Personalul de control al ANSPDCP are atribuții suplimentare în activitatea de verificare a companiilor care fac prelucrări de date cu caracter personal. Măsura este prevăzută de Legea nr. 129/2018 pentru modificarea legii de funcționare a ANSPDCP, ce a apărut marți în Monitorul Oficial.
Concret, mai nou, personalul de control al ANSPDCP poate să verifice la firmele ce fac prelucrări de date personale, chiar și pe nepusă masă, documente, echipamente și orice alte suporturi de stocare a datelor.
„Personalul de control are dreptul să efectueze investigații, inclusiv inopinate, să ceară și să obțină de la operator și persoana împuternicită de operator, precum și, după caz, de la reprezentantul acestora (operator de date cu caracter personal, care poate fi inclusiv o companie - n. red.), la fața locului și/sau în termenul stabilit, orice informații și documente, indiferent de suportul de stocare, să ridice copii de pe acestea, să aibă acces la oricare dintre incintele operatorului și persoanei împuternicite de operator, precum și să aibă acces și să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfășurării investigației, în condițiile legii”, este explicat în noua lege.
Până acum, atribuțiile ANSPDCP erau mai restrânse pe partea de controale. Legislația nu făcea referire la controale inopinate și puteau fi cerute informații sau documente, fără să se indice în mod expres echipamente sau suporturi de stocare a datelor personale.
În România, operator de date cu caracter personal poate fi, practic, orice firmă sau entitate publică ce are angajați sau clienți și le prelucrează datele personale. Și nu numai.
Legea mai prevede și abrogarea explicită Legii nr. 677/2001, vechiul cadru legal al prelucrărilor de date cu caracter personal. Asta deoarece din 25 mai 2018 există un regulament european care se aplică direct în toate statele membre ale Uniunii Europene (cunoscut mai bine ca GDPR).
--
Notă: Legea nr. 129/2018 ne pune într-o situație neobișnuită, din cauza întârzierii cu care a fost adoptată, în raport cu intrarea în vigoare a GDPR. Legea intră în vigoare în cinci zile de la publicare, adică pe 24 iunie 2018, însă prevederile referitoare la verificarea calculatoarelor se aplică de la data de 25 mai 2018 (data aplicării GDPR), după cum scrie chiar în cuprinsul actului normativ. În mod clar, intenția Legislativului era ca legea să apară în Monitor cu câteva zile înainte de 25 mai 2018, însă acest lucru n-a fost posibil, din cauza adoptării cu întârziere, și prevederile ce implică acum o aplicare retroactivă au fost lăsate nemodificate.