Blog

Drepturi si obligatii privind protectia datelor incepand cu 25.05.2018

Drepturi si obligatii privind protectia datelor incepand cu 25.05.2018 Regulamentul European nr. 697/2016.

1. Protectia datelor privind angajatii societatii.

a) Protectia datelor mentionate in contractele de angajare de catre persoana/persoanele responsabile.
In vederea procesarii/stocarii/folosirii acestor date, cea mai simpla varianta este aceea ca fiecare salariat sa isi manisfeste acordul expres in vederea folosirii acestor date in scopul sau scopurile declarate de societate.
Pentru contractele deja semnate se poate intocmi un act aditional la contract in vederea manifestarii acestui acord, iar pentru contractele viitoare se pot insera clauze direct in cuprinsul contarctului cu conditia ca aceste clauze sa fie clare si intr-o forma care sa o diferentieze in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila. Important de stiut este ca acordul manisfestat poate fi retras oricand de angajat, dovada existentei consimtamantului fiind in sarcina operatorului de date. Acordul trebuie obtinut pentru toate scopurile declarate de societate. Practic, angajatul va trebui sa stie clar cine este operatorul de date, care sunt scopurile in care vor fi prelucrate datele personale, ce date sunt utilizate, ce drepturi le sunt garantate si cum isi vor putea exercita aceste drepturi, precum si daca datele personale vor fi sau nu transmise si catre terte persoane. In cazul in care se vor prelucra date personale ale minorilor, operatorul de date va trebui sa faca dovada ca a folosit un limbaj cat mai simplu si clar, astfel incat minorul sa poata intelege care este scopul si modul de prelucrare a datelor personale. 
In cazul in care acest acord nu ar putea fi obtinut in scris, la evaluarea consimtamantului se tine seama de necesitatea datelor prelucrate in vederea executarii unui contract, prestarea unui serviciu ca si conditie de realizare a serviciului, ocazie cu care operatorul va trebui sa prelucreze numai datele strict necesare pentru executarea contractului sau serviciului.
De exemplu se considera date speciale cu caracter personal urmatoarele date, care, de regula, sunt interzise spre a fi prelucrate fara acordul persoanei vizate sau in anumite situatii expres prevazute de Regulament prin art. 9 alin 2):

- date cu privire la originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice, apartenenta la sindicate, prelucrarea de date genetice, de date biometrice pentru identificare unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala a unei persoane fizice.

Ca atare, anumite date cu caracter personal ar putea fi prelucrate si in lipsa acordului expres din partea persoanei vizate, conform art. 6 din Regulament, atunci cand:

- prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;

- prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;

- prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

- prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public;

- prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de un tert, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

b) Durata pastrarii datelor personale si/sau restrictionarea prelucrarii.

In acest sens Regulamentul prevede dreptul persoanelor de a solicita operatorului de date sa stearga datele personale atunci cand acestea au fost/sunt prelucrarte ilegal, fara consimtamantul acestora sau atunci cand datele nu mai sunt necesare scopului in care au fost prelucrate initial. Aceasta optiune se aplica in principal in mediul online, ca atare, dreptul de a prelucra datele va fi analizat in functie de circumstantele fiecarui caz in parte, pastrandu-se in general datele necesare cu scop informativ putand fii transmise in scopul respectarii unei obligatii legale. De asemenea, aceste date pot fi arhivate in interes public, in domeniul sanatatii publice, pot fi arhivate in scopuri de cercetare stiintifica,in scopuri  istoric, in scopuri statistice sau pot fi folosite pentru constatarea, exercitarea sau apararea unui drept in instanta.

c)  Acordul angajatilor de a le fi transmise datele cu caracter personal catre terti.

Aceste acord ar trebui sa fie cuprins in actul aditional sau contract astfel cum am aratat la lit. a) de mai sus. In lipsa acordului, in opinia noastra devin incidente prevederile art. 6 lit. c) din Regulament, in sensul ca prelucrarea poate fi efectuata atunci cand este necesara conform legii; de exemplu in scopul indeplinirii obligatiilor legale privind protectia muncii.

d) Masuri de asigurare privind protectia datelor cu caracter personal din partea societatii contractata sa realizeze serviciile necesare pentru indeplinireea obligatiilor privind protectia datelor.

In acest sens este necesar semnarea unui acord intre parti in care sa fie mentionate in principal categoriile de date ce pot fi prelucrate, scopul pentru care acestea sunt prelucrate, precum si detalii privind durata de pastrare a acestor date. Important este ca in acord sa fie cuprinse si clauzele de confidentialitate si securizare a datelor.

e) Prelucrarea datelor transfrontaliere, respectiv colectarea de date care privesc persoane din mai multe state membre UE.

