GDPR: Șapte aspecte interesante de reținut dintr-un nou ghid al autorităților de la noi

ANSPDCP a emis, recent, un nou ghid privind aplicarea GDPR. Acesta este cuprinzător și vizează o serie de elemente importante, de la chestiuni de bază referitoare la GDPR (de exemplu, ce înseamnă operator de date cu caracter personal, care sunt condițiile de prelucrare a datelor cu caracter personal sau elemente privind încălcările de securitate) la situații foarte specifice (precum modalitatea de efectuare a investigațiilor de către ANSPDCP).

În continuare am sintetizat câteva dintre aspecte interesante din noul ghid a autorităților:

1. Prelucrarea de date nu trebuie notificată ANSPDCP-ului. Până la intrarea în vigoare a GDPR-ului, o astfel de notificare era obligatorie. Exista și un Registru online de evidență a prelucrărilor de date cu caracter personal, care acum nu mai există.

2. Firmele nu sunt obligate să respecte doar GDPR-ul, când prelucrează date personale, ci și alte acte normative. De exemplu, ele trebuie să ia în considerare și Legea nr. 190/2018, care conține măsuri de punere în aplicare a GDPR. Aceasta prevede, printre altele: stabillirea unor reguli speciale privind prelucrarea unor categorii de date cu caracter personal, precum date genetice, date biometrice sau date privind sănătatea; chestiuni specifice referitoare la prelucrarea datelor personale, în contextul relațiilor de muncă; sau care este regimul derogărilor în scop jurnalistic.

3. Prelucrarea datelor angajaților, în contextul relațiilor de muncă, dacă există monitorizare a comunicărilor electronice sau monitorizare video, poate fi făcută doar cu respectarea anumitor condiții. Printre altele, angajatorul trebuie să își informeze angajații cu privire la astfel de monitorizări, înainte de a recurge la ele. De asemnea, datele personale obținute în urma unor astfel de monitorizări nu pot fi stocate pentru mai mult de 30 de zile, ca regulă.

4. Firmele, pe lângă sancțiunile tipice pe care le pot primi pentru încălcarea GDPR-ului, pot fi obligate și la anumite măsuri corective. De exemplu, poate fi dispusă limitarea temporară sau definitivă a prelucrării de date, interdicţia asupra prelucrării, rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării.

5. ANSPDCP a adoptat o serie de decizii cu caracter detaliat în ceea ce privește anumite aspecte ale GDPR-ului. Printre acestea, este importantă, de exemplu, Decizia nr. 174/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal. Aceasta oferă informații relevante cu privire la întinderea obligației de realizare a evaluării impactului asupra protecției datelor.

6. Firmele pot fi investigate de către ANSPDCP, iar puterile de investigație ale acestei autorități sunt vaste. Cadrul general al acestor investigații este conținut în Decizia ANSPDCP nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor. Printre obligațiile firmelor, este foarte relevantă cea referitoare la îndatorirea lor de a pune la dispoziția ANSPDCP toate documentele solicitate.

7. Firmele beneficiază de o serie de indicații cu privire la aplicarea GDPR-ului, din partea Comitetului European pentru protecția datelor. Din aceste serii de indicații, pot fi consultate sugestii detaliate cu privire la responsabilul privind protecția datelor sau cu privire la importanța consimțământului, ca temei de prelucrare a datelor. ANSPDCP a prevăzut și care sunt ghidurile emise de Comitetul European pentru protecția datelor.

GDPR se aplică de un an de zile deja, acesta fiind cadrul legal european unic referitor la prelucrarea datelor personale ale persoanelor fizice. Companiile care nu respectă prevederile regulamentului riscă amenzi de până la 4% din cifra de afaceri.