Despre GDPR
Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.
Regulamentul privind protecția datelor stabilește norme referitoare la protecția persoanelor fizice privind prelucrarea datelor cu caracter personal și norme referitoare la libera circulație a datelor cu caracter personal.
Autoritatea Nationala de Supraveghere a emis un Ghid orientativ referitor la aplicarea Regulamentului General privind Protecţia Datelor destinat operatorilor.
Obligațiile pe care le au operatorii de date cu caracter personal sunt reglementate în Capitolul IV din Regulamentul (UE) 2016/679. Printre principalele obligații ale operatorului în aplicarea Regulamentului se numără:
- respectarea principiilor de prelucrare a datelor (art. 5 din Regulament);
- respectarea drepturilor persoanelor fizice (art. 12-23 din Regulament);
- asigurarea securității datelor (art. 25 și art. 32 din Regulament);
- desemnarea unui responsabil cu protecția datelor (art. 37-39 din Regulament), după caz;
- notificarea încalcărilor de securitate (art. 33 din Regulament), după caz;
- evaluarea impactului asupra protecției datelor și respectarea drepturilor persoanelor fizice (art. 35 din Regulament), după caz;
- cartografierea prelucrărilor de date cu caracter personal (art. 30 din Regulament).
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 – 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:
- este o autoritate publică sau un organism public, cu excepţia instanţelor în exercitarea funcţiei lor jurisdicţionale;
- desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
- desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.
Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor, ANSPDCP (Autoritatea Nationala de Supraveghere) recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului pentru asigurarea respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.
Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii și respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.
Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum:
- breșe de securitate;
- solicitări privind exercitarea drepturilor persoanelor vizate;
- modificarea datelor cu caracter personal colectate;
- schimbarea prestatorului.