Proiect de lege pentru implementarea GDPR în România
Proiect de lege privind măsuri de punere în aplicare a Regulamentului UE 2016/679 al Parlamentului European și Consiliului din 27 aprilie 2016 privind protecția datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/EC (Regulamentul general privind protecția datelor – GDPR)

Am rezumat în cele ce urmează aspectele cu caracter de noutate şi completările aduse de acest proiect de lege (“Proiectul”) cu privire la implementarea GDPR.

Proiectul a fost depus la Senat și este în proces de consultare publică până pe 13 mai 2018.

Dispoziții generale
Proiectul aduce noutăți și clarificări, printre altele, cu privire la: (i) prelucrarea datelor genetice, biometrice sau de sănătate; (ii) prelucrarea codului numeric personal (CNP); (iii) supravegherea video a angajaților; (iv) organismele de certificare; (v) aplicarea GDPR.

Prelucrarea datelor genetice, biometrice sau de sănătate
Proiectul prevede că prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri este interzisă, cu excepția cazului când aceasta este făcută de către o autoritate publică sau sub controlul unei astfel de autorități. Interdicția nu poate fi ridicată prin consimțământul persoanei vizate.

Prelucrarea codului numeric personal (CNP)
Proiectul include CNP-ul în categoria mai largă desemnată ca număr de identificare național, care cuprinde și numărul de asigurare de sănătate, seria și numărul cărții de identitate, numărul de permis auto, numărul pașaportului, prevăzând că poate fi prelucrat în condițiile art. 6 (1) din GDPR. Rezultă astfel că prelucrarea CNP-ului se poate realiza și în absența consimțământul persoanei vizate.

Pentru situațiile în care CNP-ul sau alte numere de identificare naționale sunt prelucrate în scopul îndeplinirii unui interes legitim al operatorului sau al unui terț, operatorul trebuie să instituie următoarele garanții suplimentare:

• Luarea de măsuri tehnice si organizatorice pentru asigurarea minimizării, a securității si confidențialității prelucrării;
• Numirea unui responsabil cu protecția datelor (DPO);
• Aderarea la un cod de conduită aprobat de autoritatea de supraveghere;
• Stabilirea de termene de stocare și de ștergere a datelor;
• Asigurarea instruirii periodice a angajaților care iau parte la activitatea de prelucrare.

Supravegherea video a angajaților
În cazul monitorizării angajaților prin sisteme video, operatorul trebuie să îndeplinească următoarele condiții cumulative:

• Angajatorul trebuie sa aibă interese legitime temeinic justificate care să vizeze activități de importanță deosebită și care prevalează asupra intereselor/drepturilor persoanei vizate;
• Angajatorul trebuie să îi informeze explicit și complet pe angajați înaintea implementării măsurii;
• Angajatorul trebuie să consulte sindicatul/reprezentanții angajaților înainte de implementare;
• Angajatorul a folosit anterior alte modalități de atingere a scopului urmărit, dar acestea nu și-au dovedit eficiența;
• Datele trebuie stocate pentru o perioadă proporțională cu scopul urmărit; aceasta nu poate depăși 30 zile, cu excepția cazurilor prevăzute de lege sau a cazurilor temeinic justificate.

Organisme de certificare
Organismele de certificare menționate în art. 43 din GDPR vor fi acreditate de către Asociația de Acreditare din România – RENAR. Acestea vor fi acreditate în conformitate cu standardele EN-ISO/IEC 17065, dar și cu prevederile art. 43 susmenționat și cu cerințele suplimentare stabilite de autoritatea de supraveghere.

Aplicarea GDPR
Proiectul prevede că GDPR se aplică plângerilor depuse la autoritatea de supraveghere începând cu data de 25 mai, dar și celor care au fost depuse înainte de această dată și care sunt în curs de soluționare, sub toate aspectele, inclusiv cu privire la procedura de investigație și la sancțiuni. Cu toate acestea, dacă GDPR prevede o sancțiune mai mare decât legislația anterioară, fapta va fi sancționată conform dispozițiilor în vigoare la data săvârșirii ei.

Autor:
Raluca Silaghi, Manager – Avocat, Coordonatorul practicii de protectia datelor cu caracter personal

Pentru informații suplimentare, persoana de contact este:
Dragoș Radu, Partener – Avocat, Coordonatorul societății de avocați