4ALL

GDPR explicitat (1): Cine se va supune noului regulament și Unde?


Articol publicat pe site-ul cloud☁mania în data de 01 Noiembrie 2017 . Autor: Radu Crahmaliuc

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Inițiativa GDPR Ready! își propune să vă ofere accesul deschis la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

După o serie de articole introductive intitulate ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” și ”GDPR Prima sursa de informare Portalul UE” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolele menționate am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), respectiv o prezentare a sursei de informare primară: Portalul General Data Protection Regulation, administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Acestea au fost informațiile generale. Vom continua acum cu o serie de analize și comentarii pe textele extrase din legislația oficială, menite să clarifice acele aspecte practice și de fond pe care orice operator sau procesator de date trebuie să le ia în considerație.

Cine trebuie să fie compatibil GDPR?

Este o întrebare esențială pentru orice companie care vrea să vadă în ce măsură activitățile de prelucrare a datelor personale pe care le derulează se aliniază sau nu cu prevederile noului regulament european.

Potrivit EU 2016/ 679, noile reguli GDPR se aplică “controlorilor/ operatorilor” și “procesatorilor” de date. Cum se definesc aceste noțiuni? Potrivit Art.4, Par.7-10, părțile implicate într-un proces de prelucrare a datelor personale sunt definite astfel:

“operator sau controlor” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care – singur sau împreună cu altele – stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite print-o prevedere a Uniunii Europene sau o prevedere a legislației naționale, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul UE sau în dreptul intern;

“procesator” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului, printr-o împuterncire de partea acestuia;

“destinatar sau recipient” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate date cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul UE sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;

“parte terţă” – o persoană fizică sau juridică, autoritate publică, agenţie sau organism, altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Dar ce se înțelege prin ”persoana vizată”? Pentru acest termen nu am găsit o definiție explicită în Regulament, dar putem presupune în mod implicit că:

persoana vizată ” – este persoana fizică ale căror date personale sunt supuse prelucrării. Adică este chiar persoana pentru care a fost construit întregul mecanism GDPR. Prin persoană fizică se înțelege orice individ în viața, care conform Art.1 are dreptul la:

  • Protecția datelor cu caracter personal
  • Protecția prelucrării datelor cu caracter personal
  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Revenind la noțiunile de operator și procesator, dacă sunteți un operator de date personale GDPR preia vechile obligații legale specifice activității derulate, venind cu noi cerințe precum:

  • obligativitatea de a păstra evidența datelor cu caracter personal și a activităților de procesare
  • răspundere juridică semnificativă dacă sunteți responsabil pentru o încălcare.

Rețineți că un operator nu este scutit de obligații în cazul în care colaborează cu un procesator de date.

Care este acoperirea geografică a GDPR?

Una dintre noutățile regulamentului o constituie extinderea ariei geografice de aplicabilitate. Noile reglementări nu se aplică numai prelucrărilor efectuate de organizații care operează în cadrul UE, ci sunt extinse și asupra oricărei organizații din afara UE care oferă bunuri sau servicii persoanelor fizice din UE.

Conform Art.3 – Domeniul de aplicare teritorial, noul regulament ”se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.”

Ce fel de activități de prelucrare sunt supuse acestor reguli? GDPR se aplică ”prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată;
  • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

Totodată, regulamentul se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

O mai bună explicitare despre prevederile Art.3 pot fi găsite în considerentele publicate în prima parte a documentului oficial EU 2016/679, unde se spune că:

Considerentul 22: ”Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul unor înţelegeri stabile. Forma juridică a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privinţă.”

Considerentul 23: ”Pentru a se asigura că persoanele fizice nu sunt lipsite de protecţia la care au dreptul (…) prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenţionează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este insuficient pentru a confirma o astfel de intenţie.”

Considerentul 24: ”Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca “monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şi atitudinile acesteia.”

Considerentul 25: ”În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional

public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.”

Vom continua explicitarea GDPR în articolele următoare. Urmăriți articolele și activitățile derulate în cadrul inițiativei GDPR Ready!

Articole anterioare: