RGPD – Regulamentul general privind protecția datelor cu caracter personal. Comentarii și explicații
Volum coordonat de Avocat dr. Andrei Săvescu
Pe data de 25 mai 2018 vor deveni aplicabile pe întreg teritoriul Uniunii Europene prevederile Regulamentului nr. 679/2016 – Regulamentul general privind protecția datelor cu caracter personal (RGPD), o reglementare de importanță majoră pentru un număr foarte mare de oameni (chiar dacă cei mai mulți dintre aceștia încă nu știu de ce) și, în același timp, o reglementare care impune operatorilor de date cu caracter personal o listă întreagă de obligații a căror nesocotire poate atrage sancțiuni foarte dure.
În pregătirea acestui moment, JURIDICE.RO a inițiat o serie de conferințe și ateliere juridice pentru a dezbate impactul acestor reguli asupra instituțiilor publice și a operatorilor privați din România care, în desfășurarea activităților lor, colectează și prelucrează date cu caracter personal.
Prezentul volum reunește cele mai multe dintre analizele și studiile prezentate în cadrul acestor dezbateri de către specialiști recunoscuți în materia protecției datelor, cu o bogată experiență de cercetare științifică și cu o valoroasă experiență practică. „Problematica” GDPR – RGPD este foarte amplă și, cel mai probabil, ea va genera și un contencios pe măsură.
Lucrarea de față reprezintă doar o introducere în această tematică, însă ea poate constitui un material de studiu prețios pentru toți cei care doresc să înțeleagă noile reguli și, mai ales, să-și cunoască drepturile și obligațiile care le revin în materia protecției datelor cu caracter personal.
Din cuprinsul lucrării:
Reforma instituțională, la nivel european, în materia protecției datelor
Dr. Irina ALEXE
Cercetător științific asociat la Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române
Rezumat: Regulamentul (UE) 2016/679, denumit și Regulamentul general privind protecția datelor, înlocuiește directiva anterioară în materie, Directiva 95/46/CE, iar unul dintre principalele aspecte reglementate a vizat reforma instituțională la nivel european, prin instituirea Comitetului European pentru Protecția Datelor. Analizăm astfel acest nou organ al Uniunii Europene în comparație cu Grupul de lucru „Art. 29”, pe care îl înlocuiește, observând organizarea și funcționarea, sarcinile primite, asigurarea independenței activității, precum și raporturile sale cu Autoritatea Europeană pentru Protecția Datelor, Comisia Europeană, dar și cu autoritățile de supraveghere din statele membre.
Procesarea datelor personale. O chestiune de principiu
Avocat Ciprian SĂRARU
Senior Attorney at Law, Schoenherr și Asociații SCA
Rezumat: Principiile prelucrării datelor cu caracter personal reprezintă fundamentul activității fiecărei entități care folosește date cu caracter personal în activitatea sa, indiferent de cantitatea și tipologia acestora. În cele ce urmează sunt trecute în revistă aceste principii în mod succint și pragmatic, pentru a conduce mai ușor organizațiile prin procesul de înțelegere a prelucrărilor pe care le fac și a măsurilor pe care trebuie să le adopte pentru implementarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul”). Prin conștientizarea importanței principiilor prelucrării datelor cu caracter personal, organizațiile vor putea implementa un mod de lucru care să asigure respectarea drepturilor fundamentale ale persoanelor fizice ale căror date sunt prelucrate în activitatea de zi cu zi. Astfel, în cadrul analizei de față sunt abordate atât principiile prelucrării datelor cu caracter personal prevăzute deja în legislația aflată în vigoare și completate prin Regulament, cât și noile principii introduse ca urmare a evoluției societății din prisma utilizării datelor cu caracter personal.
Limitarea stocării datelor. Pseudonimizarea, anonimizarea și ștergerea în contextul legislației naționale secundare
Avocat Mihai BUCIUMAN
Managing Associate, Maravela & Asociații
Rezumat: Pseudonimizarea, anonimizarea, dezidentificarea sunt termeni noi, cu care operatorii de date cu caracter personal se vor confrunta de la 25 mai 2018. Regulamentul general privind protecția datelor obligă operatorii la o limitare a stocării datelor și la o minimizare.
