În Monitorul Oficial al României, Nr. 651 din data de 27.07.2018, a fost publicată Legea nr. 190 din 27.07.2018 privind măsurile de punere în aplicare a GDPR („Legea nr. 190/2018”), care a intrat în vigoare de la 31 iulie 2018. Legea nr. 190/2019 creează cadrul normativ pentru punerea în aplicare la nivel național a normelor privind protecția datelor cu caracter personal din GDPR care implică astfel de reguli specifice, în principal a prevederilor art. 9 alin. (4), art. 37-39, 42, 43, 83 alin. (7), art. 85, art. 87-89 din GDPR. Astfel, Legea nr. 190/2018 clarifică concepte prevăzute de GDPR (e.x., definirea conceptului de număr de identificare național) în încercarea de a soluționa controversele născute în virtutea legislației anterioare, și impune condiții suplimentare pentru prelucrarea unor categorii de date cu caracter personal respectiv prevede o serie de derogări specifice de la prevederile GDPR.
- Numărul de identificare național
Legea nr. 190/2018 definește “numărul de identificare național” ca fiind acel număr prin care prin care se identifică o persoană fizică într-un anumit sistem de evidență și care are aplicabilitate generală, cum ar fi (i) codul numeric personal, (ii) seria și numărul actului de identitate, (iii) numărul pașaportului, (iv) numărul permisului de conducere, (v) numărul de asigurare socială de sănătate.
Legea nr. 190/2018 stabilirea o serie garanții adecvate cumulative pentru prelucrarea numărului de identificare național pentru a realiza interesele legitime ale operatorului, respectiv:
- punerea în aplicare de măsuri tehnice și organizatorice în conformitate cu art. 32 din GDPR pentru respectarea principiilor de prelucrare a datelor;
- numirea unui responsabil pentru protecția datelor în condițiile legii;
- stabilirea unor termene de stocare, revizuire și ștergere în funcție de natura datelor și scopul prelucrării.
- instruirea periodică a personalului cu atribuții privind prelucrarea acestor date cu caracter personal, atât de către operator, cât și de persoanele împuternicite de acesta pentru astfel de prelucrări.
Este de remarcat faptul că Legea nr. 190/2018 instituie un caz expres pe lângă prevederile art. 37 din GDPR pentru desemnarea obligatorie a responsabilului pentru protecția datelor, în contextul prelucrării unui număr de identificare național, atunci când această prelucrare este bazată pe interesul legitim al operatorului.
- Condiții speciale privind prelucrarea unor categorii de date cu caracter personal
Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea
Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.
Legiuitorul limitează astfel temeiurile pentru prelucrarea datelor sensibile în contextul unor decizii automatizate la acordul persoanei vizate și prevederea legală expresă.
Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă
Monitorizarea angajaților la locul de muncă prin mijloace audio-video respectiv mijloace de comunicații electronice, în interesul legitim al angajatorului se va realiza numai dacă acesta din urmă respectă următoarele condiții:
- justifică un interes legitim care prevalează drepturilor și intereselor angajatului;
- asigură în prealabil o informare completă și explicită a angajatului asupra acestui tip de prelucrare;
- a consultat anterior introducerii sistemelor de monitorizare sindicatul sau reprezentanții angajaților;
- a implementat alte forme și metode mai puțin intruzive, dar acestea nu au fost eficiente pentru scopul urmărit;
- a stabilit o perioadă de stocare proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor temeinic justificate sau dacă legea îi permite stabilirea unei perioade mai îndelungate.
Prin urmare, legiuitorul național a instituit două reguli suplimentare (a se vedea punctele c) și e) menționate anterior) în contextul monitorizării efectuate de către angajator la locul de muncă prin intermediul mijloacelor audio-vizuale respectiv mijloacelor de comunicații electronice, celelalte fiind în realitate expresii ale principiilor de prelucrare a datelor cu caracter personal prevăzute de GDPR.
Prelucrarea datelor cu caracter personal și de categorii speciale de date cu caracter personal în contextul îndeplinirii unei sarcini care servește interesul public
Legea nr. 190/2018 definește sarcina care servește unui interes public ca incluzând acele activități ale partidelor politice sau ale organizațiilor cetățenilor aparținând minorităților naționale, ale organizațiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public, ori funcționării sistemului democratic, incluzând încurajarea participării cetățenilor în procesul de luare a deciziilor și a pregătirii politicilor publice, respectiv promovarea principiilor şi valorilor democrației.
