GDPR se aplică operatorilor de date cu caracter personal, adică TUTUROR organizațiilor care prelucrează date cu caracter personal, respectiv: nume și prenume, data și locul nașterii, serie și număr act de identitate, CNP, studii, adresă e-mail, loc de muncă, apartenență sindicală, stare de sănătate, profesie, situație financiară, origine rasială, telefon, fax, origine etnică, voce, imagine, apartenență politică, cetățenie, religie, date genetice.
Cum se definește prelucrarea datelor?
"Prelucrare" înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea lor.
GDPR se aplică și organizațiilor care colectează doar datele propriilor angajați! De exemplu plata salariilor către angajați are la bază prelucrarea datelor acestora.
Articolul 3 din regulament afirmă că acesta se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune, de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată. Așadar și instituțiile sau firmele care au contracte de vânzare sau prestări servicii intră sub incidența lui.
Cui se aplică GDPR-ul în Arad?
Regulamentul GDPR precizează:
"Art. 37: Desemnarea responsabilului cu protecţia datelor
(1)Operatorul şi persoana împuternicită de operator desemnează un responsabil cu protecţia datelor ori de câte ori:
a)prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;
b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau
c)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menţionată la articolul 9, sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 10".
Ce fel de institiții publice trebuie să implementeze GDPR-ul?
Toate instituțiile publice sunt așadar obligate să implementeze regulamentul GDPR și să desemneze un Responsabil cu Protecția Datelor (DPO). Precizarea este facută în mod explicit chiar în lege.
Consiliul Județean Arad, Primăria Arad și primăriile din județ, companiile de servicii publice (Compania de apă Arad , SC Târguri Oboare și Piețe SA, Compania de Transport Public Arad, SC Centrala Electrică de Termoficare Arad SA etc), toate colectează și prelucrează date.
"Trebuie să respectăm această legislaţie GDPR, de protecţie a datelor cu caracter personal şi până la 25 mai trebuie desemnat de fiecare entitate publică sau privată un responsabil care să înceapă să realizeze procedurile şi să verifice tot fluxul de date în format clasic, pe hârtie, sau în regim IT referitor la bazele de date din structura fiecărei firme sau autorităţi. Va fi un proces continuu ulterior, după implementarea procedurilor, proces de auditare şi conformare permanentă, cu trimitere la standardele ISO şi nu numai.", consideră Eduard Lovin, vicepreşedintele Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii (ANCOM).
Universitățile, școlile, gradinițele, bisericile și chiar și cimitirele păstrează evidențe cu foarte multe date personale. Instituțiile culturale publice (Teatrul de stat, Filarmonica) oferă abonamente pe baza unor date personale.
O categorie aparte o constituie spitalele care colectează și date medicale, cu un risc mai mare.
Ce tipuri de companii trebuie să implementeze GDPR-ul în Arad?
Aproape toate companiile din Arad au un "sistem de evidență a datelor " care înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.
Cele mai evidente categorii de firme vizate direct de GDPR sunt și cele care procesează volum mare de date personale sau date "sensibile": clinicile private și cabinetele medicale individuale, lanțurile de magazine și magazinele online, firmele de turism și hotelurile, companiile de asigurări, firmele din industria imobiliară, firmele din industria resurselor umane precum și marii angajatori (fabricile).
Regulamentul GDPR urmărește responsabilizarea tututor acestor operatori de date.
Datele cu caracter personal trebuie să respecte următoarele principii:
- trebuiesc prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată;
- colectate în scopuri determinate, explicite şi legitime, şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
- adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
- exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie şterse sau rectificate fără întârziere;
- păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
- prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale, şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
Cine poate fi Responsabil cu Protectia Datelor, pe scurt, DPO în Arad?
Data protection officer (DPO) poate fi ori un membru nou sau deja existent al personalului unei entități de stat sau a unei companii, ori un colaborator extern, cum ar fi o firmă cu un contract de prestări servicii, sau un avocat/o societate de avocatură. DPO-ul trebuie desemnat, potrivit regulamentului european, pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, dar și pe baza capacității de a îndeplini sarcinile specifice ale acestei noi funcții. Altfel spus, Regulament General privind Protecția Datelor (GDPR) nu impune existența experienței sau a anumitor studii de specialitate.
Pe scurt, ar trebui să fie un expert în securitate informatică, cu zece pe linie la relații cu clienții, training și coaching intern, audit și evaluare de risc, în același timp să fie și purtător de cuvânt în relația cu autoritatea de supraveghere și plătit de o societate comercială care are ca scop realizarea de profit.
GDPR prevede în mod expres că responsabilul cu protecția datelor va putea ocupa, concomitent, și altă funcție în cadrul firmei sau instituției, însă numai în măsura în care nu există conflicte de interese. "Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese", dispune regulamentul amintit.
DPO-ul nu poate ocupa, în același timp, și o funcție de decizie, ajungându-se în situația în care acesta își evaluează propria activitate privind prelucrarea datelor personale.
"Conflictul de interese apare în orice situație în care DPO-ul ar fi chemat să analizeze o chestiune în care el a decis sau pe care el a implementat-o în cadrul altei funcții. Sau în care chiar DPO-ul stabilește scopul și mijloacele prelucrării de date" - Andreea Lisievici, avocat la PrivacyOne.
DPO-ul raportează doar celui mai înalt nivel de management, nu trebuie să primească instrucţiuni privind modul de lucru și nu poate să fie penalizat pentru că nu îşi îndeplinesc atribuţiile.
