Au rămas mai puțin de 100 de zile până la 25 mai 2018, dată la care va fi pus în aplicare, în toate statele membre ale Uniunii Europene, Regulamentul general privind protecția datelor (RGPD) – Regulamentul (UE) 2016/679. Noile norme vor deveni, astfel, aplicabile, după doi ani de la adoptarea și intrarea în vigoare a documentului amintit.

Reamintim că, la 4 mai 2016, a fost publicat în Jurnalul Oficial al Uniunii Europene pachetul legislativ privind protecția datelor la nivelul UE, care cuprinde:

Orientări pentru facilitarea aplicării directe și uniforme a normelor

Pentru a veni în sprijinul celor vizați, Comisia Europeană (CE) a publicat recent o serie de orientări în vederea facilitării procesului de aplicare directă și uniformă, începând cu 25 mai, în întreaga UE, a noilor norme de protecție a datelor. Orientările reamintesc principalele inovații și oportunități oferite de Regulament, trec în revistă acțiunile pregătitoare realizate deja și evidențiază demersurile pe care Executivul de la Bruxelles, autoritățile naționale pentru protecția datelor și administrațiile naționale trebuie să le întreprindă în continuare. CE a alocat până acum 1,7 milioane euro reprezentând fonduri destinate autorităților pentru protecția datelor și formării de profesioniști în acest domeniu. O sumă suplimentară de 2 milioane euro este disponibilă pentru a sprijini autoritățile naționale în stabilirea de contacte cu întreprinderile, în special cu IMM-urile.

Regulamentul general privind protecția datelor permite libera circulație a datelor în cadrul pieței unice digitale. Acesta va proteja mai bine viața privată a cetățenilor europeni și va consolida încrederea și securitatea consumatorilor, oferind în același timp noi oportunități pentru întreprinderi, în special pentru întreprinderile mai mici.

Orientările reamintesc principalele elemente ale RGPD:

Drepturi noi și consolidate pentru persoanele fizice

Protecția conferită de RGPD vizează persoanele fizice, indiferent de cetățenia sau reședința acestora, în ceea ce privește prelucrarea datelor cu caracter personal. Așadar, noile reglementări conferă cetățenilor mai multe drepturi, pe care și le pot exercita în mod gratuit față de entitățile care le prelucrează datele – operatorii de date, astfel: dreptul la informare, dreptul de acces la datele personale, dreptul la rectificare și ștergere (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție. Aceste drepturi sunt detaliate pe site-ul Autorității Naționale de Supraveghere a Datelor cu Caracter Personal.

Instrument online în sprijinul aplicării Regulamentului la nivel practic

Cunoștințele despre beneficiile și oportunitățile oferite de noile norme nu sunt difuzate în mod egal. În acest context, Executivul de la Bruxelles apreciază că este necesar, în special, să se accelereze acțiunile de sensibilizare și să se sprijine eforturile IMM-urilor în ceea ce privește conformitatea. De aceea, CE a lansat un instrument online sub formă de întrebări și răspunsuri destinate cetățenilor, întreprinderilor, în special IMM-urilor, precum și altor organizații. Acesta vine în sprijinul părților interesate în vederea pregătirii lor pentru aplicarea RGPD și a respectării noilor reguli europene în domeniu. Ghidul online este disponibil pe site-ul Comisiei Europene.

Ghid orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor

Pentru a veni în întâmpinarea eforturilor operatorilor de conformare cu noile reguli de prelucrare a datelor personale, pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este publicat, în cadrul secțiunii speciale dedicate RGPD, Ghidul orientativ de aplicare a Regulamentului general privind protecția datelor destinat operatorilor. Se dorește ca acest document să constituie un instrument util în activitatea tuturor operatorilor, în efortul acestora de pregătire a aplicării Regulamentului (UE) 2016/679.

Responsabilul cu protecția datelor cu caracter personal

Un element de noutate pe care acest act normativ european îl aduce în peisajul juridic românesc îl reprezintă instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor. Pentru asigurarea unei aplicări unitare a RGPO, Grupul de Lucru Art. 29 de pe lângă Comisia Europeană a emis Ghidul privind Responsabilul cu protecția datelor (DPO), accesibil la secțiunea specială dedicată Regulamentului General privind Protecția Datelor, pe site-ul ANSPDCP.

