GDPR – Propunere legislativă privind implementarea Regulamentului (UE) 2016/679 privind protecţia și prelucrarea datelor cu caracter personal

5/5 - (2 votes)

GDPR – Propunere legislativă în România privind implementarea Regulamentului (UE) 2016/679  privind protecţia și prelucrarea datelor cu caracter personal, restricții și derogări impuse de Parlament de la regulamentul european.

GDPR Romania - Norme aplicare

Începând cu data de 25 mai 2018 intră in vigoare Regulamentul (UE) 2016/679 (Regulamentul general privind protecţia datelor – GDPR ) privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE ;  Recent a fost inregistrată la Senat sub nr. B94/2018 propunerea legislativă privind măsurile de punere în aplicare a acestui regulament in România.

Mai jos vă prezentăm această propunere care are câteva particularități de aplicare pentru țara noastră și are o abordare mai restrictivă decât prevederile din regulament. Una dintre ele este că în privința contravențiilor, amenda maximă prevazută în acest proiect de act normativ este diferențiată între organizațiile private și  organismele publice.  În sectorul public propunerea este de  200.000 lei amendă maximă și la entități private conform Regulamentului general GDPR privind protecţia datelor (si anume până la 4% din cifra de afaceri globală anuală sau 20 milioane Euro).
Dacă un angajat al statului încalcă prevederile, conform propunerii legislative acesta poate fi mustrat sau sancționat cu o amendă de 100.000 de lei.

Vă prezentăm aici propunerea legislativă:

LEGE  privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European Si al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor)

Capitolul I – Dispoziţii generale

Art. 1 — Obiectul legii

Prezenta lege stabileşte măsurile necesare punerii în aplicare la nivel naţional, în principal, a prevederilor art. 9 alin. (4), art. 37-39, 42-43, 83 alin. (7), 85, 87-89 din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind proteeţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC, publicat în Jurnalul Oficial al Uniunii Europene seria L nr. 119 din 4 mai 2016, denumit în continuare Regulamentul general privind protecţia datelor.

Art. 2 Definiții

(1) in aplicarea Regulamentului general privind protecţia datelor şi al prezentei legi, termenii şi expresiile de mai jos se definesc după cum urmează:

  • autorităţi şi organisme publice Parlamentul, Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de specialitate ale administraţiei publice centrale, autorităţile şi publice autonome, autorităţile administraţiei publice locale şi de la nivel judeţean, alte autorităţi publice, precum din subordinea/coordonarea acestora;
  • număr de identificare naţional – numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială de sănătate.

(2) in cuprinsul prezentei legi sunt, de asemenea, aplicabile definiţiile prevăzute la art. 4 din Regulamentul general privind protecţia datelor.

 

Art. 3- Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea

  • Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri este interzisă, cu excepţia prelucrărilor efectuate de către sau sub controlul autorităţilor publice, în limitele puterilor ce le sunt conferite prin lege şi în condiţiile stabilite de legile speciale care reglementează aceste materii, care să prevadă şi garanţii adecvate pentru persoana vizată. Interdicţia nu poate fi ridicată prin consimţământul persoanei vizate.
  • Prelucrarea datelor privind sănătatea realizată în scopul asigurării sănătăţii publice, astfel cum este definită în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă nu se poate efectua ulterior, în alte scopuri, de către terţe entităţ

Art. 4 — Prelucrarea unui număr de identificare naţional

  • Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art 6 alin. (1) din Regulamentul general privind protecţia datelor.
  • Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut de art 6 alin. (1) lit. f) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator, sau de o parte terţă, se efectuează cu instituirea, de către operator, a următoarelor garanţii:
  1. punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minim a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind protecţia datelor;
  2. numirea unui responsabil pentru protecţia datelor, în conformitate cu art. 8 din prezenta lege;
  3. aderarea la un cod de conduită aprobat, în condiţiile art. 40 din Regulamentul general privind protecţia datelor şi asumarea respectării dispoziţiilor acestuia;
  4. stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
  5. instruirea periodică cu privire la obligaţiile ce le revin, a persoanelor care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, prelucrează date cu caracter personal.

