La data de 26.07.2018 a fost publicată în Monitorul Oficial, Partea I, nr. 651, Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/EC și alte actenormative ( Regulamentul General privind Protecția Datelor), lege care are ca scop reglementarea măsurilor necesare punerii în aplicare la nivel național, în principal, a prevederilor art. 6 alin. (2), art. 9 alin. (4), art. 37-39, 42, 43, art. 83 alin. (7), art. 85 și ale art. 87-89 din Regulamentul (UE) 2016/679.
Încercăm să informăm asupra aspectelor reglementate de legea internă, cu mențiunea că reglementarea generală, respectiv Regulamentul (UE) 2016/679, se va completa cu dispozițiile Legii nr.190/2018.
În primul rând, Legea nr.190/2018 definește unele noțiuni de interes și necesare având în vedere publicarea în Monitorul Oficial nr. 600 din 13 iulie 2018, Partea I a Procedurii de primire şi soluţionare a plângerilor de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Astfel, sunt definite noțiuni precum:
– număr de identificare național: numărul prin care se identifică o persoană fizică în anumite sisteme de evidență și care are aplicabilitate generală, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială de sănătate;
– plan de remediere: anexă la procesul-verbal de constatare și sancționare a contravenției, întocmit în condițiile prevăzute la art. 11, prin care Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea națională de supraveghere, stabilește măsuri și un termen de remediere;
– măsură de remediere: soluție dispusă de Autoritatea națională de supraveghere în planul de remediere în vederea îndeplinirii de către autoritatea/organismul public a obligațiilor prevăzute de lege;
– termen de remediere: perioada de timp de cel mult 90 de zile de la data comunicării procesului- verbal de constatare și sancționare a contravenției, în care autoritatea/organismul public are posibilitatea remedierii neregulilor constatate și îndeplinirii obligațiilor legale;
– îndeplinirea unei sarcini care servește unui interes public: include acele activități ale partidelor politice sau ale organizațiilor cetățenilor aparținând minorităților naționale, ale organizațiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public ori funcționării sistemului democratic, incluzând încurajarea participării cetățenilor în procesul de luare a deciziilor și a pregătirii politicilor publice, respectiv promovarea principiilor și valorilor democrației.
Legislația internă prevede reguli speciale privind prelucrarea unor categorii de date cu caracter personal. Astfel, sunt reglementate reguli speciale în privința prelucrării datelor genetice, datelor biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, care este permisă numai cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.
Pentru prelucrarea unui număr de identificare național, trebuie instituite o serie de garanții, și anume:
a) punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor art. 32 din Regulamentul general privind protecția datelor;
b) numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din prezenta lege;
c) stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
d) instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.
Legea prevede reguli speciale de prelucrare și în relațiile de muncă, și anume, atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
– interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
– angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
– angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
– alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
– durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
Capitolul III al Legii naționale este destinat instituirii unor derogări de la regulile generale, însă acestea privesc exclusiv situațiile în care prelucrarea este efectuată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, precum și în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public.
Totodată, se instituie Asociația de Acreditare din România – RENAR, în calitate de organism național de acreditare.
Ultimul Capitol este destinat reglementării Măsurilor corective și sancțiunilor, distincte în funcție de normele încălcate, stabilind ca sancțiuni contravenționale aplicabile sancțiunea avertismentului sau a amenzii contravenționale.
Se reglementează procedura de aplicare a măsurilor corective autorităților și organismelor publice.
În acest sens, se dispune că în cazul constatării încălcării prevederilor Regulamentului general privind protecția datelor și ale prezentei legi de către autoritățile/organismele publice, Autoritatea națională de supraveghere încheie un proces-verbal de constatare și sancționare a contravenției prin care se aplică sancțiunea avertismentului și la care anexează un plan de remediere. Termenul de remediere se stabilește în funcție de riscurile asociate prelucrării, precum și demersurile necesar a fi îndeplinite pentru asigurarea conformități prelucrării.
În termen de 10 zile de la data expirării termenului de remediere, Autoritatea națională de supraveghere poate să reia controlul.
Responsabilitatea îndeplinirii măsurilor de remediere revine autorității/organismului public care, potrivit legii, poartă răspunderea contravențională pentru faptele constatate.
Modelul planului de remediere care se anexează la procesul-verbal de constatare și sancționare a contravenției este prevăzut în anexa Plan de remediere, care face parte integrantă din prezenta lege.
Dacă în urma controlului mai sus menționat se constată faptul că autoritățile/organismele publice nu au adus la îndeplinire în totalitate măsurile prevăzute în planul de remediere, Autoritatea națională de supraveghere, în funcție de circumstanțele fiecărui caz în parte, poate aplica sancțiunea contravențională a amenzii, cu luarea în considerare a criteriilor prevăzute la art. 83 alin. (2) din Regulamentul general privind protecția datelor.
Sunt reglementate si sancțiunile contravenționale aplicabile în funcție de dispozițiile încălcate. Astfel, constituie contravenție încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la:
– obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu prevederile art. 8, art. 11, art. 25-39, art. 42 și 43;
– obligațiile organismului de certificare în conformitate cu art. 42 și 43;
– obligațiile organismului de monitorizare în conformitate cu art. 41 alin. (4).
De asemenea, constituie contravenție încălcarea de către autoritățile/organismele publice a dispozițiilor art. 3-9 din lege.
Aceste două tipuri contravenții se sancționează cu amendă de la 10.000 lei până la 100.000 lei.
Mai mult, constituie contravenție și încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la:
– principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu art. 5-7 și art. 9;
– drepturile persoanelor vizate în conformitate cu art. 12-22;
– transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu art. 44-49;
– orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;
– nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării sau a suspendării fluxurilor de date, emisă de către Autoritatea națională de supraveghere în temeiul art. 58 alin. (2), sau neacordarea accesului, prin încălcarea dispozițiilor art. 58 alin. (1).
Prin derogare de la prevederile art. 8 alin. (2) lit. a) din O.G. nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, contravențiile astfel prevăzute se sancționează cu amendă de la 10.000 lei până la 200.000 lei.
Pentru orice informații suplimentare ne puteți contacta la adresa de e-mail [email protected].