Legislație - Protecția datelor


GDPR – Global Data Protection Regulation

este un regulament adoptat la nivel de UE a cărui obiectiv general este de a crește nivelul de protecție al datelor cu caracter personal.

În acest sens GDPR:

  • Impune adoptarea unui set de măsuri cu caracter OBLIGATORIU.
  • Recomandă foarte ferm o serie de principii de conduită și măsuri de protejare a datelor a căror respectare trebuie să le puteți dovedi în cazul unui control.
  • Stabilește niște sancțiuni extrem de severepentru a se asigura luarea în serios a protecției datelor de către operatori.

Aplicarea prevederilor Regulamentului pentru Protectia Datelor (GDPR) in Institutiile Publice

Regulamentul 2016/279Regulamentul (UE) 2016/679protectia datelor cu caracter personalprelucrarea datelor cu caracter personalResponsabilul cu protectia datelor in institutiile publiceRegulamentul pentru Protectia Datelor (GDPR) in Institutiile Publice

 

Institutiile publice trebuie sa respecte si sa aplice prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a directivei 95/46/CE?

Dupa cum se precizeaza in preambulul Regulamentului, evolutiile tehnologice rapide si globalizarea au generat noi provocari pentru protectia datelor cu caracter personal.

Amploarea colectarii si a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite atat societatilor private, cat si autoritatilor publice sa utilizeze date cu caracter personal la un nivel fara precedent in cadrul activitatilor lor.

Aceste evolutii impun un cadru solid si mai coerent in materie de protectie a datelor, insotit de o aplicare riguroasa a normelor, luand in considerare importanta crearii unui climat de incredere care va permite economiei digitale sa se dezvolte pe piata interna a Uniunii Europene. Persoanele fizice ar trebui sa aibă control asupra propriilor date cu caracter personal, iar securitatea juridica si practica pentru persoane fizice, operatori economici si autoritati publice ar trebui sa fie consolidata.

Prelucrarea datelor cu caracter personal de catre institutiile publice are, de cele mai multe ori, un temei legal continut in acte normative, in vederea respectarii unei obligatii legale sau a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul institutie publica, incadrandu-se in prevederile art. 6 alin. (1) lit. c) si e) din Regulament.

De principiu, institutiile publice prelucreaza cantitati mari de date cu caracter personal, de exemplu, in vederea aplicarii legislatiei privind ocuparea fortei de munca, asistenta si protectia sociala, asigurari sociale, fiscalitate, precum si in scopuri de securitate, supraveghere si alerta in materie de sanatate, dar si date personale ale salariatilor proprii sau chiar ale petentilor care adreseaza diverse cereri catre institutiile publice.

Prin urmare, institutiile publice trebuie si ele sa se asigure ca datele cu caracter personal sunt prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.

Responsabilul cu protectia datelor in institutiile publice

De altfel, in cazul institutiilor publice, Regulamentul prevede obligativitatea desemnarii unui responsabil cu protectia datelor. Astfel, la art. 37 alin. (1) lit. a) din Regulament se prevede ca operatorul sau persoana imputernicita de operator, desemneaza un responsabil cu protectia datelor, cand prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor de judecata care actioneaza in exercitiul functiei lor jurisdictionale.

Regula generala stabilita de Regulament, pe care trebuie sa o respecte autoritatile/institutiile publice, este aceea a desemnarii unui responsabil cu protectia datelor, exceptia fiind stabilita in cazul instantelor de judecata (desi aceasta prevedere nu impiedica instantele de judecata sa desemneze un responsabil cu protectia datelor din proprie initiativa, in situatia in care considera necesar acest demers).

Tot in cazul institutiilor publice, Regulamentul prevede la art. 37 alin. (3) ca poate fi desemnat un responsabil cu protectia datelor unic pentru mai multe dintre autoritatile sau organismele publice, luand in considerare structura organizatorica si dimensiunea acestora.

Apreciem ca responsabilul cu protectia datelor este foarte util institutiilor publice (ca si celorlalte categorii de operatori), avand in vedere si sarcinile stabilite pentru aceasta persoana chiar prin Regulament.