 

Art. 5 – Prelucrarea datelor cu caracter personal în contextul relaţiilor de muncă

in cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

  1. a) interesele legitime urmărite de angajator vizează activităţi de importanţă deosebită, temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
  4. alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa si
  5. durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Capitolul III – Derogări

Art. 6 – Prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare

(1) În vederea asigurării unui echilibru între dreptul la protecţia datelor cu caracter personal, libertatea de exprimare şi dreptul la informaţie, prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare poate fi efectuată, dacă aceasta priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată, prin derogare de la următoarele capitole din Regulamentul general privind protecţia datelor:

  1. capitolul II (principii),
  2. capitolul III (drepturile persoanei vizate),
  3. capitolul IV (operatorul şi persoana împuternicită de operator),
  4. capitolul V (transferul datelor cu caracter personal către ţări terţe sau organizaţii internaţionale),
  5. capitolul VI (autorităţi de supraveghere independente),
  6. capitolul VII (cooperare şi coerenţă)
  7. capitolul IX (situaţii specifice de prelucrare a datelor).

Art. 7- Prelucrarea datelor cu caracter personal în scopuri de cercetare ştiinţifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public

  • Prevederile art. 15, 16, 18 şi 21 din Regulamentul general privind protecţia datelor nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică ori scopuri statistice, în măsura în care drepturile menţionate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.
  • Prevederile art. 15, 16, 18, 19, 20 şi 21 din Regulamentul general privind protecţia datelor nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare în interes public, în măsura în care drepturile menţionate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.
  • Derogările prevăzute la alin. (1) şi (2) sunt aplicabile numai sub rezerva existenţei garanţiilor corespunzătoare pentru drepturile şi libertăţile persoanelor vizate, prevăzute de art. 89 alin. (1) din Regulamentul general privind protecţia datelor.
  • in cazul în care prelucrarea menţionată la alineatele (1) şi (2) serveşte în acelaşi timp şi altui scop, derogările se aplică numai prelucrării în scopurile menţionate la alineatele respective.

Cap. IV Responsabilul cu protecţia datelor

Art. 8 — Desemnarea şi sarcinile responsabilului cu protecţia datelor

  • Operatorii şi persoanele împuternicite de operator desemnează un responsabil cu protecţia datelor în situaţiile şi condiţiile prevăzute de art. 37-39 din Regulamentul general privind protecţia datelor.
  • in cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, aşa cum este definit la art. 2 alin. (1) lit. a) din prezenta lege, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.
  • Activitatea şi sarcinile responsabilului cu protecţia datelor se realizează cu respectarea art. 38 şi 39 din Regulamentul general privind protecţia datelor şi a reglementărilor legale naţionale aplicabile.

Capitolul V- Organisme de certificare

Art. 9 Acreditarea organismelor de certificare

  • Acreditarea organismelor de certificare prevăzute de art. 43 din Regulamentul general privind protecţia datelor se realizează de Asociaţia de Acreditare din România — RENAR, în calitate de organism naţional de acreditare, în conformitate cu Regulamentul (CE) nr. 765/2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93, precum şi în conformitate cu O.G. nr. 23/2009 privind activitatea de acreditare a organismelor de evaluare a conformităţii, cu modificările şi completările ulterioare.
  • Organismele de certificare vor fi acreditate potrivit reglementărilor legale aplicabile, în conformitate cu standardul EN-ISO/IEC 17065 şi cu cerinţele suplimentare stabilite de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi cu respectarea art. 43 din Regulamentul general privind protecţia datelor.

Capitolul VI – Măsuri corective şi sancţiuni

Art. 10 — Dispoziţii generale privind măsuri corective sancţiuni

  • incălcarea dispoziţiilor enumerate la art. 83 alin. (4) — (6) din Regulamentul general privind protecţia datelor constituie contravenţie.
  • Sancţiunile contravenţionale principale sunt mustrarea şi amenda.
  • incălcarea prevederilor art. 3-7 din prezenta lege constituie contravenţie şi se sancţionează în condiţiile prevăzute de art. 83 alin. (5) din Regulamentul general privind protecţia datelor.
  • Constatarea contravenţiilor şi aplicarea sancţiunilor contravenţionale, precum şi a celorlalte măsuri corective prevăzute de art. 58 din Regulamentul general privind protecţia datelor se face de Autoritatea naţională de supraveghere, în conformitate cu dispoziţiile Regulamentului general privind protecţia datelor, ale Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi ale prezentei legi.

Art. 11 Aplicarea măsurilor corective autorităţilor şi organismelor publice

Pentru încălcarea prevederilor Regulamentul general privind protecţia datelor şi ale prezentei legi de către autorităţile şi organismele publice, Autoritatea naţională de supraveghere poate lua măsurile corective prevăzute de art. 58 alin. (2) lit. a)-h) şi lit. j) din Regulamentul general privind protecţia datelor.