Regimul datelor cu caracter personal colectate înainte de Regulamentul general privind protecția datelor
Avocat dr. Andrei E. SĂVESCU
Managing Partner, Săvescu & Asociații
Rezumat: Prelucrarea datelor cu caracter personal include stocarea acestora. În consecință, datele colectate înainte de aplicarea Regulamentului general privind protecția datelor sunt supuse exigențelor sale.
Consimțământul. Reguli noi pentru un temei tradițional de prelucrare a datelor personale
Avocat Sergiu CREȚU
Avocat senior, Țuca Zbârcea & Asociații
Rezumat: Nu mai este de mult o noutate faptul că pe 25 mai 2018 va intra în vigoare Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE . Prin acest articol facem o trecere în revistă a cerințelor în materie de consimțământ pe care operatorii de date cu caracter personal vor trebui să le aibă în vedere în contextul acestor evoluții legislative, cum ar fi: condițiile generale pentru un consimțământ valabil conform Regulamentului, cerințele privind consimțământul minorilor, aspectele formale suplimentare pe care trebuie să le aibă în vedere operatorii cu privire la consimțământ, aspectele referitoare la retragerea consimțământului persoanelor vizate, precum și problema prelucrării datelor personale, după intrarea în vigoare a Regulamentului, pe baza consimțământului valabil exprimat conform legislației actuale.
Situații în care este permisă prelucrarea datelor cu caracter personal fără consimțământul persoanei vizate
Prof. univ. dr. Daniel-Mihail ȘANDRU
Rezumat: Articolul are în vedere Regulamentul (UE) 2016/679, în special în privința situațiilor în care este permisă prelucrarea datelor cu caracter personal fără consimțământul persoanei vizate.
Art. 17 din Regulamentul general privind protecția datelor – un prim pas în direcția uitării dreptului de a fi uitat
Lector univ. dr. Andreea VERTEȘ-OLTEANU
Facultatea de Drept, Universitatea de Vest din Timișoara
Rezumat: Într-o decizie deja celebră (Google Spain c. Costeja), Curtea de Justiție a Uniunii Europene a hotărât că operatorul unui motor de căutare pe Internet răspunde juridic pentru prelucrarea datelor cu caracter personal care apar pe paginile web publicate de terți. Nou-creatul „drept la uitare”, care își va găsi ulterior consacrarea în Regulamentul general privind protecția datelor [Regulamentul (UE) 2016/679 ], a generat o serie de reacții dintre cele mai diverse. Prezentul articol va încerca să le explice, să expună avantajele și riscurile implicate, să facă o trecere în revistă a legislației privind prelucrarea datelor cu caracter personal și să analizeze implicațiile juridice, politice și sociale ale recentului drept, teritoriu virgin pentru părțile implicate și care necesită o atentă punere în balanță a unor drepturi fundamentale, precum libertatea de exprimare, dreptul la viață privată, dreptul la demnitate, dreptul la propria imagine sau dreptul publicului la informare.
Cum se negociază cu operatorii asociați
Avocat Alina MATEI
Senior Partner, Săvescu & Asociații
Rezumat: Relațiile dintre operatorii care stabilesc în comun scopurile și mijloacele de prelucrare a datelor cu caracter personal nu sunt relații de egalitate, ele trebuie negociate cu grijă. Materialul evidențiază câteva dificultăți practice în negociere.
Evidența activităților de prelucrare
Avocat Gelu MARAVELA
Managing Partner, Maravela & Asociații
Avocat Daniel ALEXIE
Senior Associate, Maravela & Asociații
Rezumat: Odată cu intrarea în vigoare a Regulamentului general privind protecția datelor, operatorii de date cu caracter personal au obligația să păstreze evidența activităților și să o pună la dispoziția autorității de supraveghere, la cererea acesteia. Transferurile către o țară terță sau către o organizație internațională sunt supuse și ele regulilor în privința păstrării evidenței acestor activități. Păstrarea evidenței activităților de prelucrare va permite operatorilor să identifice elementele esențiale care țin de desfășurarea activității.
