NOUL REGULAMENT PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL INTRODUCE UN REGIM UNIC LA NIVELUL UNIUNII EUROPENE CARE NECESITA MAI MULTA TRANSPARENTA SI STANDARDE MAI RIDICATE DE PROTECTIE

Ruxandra Pirlan si Flavius Florea sunt avocati in cadrul bpv Grigorescu Stefanica..

Incepand cu 24 mai 2016 intra in vigoare noul regulament privind protectia datelor cu caracter personal (Regulamentul 2016/679 al Parlamentului European si al Consiliului, denumit in continuare „Regulamentul”). Propunandu-si sa intareasca drepturile fundamentale ale cetatenilor in era digitala si sa usureze sarcina companiilor prin simplificarea regulilor pe Piata Unica Digitala, noul Regulament va deveni aplicabil din 25 mai 2018. Aceasta inseamna ca societatile vor avea la dispozitie 2 ani pentru a isi uniformiza practica cu privire la activitatile de procesare a datelor pe care deja le desfasoara cu noul Regulament.

Reguli noi si moderne pentru companii
Regulamentul va reprezenta singurul set de reguli aplicabil afacerilor pe tot teritoriul UE, facand astfel mai usoara sarcina companiilor atunci cand acestea activeaza in alte state membre. In plus, Regulamentul va fi de asemenea aplicabil companiilor care, desi nu-si au sediul in UE, activeaza pe teritoriul UE.

Spre deosebire de pana acum, companiile vor avea o singura autoritate de supraveghere (principala), indiferent de numarul sediilor sau de cel al statelor membre pe care acestea se afla. Criteriul pe baza caruia se determina aceasta autoritate de supraveghere principala este cel al sediului principal care poate fi stabilit pe baza unor reguli clare din Regulament.

Ce trebuie sa stie companiile
De fiecare data cand este vorba despre o procesare de date cu caracter personal, comunicarile care trebuie facute in legatura cu aceasta procesare vor trebui sa respecte un limbaj simplu si clar care sa poate fi inteles cu usurinta. Companiile vor fi responsabile de asigurarea transparentei cu privire la procesarea de date cu caracter personal.

Cu toate ca a disparut obligatia generala de notificare cu privire la procesarea de date, companiile vor trebui sa isi asume si mai multa responsabilitate. In aceasta privinta, in cazul unei incalcari a securitatii datelor cu caracter personal, companiile vor trebuisa notifice de indata autoritatea de supraveghere competenta si preferabil, nu mai tarziu de 72 de ore de la momentul la care au aflat despre incalcare. In caz contrar, companiile vor trebui sa suporte amenzi administrative dispuse pentru astfel de incalcari, care ajung la sume semnificative.

De asemenea, parte din responsabilitatile preluate de companii in baza noului Regulament este si obligatia de a desemna unresponsabil cu protectia datelor, in anumite cazuri, cum ar fi acela in care compania are peste 250 de angajati. Acesta va avea atributii specifice si va desfasura activitati de natura sa asigure aplicarea conforma a Regulamentului si respectarea datelor personale ale angajatilor.

In plus, Regulamentul impune reguli mai stricte in privinta obtinerii consimtamantului valabil la procesarea datelor. Astfel, consimtamantul trebuie sa fie dat intr-un mod clar si explicit, fara dubii, iar daca, de exemplu, consimtamantul este dat in contextul unei declaratii scrise care se refera si la alte aspecte, este posibil ca acesta sa fie considerat neclar cu privire la procesarea de date si, prin urmare, nu va putea fi folosit de companie.

Este foarte important de observat ca, indiferent daca o companie isi intemeiaza procesarea de date pe consimtamant sau nu,persoana ale carei date sunt procesate trebuie sa fie informata cu privire la procesare, respectand astfel principiul transparentei, dupa cum am mentionat si anterior.