De asemenea, pentru ca operatorul să poată efectua o prelucrare de date pentru un asemenea scop, noua legislație instituie următoarele garanții:
- implementarea unor măsuri tehnice și organizatorice adecvate;
- numirea unui responsabil cu protecția datelor cu caracter personal, dacă această prelucrare o impune în conformitate cu prevederile GDPR;
- stabilirea termenelor de retenție și de ștergere a datelor în funcție de natura și scopul prelucrării.
Prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare
Dispozițiile capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul și persoana împuternicită de operator), ale capitolului V (transferul datelor cu caracter personal către țări terțe sau organizații internaționale), ale capitolului VI (autorități de supraveghere independente), ale capitolului VII (cooperare și coerență) și ale capitolului IX (situații specifice de prelucrare a datelor), din GDPR nu se aplică pentru prelucrările de date în scopuri jurnalistice ori pentru exprimarea academică, artistică sau literară și care privesc acele date cu caracter personal care au fost făcute publice de către persoana vizată sau care sunt strâns legate de calitate de persoană publică a persoanei vizate ori de caracterul public al faptelor.
Observăm astfel că legiuitorul român, în aplicarea prevederilor art. 85 din GDPR a optat pentru o limitare a categoriilor de date în ceea ce privește reglementarea prelucrării datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.
Prelucrarea datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public
Un element de noutate față de dispozițiile GDPR este reprezentat de reglementarea unui regim distinct în contextul prelucrării datelor cu caracter personal de către partidele politice și organizațiilor cetățenilor aparținând minorităților naționale, respectiv de organizațiilor neguvernamentale.
Astfel, entitățile anterior menționate vor putea prelucra date cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public, fără consimțământul expres al persoanei vizate, numai dacă (i) vor informa persoana vizată despre prelucrarea datelor cu caracter personal, (ii) vor garanta transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate și (iii) vor garanta persoanei vizate dreptul de rectificare și ștergere.
- Anumite facilități pentru autoritățile și organismele publice
Autoritățile și organismele publice care încalcă prevederile GDPR și cele ale Legii nr. 190/2018 vor fi sancționate într-o primă etapă cu un avertisment aplicat prin intermediul unui proces-verbal de constatare și sancționare întocmit de ANSPDCP.
În vederea remedierii încălcărilor de prelucrare, autoritatea va întocmi un plan de remediere pe care autoritatea sau organismul public sancționat trebuie să îl implementeze într-un termen de remediere stabilit în funcție de riscurile asociate prelucrării și de demersurile necesare pentru asigurarea conformității prelucrării.
În măsura în care în urma unui nou control efectuat, ANSPDCP constată că măsurile impuse prin planul de remediere nu sunt aduse la îndeplinire, autoritatea sau organismul public poate fi sancționat cu o amendă cuprinsă între 10.000 – 200.000 lei în funcție de prevederile din GDPR sau din Legea nr. 190/2018 încălcate.
- Organismele de certificare
Competența de acreditare a organismelor de certificare în conformitate cu art. 43 din GDPR a fost acordată Asociației de Acreditare din Romania – RENAR. Acreditarea se va realiza în conformitate cu standardul EN-ISO/IEC 17065 sau orice alte cerințe suplimentare stabilite de către ANSPDCP precum și regulile stabilite prin GDPR. Organismele de certificare acreditate de RENAR vor putea evalua și acorda certificări de conformare cu cerințele GDPR operatorilor și persoanelor împuternicite, contribuind astfel la o mai facilă colaborare a acestora în contextul operațiunilor de prelucrare, precum și facilitând relația cu ANSPDCP.
Legea 190/2018 aduce, așa cum am arătat, câteva dezvoltări binevenite (precum definirea și reglementarea mai atentă a prelucrării identificatorilor unici, reglementarea de obligații suplimentare pentru monitorizarea angajaților în baza interesului legitim, acreditarea organismelor de certificare). În același timp, însă, rămân într-un con de umbră unele prevederi precum demonstrarea faptului că o anumită metodă de monitorizare nu și-a dovedit eficiența înainte de a utiliza metode mai intruzive (în special în cazul prelucrărilor în curs) ori consultarea prealabilă a sindicatului / reprezentantului salariaților (în ce măsură este necesar și avizul acestora).