Regulamentul prevede ca in astfel de situatii statele trebuie sa coopereze astfel incat regulile si principiile stabilite prin Regulament sa fie respectate. In acest sens Regulamentul prevede posibilitatea pentru operatorul de date care isi desfasoara activitatile in mai multe state UE sa isi aleaga un singur interlocutor, respectiv posibilitatea de a alege autoritatea de supraveghere din statul membru in care isi are stabilit sediul principal.

f) Prelucrarea datelor cu caracter personal ale clientilor, ale prestatorilor de servicii, furnizori sau subcontactori.

Clauzele privind prelucrarea datelor cu caracter personal, scopul prelucrarii si durata prelucrarii poat fi cuprinse direct in contract in conditiile expuse la litera a) de mai sus, respectiv de fiecare data cand exista consimtamant in acest sens. Desigur, se poate incheia si un acord separat intre parti in care sa fie mentionate in principal categoriile de date ce pot fi prelucrate, scopul pentru care acestea sunt prelucrate, precum si detalii privind durata de pastrare a acestor date. Indiferent de modalitatea aleasa, este important sa fie cuprinsa de fiecare data si clauza de confidentialitate si securizare a datelor. In cazul in care nu exista consimtamant in acest sens din partea clientilor, prestatorilor de servicii, furnizori, subcontarctori, devin incidente prevederile art. 6 din Regulament, cu precadere lit. b), in sensul ca prelucrarea datelor este legala de fiecare data cand prelucrarea se face in scopul executarii unui contract la care persoana vizata este parte.

2. Posibilitatea operatorului de a desemna o persoana imputernicita. Drepturi si obligatii ce decurg din aceasta procedura.

In cazul in care operatorul de date opteaza pentru numirea unei persoane imputernicite aceasta persoana trebuie sa ofere garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in prezentul Regulament si sa asigure protectia drepturilor persoanei vizate. In dovedirea garantiilor, persoana imputernicita poate opta sa adere la un cod de conduita aprobat cu respectarea dispozitiilor art. 40 din Regulament sau la un mecanism de certificare aprobat, conform art. 42 din Regulament.

Persoana imputernicita poate la randul sau sa angajeze o alta persoana imputernicita in numele operatorului insa, pentru aceasta procedura, este obligatoriu sa primeasca in prealabil autorizatia scrisa, specifica sau generala, din partea operatorului de date. Atunci cand autorizatia acordata este cu caracter general, persoana imputernicita trebuie sa informeze operatorul cu privire la orice modificari preconizate privind adaugarea sau inlocuirea altor persoane imputernicite de operator, astfel incat operatorul sa poate formula eventuale obiectii fata de modificarile propuse.

Stabilirea prelucrarii datelor de catre o persoana imputernicita de operator se face printr-un contract prin care se stabileste:
- obiectul si durata prelucrarii;
- natura si scopul prelucrarii;
- tipul de date cu caracter personal si categoriile de persoane vizate;

- obligatiile si drepturile operatorului.

Prin contract vor fi trasate si sarcinile persoanei imputernicite de operator, dintre care enumeram:

- prelucrarea sa se faca pe baza unor instructiuni documentate din partea operatorului; in cazul in care in executarea contractului persoana imputernicita are obligatia de a prelucra si alte date, are obligatia de a notifica aceasta obligatie catre operatorul de date inainte de prelucrare, cu exceptia cazului in care o astfel de notificare este interzisa din motive legate de interesul public;

- prelucrarea sa se faca de persoane autorizate care sa se angajeze sa pastreze confidentialitatea, persoana imputernicita trebuie sa se asigure ca este respectata confidentialitatea datelor;

- sa se asigure securitatea prelucrarii datelor, conform art. 32 din Regulament, respectiv: sa pseudominizeze si sa cripteze datele cu caracter personal, sa aiba capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continua a sistemelor si serviciilor de prelucrare, sa aiba capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica, sa asigure un proces pentru testarea, evaluarea si aprecierea perioadica a eficacitatii masurilor  tehnice si organizatorice pentru a garanta securitatea prelucrarii, sa se asigure ca orice persoana care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, cu exceptia cazului in care aceasta obligatie ii revine conform legii.

-  sa se aduca la cunostinta operatorului intentia de numire/schimbarea a persoanei imputernicita si sa se asigure ca noua persoana imputernicita asigura aceleasi obligatii privind protectia datelor prevazute in contractul sau incheiat cu operatorul, cu precizarea ca in caz de nerespectare a acestor obligatii de catre persoana nou imputernicita, raspunderea ramane in sarcina sa - persoana initial imputernicita de operator.

- sa se asigure asistenta operatorului prin masuri tehnice si organizatorice adecvate, in masura in care acest lucru este posibil, astfel incat operatorul sa poata raspunde cererilor provenite de la persoanele vizate.

