Legea nr. 190/2018 privind masurile de aplicare a GDPR intra in vigoare

La data de 17 iulie 2018 a fost promulgata si trimisa spre publicare de catre Presedinte Propunerea legislativa privind masurile de punere in aplicare a GDPR (Regulamentului (UE) 2016/679 de protectie a datelor cu caracter personal).
In data de 18 iulie 2018 aceasta propunere a devenit Legea nr. 190/2018, urmand a intra in vigoare in termen de 5 zile de la publicare in Monitorul Oficial al Romaniei, Partea I.Principalele clarificari sau elemente in plus fata de prevederile Regulamentului pe care le aduce Legea nr. 190/2018, in varianta in care a fost transmisa spre publicare, privesc urmatoarele chestiuni:

1. Definirea conceptelor

In capitolul I din lege – Dispozitii generale – sunt clarificate o serie de concepte pe care Regulamentul (UE) 2016/679 nu le trateaza sau le trateaza insuficient.

La art. 2 lit. b) este definit numarul de identificare national ca fiind acel numar prin care se identifica o persoana fizica in anumite sisteme de evidenta si care are aplicabilitate generala, cum ar fi: codul numeric personal, seria si numarul actului de identitate, numarul pasaportului, numarul permisului de conducere, numarul de asigurare sociala de sanatate. Aceasta definitie pune capat speculatiilor potrivit carora doar CNP-ul persoanei poate fi considerat numar de identificare national.

In cuprinsul art. 2 lit. c) regasim definitia planului de remediere ca fiind o anexa la procesul-verbal de constatare si sanctionare a contraventiei prin care ANSPDCP (Autoritatea de supraveghere din Romania) stabileste masuri si termen de remediere.

Observam ca in cuprinsul art. 2 lit. e) este indicat in mod expres termenul de remediere maxim de 90 de zile, insa acesta este aplicabil doar autoritatilor/organismelor publice. Acest fapt conduce la concluzia ca Autoritatea de supraveghere stabileste aceste termene in functie de situatia fiecarui caz in parte, fara a se depasi insa perioada de 90 de zile. Coroborand aceste dispozitii cu prevederile din Capitolul VI, art. 13 alin. (3), Autoritatea de supraveghere poate sa reia controlul la respectiva autoritate publica/organism public in termende 10 zile de la data expirarii termenului de remediere.

Per a contrario, pentru operatorii care nu se incadreaza in sfera autoritatilor publice/organismelor publice, legea nu prevede in mod expres un termen maxim de remediere, lasand la latitudinea Autoritatii de supraveghere stabilirea acestuia.

2.  Conditii pentru prelucrarea numarului de identificare national

In Capitolul II din lege – Reguli speciale privind prelucrarea unor categorii de date cu caracter personal, la art. 4 alin. (2) sunt stipulate in mod expres conditiile pe care operatorii trebuie sa le indeplinesca pentru a prelucra numerele de identificare nationale ale persoanelor fizice. In concret, entitatile pot prelucra numere de identificare nationale in temeiul interesului legitim doar daca:

– pun in aplicare masuri tehnice si organizatorice adecvate;

– numesc un responsabil cu protectia datelor cu caracter personal;

– stabilesc termene de stocare specifice in functie de natura datelor si scopul prelucrarii;

– instruiesc periodic persoanele care prelucreaza efectiv aceste date cu caracter personal.

Cu alte cuvinte, elementul care excede dispozitiilor Regulamentului vizeaza entitatile care vor utiliza ca temei al prelucrarii interesul legitim si care au, o data cu implementarea acestei legi, obligatia (si nu recomandarea) de a numi DPO.

3. Conditiile pentru supravegherea prin mijloace electronice audio/video la locul de munca

Captolul II, art. 5 prevede conditiile in care este permisa monitorizarea angajatilor la locul de munca de catre angajator, respectiv:

– interesul legitim al angajatorului prevaleaza asupra interesului sau drepturilor angajatilor;

– angajatii au fost informati corespunzator, in prealabil, asupra modurilor de supraveghere;

– a fost consultat sindicatul inainte de introducerea sistemelor de monitorizare;

– nu exista alte metode mai putin intruzive pentru indeplinirea scopului;

– durata de stocare a inregistrarilor este de maxim 30 de zile, exceptand situatiile expres reglementate de lege.

4.  Organismele de certificare

Legea stabileste la Capitolul V art. 11 alin. (1) ca acreditarea organismelor de certificare prevazute la art. 43 din Regulament se realizeaza de Asociatia de Acreditare din Romania –RENAR, in conformitate cu:

– standardul EN-ISO/IEC 17065;

– dispozitiile art. 43 din Regulamentul (UE) 2016/679;

– cerintele suplimentare stabilite de catre Autoritatea de supraveghere .

5. Tipurile de sanctiuni

In cuprinsul Capitolului VI din lege – Masuri coercitive si sanctiuni – sunt stipulate ca sanctiuni contraventionale principale avertismentul si amenda contraventionala. De asemenea, sunt detaliate tipurile de incalcari care constituie contraventii, cu trimitere la articolele din Regulament, precum si pragurile amenzilor (minim si maxim) pe care le pot aplica reprezentantii Autoritatii de supraveghere pentru diferitele tipuri de incalcari.

Un aspect important de retinut este acela ca pragurile amenzilor sunt aplicabile doar autoritatilor/organismelor publice.

Forma integrala a legii o gasiti aici.

Avocat Gherasim Andrei-Gheorghe

Titular Cabinet de Avocat ”Gherasim Andrei-Gheorghe”

Be the first to comment

Leave a Reply

Your email address will not be published.