© 2018 Musliu Privacy Data Consulting

GDPR

Ce este GDPR?

Regulamentul european privind protecția datelor cu caracter personal nr. 679/2016 reprezintă cadrul de reglementare a drepturilor persoanelor vizate cu privire la prelucrările de date cu caracter personal efectuate asupra acestor date. Fiind vorba despre un Regulament, din punct de vedere al ierarhiei normelor legislative, acesta are efect direct în dreptul național, creând drepturi și obligații pentru persoanele vizate și operatori fără a fi nevoie să fie transpus în legislația internă. Scopul adoptării acestui Regulament a fost acela armonizarea nivelului de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește activitățile de prelucrare și asigurarea liberei circulații a datelor cu caracter personal între statele membre. Armonizarea presupune Scopul adoptării acestui Regulament a fost de acela de a asigura un nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpina discrepanțele care împiedică libera circulație a datelor în cadrul pieței interne. În egală măsură, s-a considerat că este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderi și întreprinderi mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același
nivel de drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni
echivalente în toate statele membre, precum și cooperarea eficace a autorităților de supraveghere ale diferitelor state membre.

 

Domeniul de aplicare

Din punct de vedere material, Regulamentul privind protecția datelor cu caracter personal se aplică oricărui tip de operațiune de prelucrare - automată sau nu – a datelor cu caracter personal. În ceea ce privește prelucrare prin alte mijloace decât cele automatizate, GDPR devine incident cu condiția ca datele cu caracter personal să facă parte dintr-un sistem de evidență a datelor sau să fie destinate să facă parte dintr-un sistem de evidență a datelor. Din punct de vedere teritorial, regula este că GDPR se aplică activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Pe cale de excepție, domeniul de aplicare poate cuprinde mai mult decât teritoriul Uniunii Europene sau cel al Spațiului Economic European. Articolul 3 alineatul 2 stabilește care sunt cazurile în care un operator sau o persoană împuternicită care nu este stabilită în Uniune va intra sub incidența dispozițiilor GDPR: (i) activitatea de prelucrare constă în oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau (b) activitatea de prelucrare constă în monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

 

Schimbări

Pe lângă uniformizarea dispozițiilor legale în materie de protecția datelor cu caracter personal, la nivelul întregii Uniuni și extinderea domeniului de aplicare teritorial, GDPR schimbă datele problemei, cel puțin cu privire la următoarele aspecte:

  • Consimțământul. Acesta va putea fi folosit ca temei valid al prelucrării doar cu îndeplinirea cumulativă a condițiilor prevăzute de GDPR. Acesta trebuie să fie liber, acordat pentru scopuri specifice, informat și neechivoc. Consimțământul implicit nu mai îndeplinește condițiile de validitate sub imperiul GDPR.

  • Transparența și responsabilizare. În scopul asigurării unui nivel de protecție optimă datelor cu caracter personal, operatorii și persoanele împuternicite trebuie să întreprindă măsuri adecvate în vederea demonstrării conformării în orice moment. Transparența presupune ca în relația cu persoanele fizice operatorii să furnizeze informații clare cu privire la prelucrările care vor fi efectuate asupra datelor colectate (fie prin modificarea condițiilor generale de vânzări (în ceea ce privește vânzarea pe internet), fie prin modificarea contractelor.

  • Dreptul la portabilitatea datelor. Acesta oferă persoanelor vizate posibilitatea de a obține și a reutiliza datele pe care le prelucrează un operator, în scopul de a le transmite către un alt operator pentru a beneficia de diferite servicii.

  • Și nu în ultimul rând, nivelul amenzilor. Dacă în temeiul Legii nr. 677/2001 sancțiunile se situează între 500 și 50.000 de RON, în temeiul GDPR amenzile pot atinge un nivel maxim de 10 milioane de Euro sau 2 % din cifra de afaceri și 20 de milioane de Euro sau 4 % din cifra de afaceri, luând în calculare valoarea cea mai mare dintre acestea.

UPDATE