- sa se implice impreuna cu operatorul in scopul respectarii obligatiei de securitate a datelor cu caracter personal, in scopul notificarii autoritatii de supraveghere in cazul incalcarii securitatii datelor cu caracter personal, in scopul informarii persoanei vizate cu privire la incalcarea securitatii datelor cu caracter personal, in scopul evaluarii impactului asupra protectiei datelor si in scopul obtinerii consultarii prealabile; obligatii prevazute la art. 32-36 din Regulament.

- in functie de optiunea operatorului, sa se asigure stergerea sau returnarea datelor cu caracter personal dupa incetarea furnizarii serviciilor legate de prelucrare si sa elimine copiile existente cu exceptia datelor care pot fi stocate conform legii.

- sa se asigure, in limita legii, punerea la dispozitia operatorului a tuturor informatiilor necesare pentru a se demonstra respectarea obligatiilor prevezute de Regulament, sa permita desfasurarea auditurilor, inclusiv a inspectiilor, efectuate de operator sau al auditor mandatat si contribuie la realizarea acestora.

- sa coopereze cu autoritatea de supraveghere in indeplinirea sarcinilor lor.

- sa aiba in vedere ca operatorul sau reprezentantul acestuia trebuie sa pastreze o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea sa, evidenta care sa cuprinda:

a) numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor, dupa caz;
b) scopurile prelucrarii;
c) o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
d) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale, dupa caz;
e) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale
respective si, in cazul transferurilor mentionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeste existenta unor garantii adecvate;
f) acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date;
g) acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 32 alineatul (1).

- sa se pastreze o evidenta a tuturor categoriilor de activitati de prelucrare desfasurate in numele operatorului, care cuprind:
a) numele si datele de contact ale persoanei sau persoanelor imputernicite de operator si ale fiecarui operator in numele caruia actioneaza aceasta persoana (aceste persoane), precum si ale reprezentantului operatorului sau al persoanei imputernicite de operator, dupa caz;
b) categoriile de activitati de prelucrare desfasurate in numele fiecarui operator;
c) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale
respective si, in cazul transferurilor prevazute la articolul 49 alineatul (1) al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate;
d) acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 32 alineatul (1).

Aceste evidente trebuie pastrate in scris, in format print, inclusiv in format electronic si sunt puse la dispozitia autoritatii de supraveghere la cererea acesteia. Aceste evidente se aplica in general intreprinderilor sau organizatiilor care au un numar de peste 250 de angajati, cu exceptia cazurilor in care prelucrarea este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, atunci cand prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date, cum sunt cele prevazute la art. 9 din Regulament sau atunci cand sunt prelucrari de date cu caracter personal referitoare la condamnari penale si infractiuni.

3. Accesul altor persoane la datele cu caracter personal, altele decat persoana sau persoanele imputernicite.

Regulamentul permite accesul altor pesoane la datele cu carcater personal, cu conditia ca numarul persoanelor sa fie cat mai limitat si initiate in respectarea confidentialitatii si securitatii datelor. Ca atare, in opinia noastra ar putea avea acces conducerea societatii, persoanele delegate cu protejarea datelor sau care colecteaza/prelucreaza aceste date, auditori etc insa este recomandat ca numarul persoanelor sa fie cat mai redus astfel incat protejarea datelor sa se faca la un nivel cat mai inalt.

De exemplu, in cazul in care se lucreaza in mediul online ar trebui acordata o atentie mai mare in ceea ce priveste transmiterea datelor cu caracter personal prin intermediul corespondentei electonice sau skype, cum ar fi: transmiterea de adrese de email din emailuri primite de la terte persoane sau alte date de identificare si care sunt cu caracter personal.


4. Alte obligatii si proceduri recomandate.

a) Desemnarea unui responsabil pentru protectia datelor

Persoana responsabila cu protectia datelor este numita de operatorul de date ca masura de responsabilizare pentru protectia datelor personale.
Astfel, persoana numita ca responsabila de protectia datelor:
- ofera operatorului de date si/sau persoanei imputernicite consultanta necesara in vederea respectarii tuturor obligatiilor legale de catre operatorul de date si asigura transparenta necesara fata de persoanele vizate.

- ofera consultanta necesara in vederea efectuarii unui studiu de impact asupra vietii private a personelor pentru care se colecteaza date. Acest studiu se efectueaza in cazul prelucrarilor de date care pot presupune un risc ridicat pentru viata privata a persoanelor. Prin studiu se pot identifica riscuri specifice si se pot propune solutii care sa impiedice aparitia sau producerea riscurilor sesizate.

