de Avocat Iulian Popescu, Partener Muşat & Asociaţii
În data de 24 mai 2016 a intrat în vigoare Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE („Regulamentul”), acesta conţinând prevederi de mare interes pentru toate societăţile româneşti sau prezenţele locale ale grupurilor internaţionale, având în vedere că fiecare dintre acestea prelucrează în mod inevitabil date cu caracter personal în desfăşurarea activităţii obişnuite de resurse umane, marketing, gestiune economică şi financiară sau alte asemenea. Noua reglementare este de directă aplicare în toate ţările membre UE începând cu 25 mai 2018.
Din punctul de vedere al structurii sale, Regulamentul reia în general vechile principii aplicabile în domeniu, însă aduce o serie de modificări concrete şi de esenţă referitoare la diverse problematici ce s-au conturat de-a lungul timpului în practică şi care până în prezent erau tratate în cadrul unor opinii şi recomandări ale Grupului de lucru Art. 29. Respectivul Grup de lucru este un organism european cu rol consultativ constituit în conformitate cu prevederile Directivei 95/46/CE a Parlamentului European şi a Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, care îşi va înceta existenţa la momentul la care Regulamentul va deveni aplicabil, prevederile noii reglementări devenind cadrul legal general aplicabil în ceea ce priveşte activităţile de prelucrare de date personale desfăşurate la nivelul statelor membre ale UE.
Printre modificările aduse de Regulament se numără şi creşterea responsabilităţilor operatorilor de date în cadrul operaţiunilor de prelucrare pe care aceştia le desfăşoară, în special în situaţiile în care respectivele operaţiuni ar putea genera riscuri ridicate pentru drepturile şi libertăţile persoanelor vizate. În acest din urmă caz, operatorul de date trebuie să realizeze, anterior începerii activităţilor de prelucrare de date cu caracter personal, o analiză a impactului pe care respectivele activităţi ar putea să îl aibă asupra protecţiei datelor personale. Pentru aplicarea unitară a acestei dispoziţii şi pentru a nu da posibilitatea unei aplicări aleatorii a sa, prin lăsarea la latitudinea operatorilor de a stabili dacă activităţile pe care le desfăşoară prezintă sau nu un risc ridicat pentru protecţia datelor, autoritatea de supraveghere va întocmi o listă cuprinzând tipurile de operaţiuni de prelucrare de date cu caracter personal ce cad sub incidenţa obligaţiei de efectuare a impactului asupra protecţia datelor.
În cazul în care rezultatul respectivei analize va fi în sensul în care operaţiunile pe care respectivul operator intenţionează să le desfăşoare generează într-adevăr un risc ridicat pentru protecţia datelor personale, operatorul va consulta autoritatea de supraveghere înainte de începerea prelucrării. Această obligaţie de consultare prealabilă scoate în evidenţă una dinte modificările aduse de Regulament în ceea ce priveşte rolul autorităţilor de supraveghere în operaţiunile de prelucrare de date, în sensul în care dacă până în prezent aceste autorităţi aveau în special atribuţii de supraveghere şi control al respectivelor activităţi, noua reglementare conturează cât se poate de clar o relaţie de colaborare si informare permanenta autorităţilor de supraveghere atât cu operatorii de date cât şi cu persoanele împuternicite de aceştia.
Pe lângă faptul că reprezintă un punct referinţă în conturarea cadrului legislativ european în ceea ce priveşte prelucările de date cu caracter personal, Regulamentul este cu atât mai important cu cât nerespectarea prevederilor sale este aspru sancţionată, prin amenzi într-un cuantum mult peste nivelul mediu al sancţiunilor aplicabile în general unor astfel de entităţi potrivit reglementărilor în vigoare la momentul actual. Astfel, rivalizând cu domeniul concurentei, încălcările aduse prevederilor Regulamentului pot fi sancţionate cu amenzi în valoare de până la 20.000.000 euro sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri mondială a grupului de societăţi din care face parte entitatea respectivă, corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare.
Cu toate că perioada de aprope 2 ani avută la dispoziţie pentru implementarea prevederilor Regulamentului, respectiv până la data de 25 mai 2018 poate părea lungă, entităţile care prelucrează date cu caracter personal ar trebui să iniţieze cât mai curând procedurile de instituire a măsurilor prevăzute de Regulament, astfel încât la momentul la care noua reglementare se va aplica, efectuarea prelucrărilor de date cu caracter personal în conformitate cu noile cerinţe să facă deja parte din ritmul obişnuit al respectivelor entităţi. Aceasta pentru că procesul de implementare a acestor prevederi este unul de durată şi care va necesita numeroase operaţiuni.
Cu caracter de absoluta noutate în forma nou introdusa, Regulamentul prevede obligativitatea numirii de către operatori şi persoane împuternicite a unui responsabil cu protecţia datelor în cazul efectuării anumitor activităţi de prelucrare de date cu caracter personal prevăzute de Regulament, cum ar fi prelucrările de date personale efectuate de autorităţi publice, cazurile în care activităţile principale ale operatorului constau în prelucrări de date personale cu caracter special sau în cazul monitorizării periodice şi sistematice a persoanelor vizate.
Acest responsabil va trebui să fie o persoană specializată în practicile din domeniul protecţiei datelor cu caracter personal, căruia Regulamentul îi stabileşte un statut special, el nerăspunzand decât în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
Astfel, societăţile a căror activitate impune numirea unui responsabil cu protecţia datelor pot lua în considerare posibilitatea implementării noilor prevederi chiar prin intermediul unui astfel de responsabil, acest lucru facilitând nu numai tranziţia către aplicarea noii reglementări, ci şi o bună cunoaştere de către persoana responsabilă a fluxului de date cu caracter personal realizat de către societate chiar de la momentul implementării măsurilor prevăzute în Regulament, fapt ce va facilita îndeplinirea ulterioară de către responsabilul cu protecţia datelor a cerinţelor Regulamentului.
Regimul sancţionator menţionat mai sus va avea probabil rolul responsabilizării operatorilor de date cu caracter personal, în contextul în care controalele efectuate de către reprezentanţii Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal au relevat de-a lungul timpului grave lacune în aplicarea actualei legislaţii privind protecţia datelor de către operatorii de date din România. Totodată, având în vedere posibilitatea unor erori în folosirea datelor, apărute adeseori involuntar, precum si severitatea sancţiunilor disponibilei autorităţii de resort, este indicat ca gestionarea problematicii de protecţie a datelor sa fie făcută responsabil, din timp si cu precădere, evitând astfel aplicarea unor amenzi în România sau procese îndelungate de contestare în faţa instanţelor de judecata, ambele capabile sa afecteze negativ întreg business-ul operatorilor afectaţi.
