У квітні 2016 року Європейський Союз прийняв Регламент ЄС 2016/679 (Загальний регламент захисту даних-GDPR) про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних, а також подальшу скасування Директиви 95/46/EC GDPR має застосовуватися з 25 травня 2018 року, надавши державам-членам а компаніям протягом дворічного періоду вжити всіх необхідних заходів для підготовки до його впровадження.
Одним словом, основні зміни, внесені GDPR, — розширення матеріальної та територіальної сфери захисту даних. По-перше, він розширює набір даних, які підлягають захисту, дані про місцезнаходження, онлайн-ідентифікатор (IP-адреса комп’ютера), біометричні (зображення обличчя або фізичні дані) та генетичні дані. По-друге, що стосується територіального впливу, то це також торкнеться серверів або процесорів, які не створені в ЄС, якщо діяльність з обробки пов’язана з пропозицією товарів або послуг фізичним особам в ЄС; або на моніторинг їхньої поведінки, оскільки їхня поведінка відбувається в межах ЄС.
Незважаючи на те, що GDPR буде безпосередньо застосовуватися на території держав-членів, без вимоги включення до національного законодавства, держави-члени можуть прийняти спеціальні правила до 25 травня 2018 року для забезпечення його застосування.
У зв’язку з цим Міністерство внутрішніх справ Румунії та Національний наглядовий орган Румунії за обробкою персональних даних (Наглядовий орган) спільно підготували законопроект, спрямований на внесення змін та доповнень до Закону № 102/2005 про створення, організацію та функціонування з Національний наглядовий орган та скасувати Закон № 677/2001 для захисту фізичних осіб щодо обробки персональних даних та вільного переміщення таких даних. Законопроект нещодавно опубліковано на сайті МВС і буде відкритий для громадського розгляду та розгляду до 25 вересня 2017.
Відповідно до пояснювальної записки до законопроекту, він має на меті закріпити роль, повноваження та автономію наглядового органу. Основні зміни стосуються таких питань: консолідація статусу Наглядового органу, посилення контрольної та санкційної компетенції та встановлення процедурних аспектів розгляду скарги щодо захисту даних.
Закріплення статусу Наглядового органу
Персонал Наглядового органу матиме такий самий статус і права, що й народні депутати, будучи державними службовцями. Крім того, діяльність юридичних працівників зараховується до стажу, прирівнюючись до будь-яких інших юридичних професій (адвокатів, нотаріусів тощо), що означає, що після 5-річного стажу вони можуть брати участь у процесі відбору для призначення на посаду. як суддя чи прокурор.
Крім того, Наглядовий орган збільшить кількість своїх членів, і в законопроекті чітко зазначено, що він надає людські, технічні та фінансові ресурси, приміщення та інфраструктуру, необхідні для ефективного виконання своїх завдань та виконання своїх повноважень.
Посилення контролю та санкцій
Стаття 58 абз. 6 GDPR передбачає, що кожна держава-член може передбачити законом, що її наглядовий орган має додаткові повноваження до повноважень, зазначених у GDPR.
Таким чином, законопроект додає деякі нові прерогативи до Наглядового органу. Слід зазначити, що деякі з цих нових положень є просто копією положень GDRP, додаючи кілька змін або посилань, за яких обставин повинні виконуватися завдання Наглядового органу.
Тим не менш, ця стаття буде зосереджена на тих повноваженнях, які не включені в GDPR. Наприклад, Наглядовий орган уповноважений здійснювати неоголошені перевірки та отримувати від оператора будь-яку інформацію та документи незалежно від підтримки зберігання. Орган має право робити копії, а також перевіряти будь-яке обладнання чи будь-яку підтримку зберігання даних. Він також може розпорядитися про проведення експертизи та навіть заслухати осіб, чиї показання вважаються значущими та необхідними для розслідування.
Якщо оператор відмовляється надати запитувану інформацію чи документи або брати участь у розслідуванні, він може бути оштрафований на 3000 леїв за день затримки. Крім того, рішення, винесене контролюючим органом, у зв’язку з цим вважається виконавчим листом, а отже, процес примусового виконання може бути розпочато негайно, без втручання суду.
Процедура розгляду скарг щодо захисту даних
Право на подання скарги до Наглядового органу визнається також за дружиною та родичами до другого ступеня (батьки, діти, бабусі, дідусі та онуки) особи, яка вважає, що її права за цим GDPR були порушені.
При вирішенні скарги Наглядовий орган проведе двоетапний аналіз: (i) по-перше, щодо прийнятності, а згодом він повідомить скаржника протягом 30 днів про її результат, (ii) і, по-друге, проаналізує скаргу. по суті та повідомити скаржника протягом 3 місяців про статус запиту. У випадках, коли наглядовий орган не виконує попередні зобов’язання, скаржник має право подати позов до адміністративного суду.
Якщо після розгляду скарги Наглядовий орган прийде до висновку, що права скаржника порушено і лише суд може надати засіб правового захисту, Наглядовий орган має право діяти від імені скаржника в суді, який надалі ратифікує чи ні. дія.
З вищесказаного ясно видно, що Румунія зосереджується здебільшого на статусі та повноваженнях Наглядового органу і менше на правах фізичних осіб щодо обробки персональних даних, навіть якщо відповідно до GDPR державам-членам надається можливість прийняти додаткові положення щодо цього, наприклад, запровадити додаткові умови, включаючи обмеження, щодо обробки генетичних даних, біометричних даних або даних, що стосуються здоров’я.
Оскільки законопроект у його нинішньому вигляді може зазнавати подальших змін, читач має бути готовим до подальших змін. Також вони повинні переконатися, що вони повністю розуміють положення GDPR, оскільки вони стосуються їх бізнесу в Румунії, що може відрізнятися для інших юрисдикцій.