Aceasta responsabilitate transferata companiilor prin permiterea procesarii de date fara o notificare prealabila isi gaseste justificarea in nevoia unui comert mai rapid si economiseste sume importante si timp irosit pe o procedura depasita care nu mai reflecta directia in care companiile se indreapta si nici nu mai raspunde nevoilor persoanelor protejate. Cel mai bine se poate vedea cat de greu cantareste aceasta responsabilitate atunci cand privim la valoarea amenzilor administrative care pot ajunge pana la suma de 10 milioane EUR sau 2% din cifra de afaceri mondiala anuala, luandu-se in calcul valoarea cea mai mare sau, in unele cazuri, chiar pana la suma de 20 milioane EUR sau 4% din cifra de afaceri mondiala anuala, luandu-se in calcul valoarea cea mai mare.

O abordare mai prietenoasa fata de mai multe categorii de companii
Una dintre cele mai impovaratoare obligatii ale companiilor in conformitate cu actualul cadru legislativ comunitar se refera la notificarea catre autoritatile de supraveghere, care genereaza un cost total pentru companii de 130 milioane EUR in fiecare an, in conformitate cu statisticile anuntate de Comisia Europeana. Noul regulament elimina cerintele administrative inutile, cum ar fi cerintele de notificare a autoritatilor de supraveghere de catre companii.

In plus, Regulamentul contine o serie de derogari pentru IMM-uri, cum ar fi scutirea de la obligatia de a desemna un responsabil cu protectia datelor, in masura in care prelucrarea datelor nu reprezinta activitatea lor de baza sau de la obligatia de a efectua o evaluare a impactului cu exceptia cazului in care exista un nivel ridicat de risc. De asemenea, companiile vor fi in masura sa perceapa o taxa pentru furnizarea de informatii, in cazul in care cererile de acces la datele personale sunt vadit nefondate sau excesive.

Drepturile garantate ale cetatenilor
Unul dintre scopurile principale declarate ale reformei protectiei datelor a fost de a permite cetatenilor sa-si recapete controlul asupra datelor personale, in contextul unei dezvoltari tehnologice fara precedent. In acest scop, noul Regulament garanteaza urmatoarele drepturi ale persoanelor:

(i)    un acces mai facil la datele personale: persoane fizice vor primi informatii suplimentare, puse la dispozitie intr-un mod clar si usor de inteles, cu privire la modul de procesare a datelor lor;
(ii)    dreptul la portabilitatea datelor: persoanele au dreptul de a primi datele lor cu caracter personal intr-un format structurat, utilizat in mod obisnuit si standardizat si au dreptul de a transmite aceste date catre un alt furnizor de servicii;
(iii)   dreptul de a fi uitat: in cazul in care nu exista existe motive legitime pentru pastrarea datelor, indivizii au dreptul de a obtine stergerea datelor cu caracter personal, fara intarzieri nejustificate;
(iv)   dreptul de a fi informat cu privire la incalcarea securitatii datelor cu caracter personal: atunci cand incalcarea securitatii datelor cu caracter personal este de natura sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, acestea trebuie sa fie informate cu privire la o astfel de incalcare, fara intarzieri nejustificate.

Urmatorii pasi pentru companii
Chiar daca noile reguli vor deveni aplicabile de la data de 25 mai 2018, companiile vor trebui sa aduca prelucrarile in derulare in conformitate cu Regulamentul pana la acel moment. Aceasta perioada de tranzitie ar trebui sa ofere companiilor suficient timp pentru a se stabili reguli si procese de baza clare pentru respectarea noilor cerinte in domeniul prelucrarii datelor. In acest sens, o companie ar trebui sa identifice in primul rand care sunt obligatiile legale care se aplica in cazul sau si ar trebui sa isi actualizeze procedurile si regulamentele in consecinta.

Lasă un răspuns

Te rog autentifică-te folosind una dintre aceste metode pentru a publica un comentariu:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

%d blogeri au apreciat asta: