Orice organizație, atât publică, cât și privată, care procesează date personale ale cetățenilor din UE, este direct afectată de implementarea Regulamentul general privind protecţia datelor.

Prin prisma acestui regulament, persoanele fizice au dreptul la despăgubiri din partea operatorilor, indiferent dacă prejudiciul suferit prin încălcarea drepturilor lor la protecția datelor personale, este de natură materială sau nematerială.

Diseminarea de date personale, indiferent dacă acestea au fost sau nu folosite în alte scopuri, reprezintă o încălcare a a regulamentului, fiind supusă sancțiunilor.

RGPD stabilește cerințele detaliate pentru companii și organizații în ceea ce privește colectarea, stocarea și gestionarea datelor cu caracter personal.

Potrivit art. 4 din Regulamentul general privind protecția datelor, „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern. “Persoana împuternicită de operator” este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

Obligațiile pe care le au operatorii de date cu caracter personal sunt reglementate în Regulamentul (UE) 2016/679. Printre principalele obligații ale operatorului în aplicarea Regulamentului sunt:

• desemnarea unui responsabil cu protecția datelor in conditiile art. 37-39 din Regulament;
• cartografierea prelucrărilor de date cu caracter personal (art. 30 din Regulament);
• asigurarea securității datelor (art. 25 și art. 32 din Regulament);
• notificarea încalcărilor de securitate în condițiile art. 33 din Regulament;
• evaluarea impactului asupra protecției datelor si respectarea drepturilor persoanelor fizice (art. 35 din Regulament).

Pentru mai multe informații puteți accesa Ghidul orientativ de aplicare a Regulamentului general privind protecția datelor emis de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), postat pe pagina principală a acestei autorități.

Desemnarea responsabilului cu protecția datelor se solicită atunci când:

• prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
• activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
• activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor, accesibil aici.

Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a-și îndeplini sarcinile. Nivelul necesar al cunoștințelor de specialitate trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate.

Regulamentul (UE) 2016/679 permite unui grup de întreprinderi să numească un responsabil cu protecția datelor unic, cu condiția ca acesta să fie „ușor accesibil din fiecare întreprindere”.

Operatorul sau persoana împuternicită de operator are obligația de a publica datele de contact ale resonsabilului cu protecția datelor și de a le comunica autorității de supraveghere.

Comunicarea responsabilului cu protecția datelor se realizează prin completarea formularului de declarare a responsabilului cu protecția datelor existent pe site-ul ANSPDCP la Secțiunea „Responsabilul cu protecția datelor”.

În situația în care grup de întreprinderi sau mai multe autorități sau organisme publice desemnează un responsabil cu protecția datelor unic, fiecare operator sau persoană împuternicită va completa formularul de declarare a responsabilului cu protecția datelor existent pe site-ul ANSPDCP la Secțiunea „Responsabilul cu protecția datelor”.

Atunci când prelucrarea datelor este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului, nu mai este necesară obținerea consimțământului persoanelor vizate.

Fiecare operator sau persoană împuternicită trebuie să păstreaze, atât în scris cât și în format electronic, o evidență a activităților de prelucrare. Această evidență trebuie să cuprindă toate informațiile prevăzute la art. 30 alin. (1) din Regulamentul (UE) de Protecție a Datelor 2016/679.

Alegerea modalităților de a păstra evidența prelucrărilor de date rămâne la latitudinea operatorilor, ținând cont de activitatea desfășurată până în prezent în domeniul datelor cu caracter personal.

Evidența prelucrării cuprinde toate următoarele informații:

• numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
• scopurile prelucrării;
• o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
• categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
• dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective;
• acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
• acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).

Cu excepţia cazului în care este puţin probabil ca o încălcare a securităţii datelor cu caracter personal să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, operatorul are obligația de a notifica autorităţii de supraveghere orice încălcare a securităţii datelor, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta.

Prin Decizia nr. 128 din 22 iunie 2018 a președintelui ANSPDCP s-a adoptat formularul tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679.

Pentru mai multe informații puteți accesa Ghidul privind notificarea încălcărilor de securitate emis de Comitetul european pentru protecția datelor, accesibil aici.

În vederea asigurării unui nivel de securitate corespunzător, operatorul implementează măsuri tehnice și organizatorice adecvate, incluzând printre altele:

• capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
• capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
• un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării;
• pseudonimizarea și criptarea datelor cu caracter personal, după caz.

Având în vedere importanța respectării prevederilor Regulamentului (UE) 2016/679 privind protecția datelor, instituțiile publice din România oferă informații pe website-urile proprii.