- monitorizeaza respectarea Regulamentului;

- coopereaza cu autoritatea de supraveghere si tine legatura, ca persoana de contact, cu aceasta;

Operatorul de date nu este, insa, obligat sa numeasca o persoana responsabila cu protectia datelor decat in situatii exprese cum sunt cazurile in care operatorul de date este o autoritate publica sau atunci cand prelucrarea datelor necesita o monitorizare regulata si sistematica a persoanelor vizate pe scara larga, insa numirea responsabilului pentru protectia datelor este recomandata in vederea respectarii prevederilor Regulamentului. De exemplu, se poate considera monitorizare regulata si sistematica emailul de directionare repetata, activitatile de marketing bazate pe date, profilare si scoring in scopul evaluarii riscurilor, programe de loialitate etc.

b) Cartografierea prelucrarilor de date cu caracter personal, conform art. 30 din Regulament, respectiv:
a) numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor, dupa caz;
b) scopurile prelucrarii;
c) o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
d) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale, dupa caz;
e) daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale
respective si, in cazul transferurilor mentionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeste existenta unor garantii adecvate;
f) acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date;
g) acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 32 alineatul (1).

Aceasta obligatie este prevazuta si este obligatorie in cazul in care sunt peste 250 de angajati, insa obligatia este prevazuta si in cazul operatorilor cu mai putin de 250 angajati daca prelucrarea de date poate genera un risc pentru drepturilesi libertatile persoanelor vizate, atunci cand prelucrarea nu este ocazionala sau atunci cand include categorii de date speciale ori date cu carater personal referitoare la condamnari penale si infractiuni.

c) Prioritizarea actiunilor de intreprins, prin:

- identificarea actiunilor de intreprins;

- prioritizarea actiunilor;

La identificare si prioritizare se va avea in vedere:

- prelucrarea doar a datelor strict necesare pentru realizarea scopului/scopurilor;

- identificarea temeiului legal pentru prelucrare;

- revizuirea/completarea informatiilor furnizate persoanelor vizate;

- asigurarea ca persoana imputernicita isi cunoaste noile obligatii si responsabilitati;

- verificarea existentei clauzelor contractuale si actualizarea obligatiilor persoanelor imputernicite privind securitatea, conidentialitatea si protectia datelor cu caracter personal prelucrate;

- stabilirea modalitatilor de exercitare a drepturilor persoanelor vizate, cum sunt: dreptul la acces, dreptul la rectificarea datelor, dreptul la portabilitatea datelor, dreptul la retragerea consimtamantului;

- verificarea masurilor de securitate implementate;
-  stabilirea masurilor speciale, daca este cazul, de exemplu atunci cand:
a) prelucrarea vizeaza dezvaluirea de date privind originea rasiala, etnica, opiniile politice, filozofice sau religioase, apartenenta sindicala, date privind sanatatea sau orientarea sexuala , date genetice sau biometrice, date referitoare la infractiuni sau condamnari penale, date referitoare la minori.

b) prelucrarea are ca scop monitorizarea permanenta pe scara larga a unei zone accesibile publicului sau are ca scop evaluarea sistematica si aprofundata a unor aspecte personale, inclusiv profilarea, pe baza careia sunt luate decizii care produc efecte juridice cu privire la persoana vizata.

c) prelucrarea vizeaza transferuri de date in afara UE.

d) Gestionarea riscurilor prin:

- evaluarea impactului asupra protectiei datelor tinandu-se cont de categoria de date si scopul prelucrarii, necesitatea prelucrarii, estimarea riscurilor, masurile stabilite pentru evitarea riscurilor.

e) Organizarea procedurilor interne prin:

- asigurarea securitatii datelor pe toata perioada desfasurarii activitatii;

- asigurarea transparentei asupra datelor fata de persoanele vizate;

- modificarea datelor prelucrate, atunci cand este cazul;

- schimbarea prestatorului.

La organizarea procedurilor se va avea in vedere:

- protejarea datelor inca de la momentul prelucrarii prin aplicarea de masuri tehnice si organizatorice adecvate, astfel incat sa fie prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii si la care sa aiba acces un numar limitat de persoane;

- instruirea persoanelor care prelucreaza date cu caracter personal asupra obligatiilor de securizare, confidentialitate si protectie asupra datelor;

- modalitatea de rezolvare a plangerilor si cererilor adresate de persoanele vizate in exercitarea drepturilor lor;

- masurile de rezolvare a unei posibile incalcari a securitatii datelor;

- masurile de confidentialitate si securitate a datelor a datelor prelucrate.

Informatiile de mai sus sunt transmise strict informativ, pot contine interpretari personale si nu au nicio implicatie legala.


Comentarii

Lasa un comentariu

Notifica-ma pe email cand sunt raspunsuri