Noutăți referitoare la protecția datelor cu caracter personal Legea nr. 129/2018

Începând cu data de 24 iunie 2018, a intrat în vigoare Legea nr. 129/2018 de modificare și completare a Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Monitorul Oficial al României nr. 503 din 19.06.2018.

Legea 129/2018 crează cadrul instituțional necesar aplicării în România a Regulamentului U.E.679/2016 al Parlamentului European.

Conform modificărilor aduse prin Legea 129/2018, la art. 141 alin. (2) a fost reglementată baza legală în temeiul căreia personalul ANSPDCP are dreptul să efectueze investigații, chiar și neanunțate, să ceară și să obțină de la operator, persoană împuternicită de către operator sau reprezentatul acestora, după caz, orice informații și documente.

Personalul Autorității are dreptul să intre în orice incinte și să verifice orice sisteme, echipamente, mijloace de stocare s.a. ale operatorilor, persoanelor împuternicite de către operatori sau reprezentanții acestora.

Investigațiile demarate de către personalul ANSPDCP, atât cele anunțate cât și cele neanunțate, pot avea loc doar în intervalul orar 8:00-18:00, chiar dacă operatorii, persoanele împuternicite sau reprezentanții acestora (dacă este cazul) lucrează în ture. Pentru ca investigațile să continue și după orele 18:00 este necesar acordul scris al persoanei la care se efectuează sau a reprezentantului acesteia.

Sancțiunile contravenționale principale pe care le poate aplica Autoritatea națională de supraveghere, potrivit art. 58 alin. (2) lit. b) și i) din Regulamentul ( UE 679/2016 –G.D.P.R. privind protecția datelor cu caracter personal) sunt mustrarea și amenda. Autoritatea națională poate aplica și măsuri corective pe lângă sancțiunile contravenționale (limitarea temporară sau definitivă a activității operatorului economic, restricționarea prelucrării datelor, ștergerea unor date etc).

Aplicarea amenzii se face în condițiile art. 83 din Regulamentul general privind protecția datelor.

Legea prevede ca în situația în care cuantumul amenzii aplicate depășește echivalentul în lei al sumei de 300.000 euro, aplicarea efectivă a amenzii se va face prin decizia președintelui Autorității Naționale de Supraveghere.

Împotriva procesului verbal de constatare a contravenției se poate face contestație în termen de 15 zile de la data comunicării acestuia.

Termenul de plată a amenzii este de 15 zile de la data înmânării, respectiv de la data comunicării procesului-verbal de constatare/sancționare sau a deciziei președintelui Autorității naționale de supraveghere.

Detalii despre amenzile care pot fi aplicate găsiți mai jos:

– Art. 58 din Regulamentul general privind protecția datelor – UE:

http://www.privacy-regulation.eu/ro/58.htm

– Art. 83 din Regulamentul general privind protecția datelor – UE:

http://www.privacy-regulation.eu/ro/83.htm

Cazurile în care este obligatorie desemnarea unui responsabil cu protecția datelor

• Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercitiul funcției lor jurisdicționale.

• Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă.

• Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

Când NU este necesară desemnarea unui responsabil cu protecţia datelor?

•  atunci când nu se prelucrează pe scară largă date cu caracter personal.

Spre exemplu:

• prelucrarea datelor pacientului de către un cabinet medical individual;

• prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un cabinet individual de avocatură.

Conform art.145 (2) din Legea 129/2018, în cazul nerespectării măsurilor dispuse de organul de control sau în cazul refuzului de a furniza informațiile și documentele solicitate în cadrul procedurii de investigație, Autoritatea Națională de Supraveghere poate dispune prin decizie, aplicarea unei amenzi cominatorii de până la 3.000 lei pentru fiecare zi de întârziere.

Sancțiunilor contravenționale din prezenta lege îi sunt aplicabile prevederile OUG 2/2001 privind regimul juridic al contravențiilor, aprobată prin Legea 180/2002 cu modificările și completările ulterioare.

De reținut! Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucat este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.