Astfel, responsabilul cu protectia datelor informeaza si consiliaza institutia, dar si angajatii acesteia care prelucreaza date cu caracter personal, asupra obligatiilor ce le revin in temeiul Regulamentului dar si a altor reglementari interne sau europene in domeniul protectiei datelor.

De asemenea, monitorizeaza respectarea in cadrul institutiei publice a prevederilor Regulamentului si a celorlalte reglementari interne sau europene in domeniul protectiei datelor cu caracter personal. Furnizeaza si consiliere cu privire la evaluarea impactului asupra protectiei datelor cu caracter personal.

Nu in ultimul rand, responsabilul pentru protectia datelor coopereaza cu Agentia Nationala pentru Supraveghere a Protectiei Datelor cu Caracter Personal, el fiind in acelasi timp si punct de contact pentru ANSPDCP in cadrul institutiei in care isi desfasoara activitatea.

Evaluarea impactului asupra protectiei datelor la institutiile publice

Institutiile publice trebuie sa aplice prevederile Regulamentului si in ceea ce priveste realizarea unor analize/evaluari ale impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal – art. 35 din Regulament. 

Referitor la acest aspect, la alin. (10) al art. 35 din Regulament se prevede ca ”Atunci cand prelucrarea in temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic in dreptul Uniunii sau al unui stat membru sub incidenta caruia intra operatorul, iar dreptul respectiv reglementeaza operatiunea de prelucrare specifica sau setul de operatiuni specifice in cauza si deja s-a efectuat o evaluare a impactului asupra protectiei datelor ca parte a unei evaluari a impactului general in contextul adoptarii respectivului temei juridic, alineatele (1)-(7) nu se aplica, cu exceptia cazului in care statele membre considera ca este necesara efectuarea unei astfel de evaluari inaintea desfasurarii activitatilor de prelucrare.”

Astfel, realizarea unor analize/evaluari ale impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal nu este necesara in cazul respectarii unei obligatii legale sau a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice (situatii in care se incadreaza institutiile publice) daca, spre exemplu, operatiunile de prelucrare sunt clar prevazute intr-un act normativ, iar in procesul de adoptare a acelui act normativ s-a realizat deja o evaluare a impactului din perspectiva protectiei datelor.

ANSPDCP are obligatia de a intocmi si publica o lista a tipurilor de operatiuni care fac obiectul cerintei de realizare a unei evaluari a impactului din perspectiva protectiei datelor cu caracter personal.

Implementarea unor masuri tehnice si organizatorice de asigurare a securitatii prelucrarii datelor cu caracter personal

Institutiile publice trebuie si ele sa se asigure ca datele cu caracter personal sunt prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.

Asemenea masuri ar putea fi:

  • Actualizarea procedurilor operationale/de lucru in sensul stabilirii si implementarii masurilor pentru asigurarea securitatii bazelor de date electronice impotriva accesului neautorizat (atat din exteriorul institutiei, cat si din interiorul acesteia) si pentru semnalarea accesului neautorizat, pentru asigurarea pastrarii si arhivarii corecte a dosarelor continand date cu caracter  personal;
  • Actualizarea/elaborarea procedurilor operationale/de lucru sau elaborarea de proceduri specifice care sa abordeze gestionarea datelor personale: cum se face aceasta, cine si in ce conditii este autorizat sa colecteze si sa prelucreze date personale;
  • Sa introduca in Regulamentul intern al institutiei prevederi referitoare la protectia datelor personale, inclusiv legate de sanctiuni disciplinare aplicabile in cazul incalcarii dreptului persoanelor la protectia datelor personale;
  • Sa stabileasca includerea de clauze de confidentialitate in contractele individuale de munca ale persoanelor autorizate, sa colecteze si sa prelucreze date personale indiferent daca acestea sunt ale salariatilor proprii sau ale diferitelor categorii de beneficiari ai serviciilor publice. In cazul personalului constituit din functionari publici, sa analizeze oportunitatea incheierii unor acorduri de confidentialitate cu privire la gestionarea datelor cu caracter personal.