Notificarea incidentelor de securitate. Drepturi și obligații
Dr. Simona ȘANDRU
Rezumat: Începând cu data de 25 mai 2018, Regulamentul (UE) 2016/679 va fi direct aplicabil în toate statele membre ale Uniunii Europene și va institui o serie de noi obligații pentru operatorii de date cu caracter personal și pentru persoanele împuternicite. Unul dintre elementele de noutate constă în obligația de a notifica autoritatea de supraveghere competentă și/sau persoanele afectate cu privire la existența unei breșe de securitate. Această obligație este parte a principiului responsabilității, pe care fiecare operator de date este obligat să îl respecte. În prezentul articol sunt analizate succint noile prevederi legale instituite de Regulament în această privință.
Evaluarea impactului asupra protecției datelor
Avocat Raluca BENGESCU
Senior Associate, Leaua & Asociații
Rezumat: Evaluarea impactului asupra protecției datelor reprezintă o etapă prealabilă procesului de prelucrare a datelor cu caracter personal. Această procedură este obligatorie pentru operatorii care folosesc tehnologii susceptibile să genereze un risc ridicat asupra drepturilor și libertăților persoanelor fizice. Neconformarea cu rigorile legale care reglementează această procedură atrage sancțiuni aspre pentru operatori.
Situații în care nu se aplică Regulamentul general privind protecția datelor cu caracter personal
Avocat Laurențiu PETRE
Partner, Săvescu & Asociații
Rezumat: Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date nu lasă mult loc pentru evitarea aplicării sale. În cuprinsul său sunt prevăzute expres și limitativ cazurile în care nu se aplică. Din punct de vedere material, Regulamentul nu se aplică prelucrărilor de date cu caracter personal realizate în cadrul unei activități care nu intră sub incidența dreptului Uniunii, politicii de securitate și apărare comună a statelor membre ale Uniunii Europene, activităților de prelucrare realizate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice și prelucrărilor de date cu caracter personal realizate de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor ori al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora. Din punct de vedere teritorial, Regulamentul nu se aplică în cazul în care nici operatorul, nici eventualul său împuternicit, nici persoanele vizate și nici măcar comportamentul persoanelor vizate nu se manifestă în Uniunea Europeană, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
Supravegherea la locul de muncă. Limitele dreptului la viață privată
Avocat Monica LIVESCU
Partener fondator, Livescu & Asociații SCA
Motto:
„Pentru a fi fructuoase, relațiile de muncă trebuie să se bazeze pe încredere reciprocă” (Hotărârea Marii Camere a Curții Europene a Drepturilor Omului în cauza Bărbulescu c. României)
Rezumat: Supravegherea la locul de muncă a generat vii dezbateri odată cu apariția tehnologiei care oferă posibilitatea supravegherii în masă. De aceea, sarcina legiuitorilor a fost să țină pasul cu dezvoltarea tehnologiei și să reglementeze, în consecință, o realitate care nu mai putea fi ignorată. Curtea Europeană a Drepturilor Omului și Curtea de Justiție a Uniunii Europene oferă o bogată jurisprudență în materie. La rândul său, Regulamentul general privind protecția datelor prevede o serie de limitări ale dreptului pe care angajatorul îl are în ceea ce privește supravegherea angajaților.
Regulamentul general privind protecția datelor privit din perspectiva asigurătorilor și a intermediarilor în asigurări
Avocat Alis PĂTLĂGEANU
Asociat fondator, Portnoi și Asociații SPARL
Rezumat: De la 25 mai 2018, odată cu intrarea în vigoare a Regulamentului general privind protecția datelor, activitatea asigurătorilor și a intermediarilor în asigurări se confruntă cu o serie schimbări care trebuie acceptate și internalizate. Articolul de față prezintă o analiză a modului concret în care dispozițiile Regulamentului trebuie aplicate de către acești actori care activează în domeniul asigurărilor.
________
* Recomandăm și RGPD – Regulamentul general privind protecția datelor | ediție îngrijită și adnotată de Andrei Săvescu