Cazurile în care este obligatorie desemnarea unui responsabil cu protecția datelor:

Când nu este necesară desemnarea unui responsabil cu protecția datelor?

Sarcinile responsabilului cu protecția datelor:

A fost validat standardul ocupațional aferent rolului de Responsabil cu protecția datelor cu caracter personal (DPO), introdus în Clasificatorul Ocupațiilor din România

Odată cu apropierea momentului în care noile reglementări vor intra în vigoare, a fost introdus în Clasificatorul Ocupațiilor din România și a fost validat, la Ministerul Educației Naționale (MEN), standardul ocupațional aferent rolului de Responsabil cu protecția datelor cu caracter personal.

Potrivit unui comunicat, „PwC România și D&B David și Baias au obținut validarea standardului ocupațional aferent rolului de Responsabil cu protecția datelor cu caracter personal (sau DPO) de la Comitetul Sectorial Administrație și Servicii Publice din cadrul Autorității Naționale pentru Calificări, structură a Ministerului Educației Naționale. Acest standard elaborat de echipa PwC împreună cu cea a D&B David și Baias va sta la baza cursurilor de formare profesională pentru această poziție organizate pe viitor în România”. Această reușită este și ca urmare a demersurilor făcute de aceeași echipă în fața Ministerului Muncii pentru introducerea în COR a ocupației pentru prima dată în România.

Rolul de Responsabil cu protecția datelor cu caracter personal (DPO) este prevăzut de noul Regulament general de protecție a datelor.

Campanii informative pentru IMM-uri

Deși, de regulă, obligațiile de păstrare a evidenței nu se aplică IMM-urilor, întreprinderile sau organizațiile cu mai puțin de 250 de angajați au obligații de păstrare a evidenței în cazul în care prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, dacă prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, foarte multe întreprinderi încadrându-se în aceste situații.

Potrivit reprezentanților Consiliului Național al Întreprinderilor Private Mici și Mijlocii din România (CNIPMMR), în țara noastră nu există încă măsuri/programe de consiliere și susținere a IMM-urilor pentru implementarea RGPD. În acest context, reprezentanții întreprinzătorilor mici și mijlocii consideră necesară adoptarea următoarelor măsuri:

ANSPDCP: Aplicarea amenzii maxime NU este scopul principal al Regulamentului

În măsura nerespectării drepturilor persoanelor vizate, Regulamentul conferă persoanelor fizice în cauză dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Plângerea este scutită de taxe.

Dacă plângerea este admisibilă, aceasta va putea fi urmată de o investigație la operatorul de date reclamat.

Măsurile corective pe care ANSPDCP le va putea dispune în temeiul RGPD se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării etc.

Potrivit informațiilor furnizate de ANSPDCP, în ceea ce privește stabilirea sancțiunilor cu amendă, aceasta va avea la bază „o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte. Atunci când se va lua decizia dacă să se impună o amendă administrativă, precum și valoarea acesteia în fiecare caz în parte, se va acorda atenția cuvenită criteriilor prevăzute de Regulamentul General privind Protecția Datelor, astfel încât să se asigure principiul proporționalității”.

În contextul în care în spațiul public, în ultima perioadă, au fost vehiculate opinii potrivit cărora în cazul abaterilor de la noile norme ar urma să fie aplicate amenzi la nivelul maxim prevăzut, ANSPDCP precizează: „Autoritatea de Supraveghere își propune creșterea nivelului de conștientizare și de înțelegere a riscurilor, normelor, garanțiilor și drepturilor în materie de prelucrare a datelor și se delimitează față de opiniile lansate tot mai des în spațiul public care induc în mod greșit ideea că sancțiunile cu amenzi la nivel maxim sunt singurele măsuri corective la care se poate recurge. Totodată, Autoritatea de Supraveghere se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului general privind protecția datelor, prin mediatizarea «perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri» și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului. Astfel, Autoritatea de Supraveghere va elabora o secțiune de întrebări frecvente în cadrul website-ului propriu, www.dataprotection.ro, privind principalele obiective ale RGPD”.