Regulamentul General privind Protecția Datelor (GDPR) constituie cadrul juridic fundamental al Uniunii Europene în domeniul protecției datelor personale. Adoptat prin Regulamentul UE 679/2016, acest act normativ stabilește un set cuprinzător de norme menite să asigure protecția drepturilor și libertăților fundamentale ale persoanelor fizice în contextul prelucrării datelor cu caracter personal.
Sfera de aplicare a GDPR se extinde asupra tuturor operațiunilor care implică gestionarea informațiilor personale ale indivizilor. Aceste operațiuni cuprind, fără a se limita la, colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal.
O atenție deosebită este acordată categoriilor speciale de date personale, denumite în literatura de specialitate „date sensibile”. Acestea includ informații referitoare la originea rasială sau etnică, opiniile politice, convingerile religioase sau filosofice, apartenența sindicală, datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea sau datele privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Prelucrarea acestor categorii speciale de date este, în principiu, interzisă, cu excepția situațiilor expres prevăzute de regulament. Printre aceste excepții se numără:
- Consimțământul explicit al persoanei vizate;
- Necesitatea prelucrării pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice;
- Prelucrarea efectuată în cadrul activităților legitime ale unei fundații, asociații sau ale oricărui alt organism fără scop lucrativ și cu specific politic, filosofic, religios sau sindical;
- Situațiile în care datele au fost făcute publice în mod manifest de către persoana vizată.
GDPR impune operatorilor de date obligația de a furniza persoanelor vizate informații clare și concise cu privire la prelucrarea datelor lor personale. Aceste informații trebuie să cuprindă, printre altele, identitatea și datele de contact ale operatorului, scopurile prelucrării, destinatarii sau categoriile de destinatari ai datelor personale, precum și drepturile persoanelor vizate în temeiul GDPR.
Există, totuși, anumite domenii în care prevederile GDPR nu se aplică. Acestea includ:
- Activitățile care nu intră în domeniul de aplicare al dreptului Uniunii;
- Activitățile statelor membre care intră sub incidența titlului V capitolul 2 din TUE;
- Prelucrarea de către o persoană fizică în cursul unei activități exclusiv personale sau domestice;
- Prelucrarea de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale.
GDPR – lege
În contextul juridic național, implementarea GDPR a fost realizată prin adoptarea Legii 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679. Acest act normativ stabilește cadrul specific de aplicare a GDPR în România, introducând totodată o serie de derogări și particularizări ale prevederilor regulamentului european.
Legea 190/2018 prevede anumite derogări de la aplicabilitatea integrală a GDPR în domenii specifice. Astfel, în cazul prelucrărilor în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, se permite utilizarea informațiilor care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care aceasta este implicată.
În ceea ce privește prelucrarea datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public, legea stabilește un regim derogatoriu, cu aplicarea parțială a prevederilor GDPR, sub rezerva unor garanții adecvate pentru drepturile și libertățile persoanei vizate.
Un aspect important al implementării GDPR în România îl constituie obligația operatorilor de a desemna un responsabil cu protecția datelor (DPO – Data Protection Officer). Conform art. 37 din GDPR și a prevederilor Legii 190/2018, DPO are responsabilitatea de a monitoriza conformitatea cu GDPR, de a oferi consiliere cu privire la obligațiile care decurg din regulament și de a coopera cu autoritatea de supraveghere.
Încălcare GDPR
Noțiunea de „încălcare a securității datelor cu caracter personal” este definită în art. 4 pct. 12 din GDPR ca fiind „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea”.
În eventualitatea producerii unei astfel de încălcări, GDPR impune operatorilor obligația de a notifica autoritatea de supraveghere competentă în termen de 72 de ore de la data la care au luat cunoștință de aceasta. Excepție fac situațiile în care încălcarea nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
În plus, atunci când încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul are obligația de a informa persoanele vizate cu privire la încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate.
Persoanele care consideră că le-au fost încălcate drepturile în materie de protecție a datelor personale au la dispoziție mai multe căi de atac. În primul rând, acestea pot depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În cazul în care nu sunt satisfăcute de soluționarea plângerii de către ANSPDCP, persoanele vizate pot introduce o acțiune în justiție împotriva autorității.
De asemenea, persoanele vizate au dreptul de a introduce o acțiune în justiție direct împotriva operatorului sau a persoanei împuternicite de operator, în cazul în care consideră că drepturile lor au fost încălcate ca urmare a unei prelucrări a datelor cu caracter personal care nu respectă prevederile GDPR.
Legea 190/2018 stabilește regimul sancționator aplicabil în cazul încălcării prevederilor GDPR și ale legislației naționale în domeniul protecției datelor personale. Potrivit acestui act normativ, încălcarea obligațiilor prevăzute de GDPR constituie contravenție și se sancționează cu avertisment sau amendă contravențională.
În cazul autorităților și organismelor publice, ANSPDCP constată și sancționează contravențiile prin proces-verbal. Nerespectarea deciziilor emise de ANSPDCP constituie, de asemenea, contravenție și se sancționează în consecință.
Este important de subliniat că regimul sancționator prevăzut de legislația națională se aplică în completarea și fără a aduce atingere sancțiunilor administrative prevăzute de art. 83 din GDPR, care pot ajunge până la 20 000 000 EUR sau, în cazul unei întreprinderi, până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.
Citește mai multe despre Folosirea datelor fără acord – infracțiune.