Art. 12 — Constatarea contravenţiilor şi aplicarea de sancţiuni autorităţilor şi organismelor publice

(1) in funcţie de circumstanţele fiecărui caz în parte, Autoritatea naţională de supraveghere poate impune mustrare sau amendă. Amenda se stabileşte în conformitate cu articolul 83 din Regulamentul general privind protecţia datelor şi în baza criteriilor prevăzute de art. 83 alin. (2) din acelaşi regulament.

(2) Constituie contravenţie fapta de încălcare, de către autorităţile şi organismele publice, a următoarelor dispoziţii din Regulamentul general privind protecţia datelor, referitoare la:

  1. obligaţiile operatorului şi ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 şi 43;
  2. obligaţiile organismului de certificare în conformitate cu articolele 42 şi 43;
  3. obligaţiile organismului de monitorizare în conformitate cu articolul 41 alineatul (4).

(3) Constituie contravenţie fapta de încălcare, de către autorităţile şi organismele publice, a dispoziţiilor art. 3- 7 din prezenta lege.

(4) Contravenţiile prevăzute la alin. (2) şi (3) se pot sancţiona cu mustrare sau amendă de până. la 100.000 lei.

(5) Constituie contravenţie fapta de încălcare, de către autorităţile şi organismele publice, a următoarelor dispoziţii din Regulamentul general privind protecţia datelor, referitoare la:

  1. principiile de bază pentru prelucrare, inclusiv condiţiile privind consimţământul, în conformitate cu articolele 5, 6, 7 şi 9;
  2. drepturile persoanelor vizate în conformitate cu articolele 12 22;
  3. transferurile de date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională, în conformitate cu articolele 44 – 49;
  4. orice obligaţii în temeiul legislaţiei naţionale adoptate în temeiul capitolului IX;
  5. nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere în temeiul articolului 58 alineatul (2), sau neacordarea accesului, încălcând articolul 58 alineatul (1).

(6) Contravenţiile prevăzute la alin. (5) se pot sancţiona cu mustrare sau amendă de până la 200.000 lei, prin derogare de la art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001.

(7) Constituie contravenţie fapta de încălcare de către autorităţile şi organismele publice a unei decizii emise de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal în conformitate cu art. 58 alin. (2) coroborat cu art. 83 alin. (2) din Regulamentul general privind protecţia datelor.

(8) Contravenţiile prevăzute la alin. (7) se pot sancţiona cu amendă de până la 200.000 lei, prin derogare de la art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001.

 

Cap. VII – Dispoziţii tranzitorii şi finale

Art. 13

  • Dispoziţiile Regulamentului general privind protecţia datelor se aplică plângerilor şi sesizărilor depuse şi înregistrate la Autoritatea naţională de supraveghere începând cu data aplicării acestuia, precum şi celor depuse înainte de 25 mai 2018 şi aflate în curs de soluţionare. Investigaţiile efectuate pentru soluţionarea acestora şi investigaţiile din oficiu, începute anterior datei de 25 mai 2018 şi nefinalizate la această dată, sunt supuse dispoziţiilor aceluiaşi regulament.
  • Constatarea faptelor şi aplicarea măsurilor corective, inclusiv a sancţiunilor contravenţionale, după data de 25 mai 2018, se realizează în conformitate cu prevederile Regulamentului general privind protecţia datelor, ale Legii nr. 102/2005 şi ale prezentei legi.
  • in cazul în care Regulamentul general privind protecţia datelor şi prezenta lege prevăd o sancţiune mai gravă, contravenţia săvârşită anterior datei de 25 mai 2018 va fi sancţionată conform dispoziţiilor actelor normative în vigoare la data săvârşirii acesteia. in situaţiile în care, potrivit Regulamentului general privind protecţia datelor şi prezentei legi, fapta nu mai este considerată contravenţie, aceasta nu se mai sancţionează, chiar dacă a fost săvârşită înainte de data de 25 mai 2018.

Art. 14

Procesele aflate în curs de judecată la data de 25 mai 2018 rămân supuse legii aplicabile la data începerii acestora.

Art. 15

  • Trimiterile la Legea nr. 677/2001 din actele normative se interpretează ca trimiteri la Regulamentul general privind protecţia datelor şi la legislaţia de punere în aplicare a acestuia.
  • Prezenta lege intră in vigoare în termen de 5 zile de la data publicării în Monitorul Oficial al României.

 

Sursa info: https://www.senat.ro/Legis/PDF/2018/18b094FG.pdf

Expunerea de motive: https://www.senat.ro/Legis/PDF/2018/18b094EM.pdf

Sursa imagine:  www.tes.com

 

Etichete: ,

Leave a Reply