Operare date cu caracter personal, RGPD, DPIA

Art. 4 din Regulamentul UE nr. 679/2016

Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal;

Operatorul decide să prelucreze date cu caracter personal prin anumite operaţiuni efectuate:

• prin mijloace automate și
• prin alte mijloace decât cele automate

Persoana fizică sau juridică poate fi desemnată ca operator:

• printr-un act normativ sau
• în baza unui act normativ

Respectivul act normativ determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o prelucrare să intre sub incidenţa prevederilor Legii nr.190/2018 este necesar ca ea să se desfăşoare în cadrul unui sistem de evidenţă.

Prin sistem de evidenţă se înţelege o bază de date, structurată potrivit unor criterii pe baza cărora datele pot fi accesate (criteriul alfabetic, etc).

Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:

•     (a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
•     (b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
•     (c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
•     (d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
•     (e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
•     (f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

RGPD – Registrul de Evidenţă a Prelucărilor de Date cu Caracter Personal

Registrul de Evidenţă a Prelucărilor de Date cu Caracter Personal:

• conţine evidenţa notificărilor efectuate de operatorii de date cu caracter personal
• este public,
• are rolul de a asigura transparenţa privind activitatea operatorilor de prelucrare a datelor
• poate fi consultat de orice persoană interesată

Operatorii trebuie să implementeze măsuri adecvate pentru:

• a asigura conformitatea cu RGPD și
• a demonstra conformitatea cu RGPD,
• să ia în considerare riscurile de variație a probabilității și gravității asupra drepturilor și libertăților persoanelor fizice

Un risc reprezintă un scenariu care descrie un eveniment și consecințele acestuia, estimat în termeni de severitate și probabilitate. Managementul riscului reprezintă activitățile coordonate pentru a conduce și controla o organizație cu privire la un risc.

DPIA – Evaluarea impactului asupra protecției datelor

Evaluarea impactului asupra protecției datelor (DPIA), așa cum prevede și Directiva UE 6803/2016,  este un proces destinat:

• să descrie prelucrarea,
• să evalueze necesitatea și proporționalitatea acesteia și
• să contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate rezultate din prelucrarea datelor cu caracter personal, prin evaluarea acestora și stabilirea de măsuri pentru atenuarea lor
• să demonstreze conformitatea

DPIA reprezintă un instrument important pentru responsabilizare deoarece ajută operatorii de date:

• să respecte cerințele RGPD,
• să demonstreze că au fost luate măsuri adecvate pentru a asigura conformitatea cu Regulamentul

Potrivit RGPD, nerespectarea cerințelor DPIA poate conduce la aplicarea de amenzi de către autoritatea de supraveghere.

Se poate aplica o amendă administrativă de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală pentru:

• nerealizarea unei DPIA atunci când prelucrarea face obiectul unei DPIA
• realizarea unei DPIA într-un mod incorect
• neconsultarea cu autoritatea de supraveghere competentă, dacă este cazul

Obligația operatorilor de a realiza DPIA în anumite situații ar trebui înțeleasă în contextul obligației lor generale de a gestiona în mod corespunzător riscurile prezentate de prelucrarea datelor cu caracter personal. Operatorii şi persoanele împuternicite de operator desemnează un responsabil cu protecţia datelor.

În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor, unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.

Realizarea unei DPIA nu este obligatorie pentru fiecare operațiune de prelucrare. DPIA este necesară numai atunci când prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.

Consultarea prealabilă a autorității de supraveghere

Operatorul consultă autoritatea de supraveghere înainte de prelucrarea datelor atunci când evaluarea impactului asupra protecţiei datelor indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.

Operatorul furnizează autorității de supraveghere informații privind:

1. responsabilităţile operatorului, ale operatorilor asociaţi şi ale persoanelor împuternicite de operator implicate în activităţile de prelucrare, în special pentru prelucrarea în cadrul unui grup de întreprinderi;
2. scopurile şi mijloacele prelucrării preconizate;
3. măsurile şi garanţiile prevăzute pentru protecţia drepturilor şi libertăţilor persoanelor vizate,
4. datele de contact ale responsabilului cu protecţia datelor;
5. evaluarea impactului asupra protecţiei datelor
6. orice alte informaţii solicitate de autoritatea de supraveghere

Obligațiile operatorului de date

Operatorul de date are ca obligații:

• punerea în aplicare a măsurilor tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.
• punerea în aplicare a politicii adecvate de protecţie a datelor
• aderarea la coduri de conduită aprobate
• aderarea la un mecanism de certificare aprobat

Operatorul și persoana împuternicită de operator identifică acţiunile care trebuie întreprinse pentru conformarea la cerinţele impuse de RGPD. Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertăţile persoanelor vizate.

După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de RGPD.

Indiferent de prelucrările efectuate, se vor avea în vedere, în principal, următoarele aspecte:

• colectarea și prelucrarea datelor strict necesare pentru realizarea scopurilor;
• identificarea temeiului legal în baza căruia se efectuează prelucrarea (ex consimţământul persoanelor vizate, contract, obligaţie legală);
• revizuirea/completarea informaţiilor furnizate persoanelor vizate, astfel încât să respecte cerinţele impuse de RGPD
• asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;
• verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate;
• stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
• verificarea măsurilor de securitate implementate

Măsurile speciale ce se pot aplica sunt:

• evaluarea impactului asupra protecţiei datelor,
• extinderea dreptului la informare al persoanelor vizate,
• obţinerea consimţământului persoanelor vizate (după caz),
• obţinerea autorizării pentru transferurile de date în state terţe (dacă este cazul)

Aplicarea măsurilor speciale se face dacă prelucrările de date cu caracter personal îndeplinesc următoarele caracteristici:

1)Prelucrarea efectuată vizează și categorii de date precum:

• date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau religioase, apartenenţa sindicală;
• date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
• date referitoare la infracţiuni sau condamnări penale;
• date referitoare la minori;

2)Prelucrarea efectuată are ca scop și ca efect:

• monitorizarea permanentă pe scară largă a unei zone accesibile publicului;
• evaluarea sistematică și aprofundată a unor aspecte personale, inclusiv profilarea, pe baza căreia sunt luate decizii ce produc efecte juridice referitoare la o persoană fizică sau ce o afectează pe aceasta în mod semnificativ.

3)Prelucrarea efectuată implică transferuri de date:

• în afara Uniunii Europene,
• către state care nu asigură un nivel de protecţie adecvat recunoscut de Comisia Europeană

Stabilirea măsurilor care trebuie aplicate la nivelul fiecărui operator se face:

• după o analiză aprofundată a legislaţiei privind protecţia datelor și a cerinţelor impuse de RGPD
• în funcţie de sectorul de activitate
• în funcție de specificul prelucrărilor efectuate

Notificarea autorității de supraveghere potrivit RGPD

A fost eliminată obligația notificării autorității de supraveghere de către operatorii de date, dar aceștia nu sunt exonerați  de îndeplinirea obligaţiilor care le revin potrivit RGPD în privința:

• prelucrării datelor cu caracter personal și
• libera circulație a acestor date