz, reprezentantii angajatilor inainte de introducerea sistemelor de monitorizare;
- alte forme si modalitati mai putin intruzive pentru atingerea scopului urmarit de angajator nu si-au dovedit anterior eficienta si
- durata de stocare a datelor cu caracter personal este proportionala cu scopul prelucrarii, dar nu mai mare de 30 de zile, cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate;
4. Acreditarea organismelor de certificare prevazute la art. 43 din Regulamentul general privind protectia datelor se realizeaza de Asociatia de Acreditare din Romania – RENAR, in calitate de organism national de acreditare;
5. Sanctiunile contraventionale principale pe care le poate aplica ANSPDCP sunt avertismentul si amenda. Acest lucru inseamna ca, in functie de gravitate, autoritatea poate decide daca sa aplice direct o amenda sau un avertisment. Pentru persoanele juridice de drept privat, aplicarea amenzii se face in conditiile art.83 din Regulament. Pentru autoritatile publice, amenda va fi limitata la suma de 200.000 RON;
6. Autoritatile/organismele publice au la dispozitie un termen de 90 zile de la data comunicarii procesului-verbal de constatare si sanctionare a contraventiei, pentru a remedia neregulile constatate si a-si indeplini obligatiile legale. In termen de 10 zile de la data expirarii termenului de remediere, ANSPDCP poate sa reia controlul;
7. Modelul planului de remediere, respectiv documentul prin care autoritatea stabileste masuri si termenul de remediere in cazul unui control, este anexa la legea 190.

CONTACT
Andreea Manolache
Senior Associate | Accace Romania
Tel: +40 314 050 440
E-mail: andreea.manolache@accace.com