În aprilie 2016, Uniunea Europeană a adoptat Regulamentul UE 2016/679 (Regulamentul general privind protecția datelor-GDPR) privind protecția persoanelor fizice cu privire la Prelucrarea Datelor cu Caracter Personal și la libera circulație a acestor date, precum și abrogarea ulterioară a Directivei 95/46/CE GDPR se va aplica începând cu 25 mai 2018, acordând statelor membre iar companiile o perioadă de doi ani pentru a lua toate măsurile necesare pentru pregătirea implementării acesteia.
Pe scurt, principalele schimbări aduse de GDPR sunt extinderea domeniului material și teritorial al protecției datelor. În primul rând, extinde gama de date care fac obiectul protecției, datele de localizare, identificatorul online (adresa IP a computerului), datele biometrice (imagini faciale sau date fizice) și date genetice. În al doilea rând, în ceea ce privește impactul teritorial, acesta va afecta și serverele sau procesatorii care nu sunt stabiliți în UE, dacă activitățile de prelucrare sunt legate de oferta de bunuri sau servicii către persoane fizice în UE; sau la monitorizarea comportamentului lor, în măsura în care comportamentul lor are loc în UE.
Deși GDPR va fi direct aplicabil pe teritoriul statelor membre, fără cerința de a fi încorporat în legislația națională, statele membre pot adopta norme specifice până la 25 mai 2018 pentru a asigura aplicabilitatea acestuia.
În acest sens, Ministerul Afacerilor Interne al României și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Autoritatea de Supraveghere) au elaborat în comun un proiect de lege, menit să modifice și să completeze Legea nr. 102/2005 privind înființarea, organizarea și funcționarea al Autoritatea Naţională de Supraveghere şi de a abroga Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date. Proiectul de lege a fost publicat recent pe site-ul web al Ministerului Afacerilor Interne și va fi deschis examinării și opiniei publice până la 25 septembrie 2017.
Potrivit Notei explicative a proiectului de lege, acesta urmărește consolidarea rolului, competențelor și autonomiei Autorității de Supraveghere. Principalele modificări se referă la următoarele aspecte: consolidarea statutului Autorității de Supraveghere, consolidarea competențelor de control și sancționare și stabilirea aspectelor procedurale ale soluționării unei plângeri privind protecția datelor.
Consolidarea statutului Autorității de Supraveghere
Personalul Autorității de Supraveghere va avea același statut și drepturi ca și membrii parlamentului, fiind considerați funcționari publici. De asemenea, activitatea desfășurată de personalul juridic va fi luată în considerare la vechime, fiind asimilată oricăror alte profesii juridice (avocați, notari, etc.), ceea ce înseamnă că după ce au 5 ani de experiență, aceștia pot participa la procesul de selecție pentru a fi numiți. în calitate de judecător sau procuror.
De asemenea, Autoritatea de Supraveghere va crește numărul membrilor săi, iar Legea prevede expres că va pune la dispoziție resursele umane, tehnice și financiare, spațiile și infrastructura necesare îndeplinirii efective a sarcinilor sale și exercitării atribuțiilor sale.
Întărirea controlului și sancțiunilor
Articolul 58 para. 6 din GDPR prevede că fiecare stat membru poate prevedea prin lege ca autoritatea sa de supraveghere să aibă competențe suplimentare față de cele menționate în GDPR.
Astfel, proiectul de lege adaugă câteva noi prerogative Autorității de Supraveghere. De menționat că unele dintre aceste noi prevederi sunt doar o simplă copie a prevederilor GDRP, adăugând câteva modificări sau referințe în care circumstanțe vor fi exercitate atribuțiile Autorității de Supraveghere.
Cu toate acestea, acest articol se va concentra asupra acelor puteri care nu sunt incluse în GDPR. De exemplu, Autoritatea de Supraveghere este autorizată să efectueze controale inopinate, și să obțină de la operator orice informații și documente indiferent de suportul de stocare. Autoritatea este autorizată să facă copii, precum și să verifice orice echipament, sau orice suport de stocare a datelor. De asemenea, poate dispune efectuarea unei expertize și chiar audierea persoanelor ale căror declarații sunt considerate relevante și necesare cercetării.
În cazul în care operatorul refuză să furnizeze informațiile sau documentele solicitate sau să participe la anchetă, acesta poate fi sancționat cu o amendă de 3000 lei pe zi de întârziere. De asemenea, decizia pronunțată de Autoritatea de Supraveghere, în acest sens, este considerată un titlu executoriu, în consecință, procesul de executare poate fi demarat de îndată, fără intervenția instanței.
Procedura de reclamații privind protecția datelor
Dreptul de a depune plângere la Autoritatea de Supraveghere este recunoscut și soțului/soției și rudelor până la gradul II (părinți, copii, bunici și nepoți) persoanei care consideră că i-au fost încălcate drepturile în temeiul prezentului GDPR.
În soluționarea plângerii, Autoritatea de Supraveghere va efectua o analiză în două etape: (i) în primul rând, asupra admisibilității, iar ulterior va informa reclamantul în termen de 30 de zile despre rezultatul acesteia, (ii) și în al doilea rând, va analiza reclamația. pe fond și informează reclamantul în termen de 3 luni despre stadiul anchetei. În cazurile în care Autoritatea de Supraveghere nu respectă obligațiile anterioare, reclamantul va avea dreptul de a introduce o acțiune în fața instanței de contencios administrativ.
Dacă în urma analizei plângerii, Autoritatea de Supraveghere concluzionează că drepturile reclamantului au fost încălcate și numai o instanță de judecată poate oferi o cale de atac, Autoritatea de Supraveghere este în drept să acționeze în numele reclamantului în instanță care va ratifica sau nu în continuare. actiunea.
Din cele de mai sus reiese clar că România se concentrează mai ales pe statutul și atribuțiile Autorității de Supraveghere și mai puțin pe drepturile persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, chiar dacă conform GDPR statelor membre li se oferă posibilitatea. să adopte dispoziții suplimentare în acest sens, de exemplu introducerea unor condiții suplimentare, inclusiv limitări, în ceea ce privește prelucrarea datelor genetice, a datelor biometrice sau a datelor referitoare la sănătate.
Deoarece proiectul de lege în forma sa actuală poate suferi modificări suplimentare, cititorul ar trebui să fie pregătit pentru modificări ulterioare. De asemenea, trebuie să se asigure acum că înțeleg pe deplin prevederile GDPR în măsura în care se referă la afacerea lor în România, care poate fi diferită pentru alte jurisdicții.