Întrebări și răspunsuri: cadrul legal pentru protecția datelor în România

Întrebări și răspunsuri: cadrul legal pentru protecția datelor în România

Legea și autoritatea de reglementare

Cadru legislativ

Rezumați cadrul legislativ pentru protecția informațiilor personale (PI). Jurisdicția dumneavoastră are o lege dedicată protecției datelor? Legea privind protecția datelor din jurisdicția dumneavoastră se bazează pe instrumente internaționale sau pe legile privind confidențialitatea sau protecția datelor din alte jurisdicții?

Cadrul legislativ principal cuprinde următoarele elemente:

  • Regulamentul (UE) 2016/679 (Regulamentul General pentru Protecția Datelor) (GDPR) este direct aplicabil legislației române;
  • Legea nr.190/2018 privind măsurile de implementare a GDPR; și
  • Legea nr. 102/2005 de înființare, organizare și funcționare a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (APD).

Trebuie luate în considerare ghidurile și recomandările Comitetului European pentru Protecția Datelor, precum și ghidurile publicate de DPA.

Alături de legislația menționată mai sus, există o serie de acte normative relevante din punct de vedere al protecției datelor, inclusiv acte care reglementează domenii specifice ale protecției datelor, precum cookie-urile și comunicarea de marketing.

Autoritatea pentru Protecția Datelor

Ce autoritate este responsabilă pentru supravegherea legislației privind protecția datelor? Care este sfera competențelor sale de investigație?

Autoritatea romana pentru protectia datelor este DPA.

DPA este organizată ca o instituție independentă. Competențele sale se bazează atât pe GDPR, cât și pe Legea nr. 102/2005.

APD poate efectua investigații, inclusiv investigații neanunțate. În timpul investigațiilor, DPA poate solicita orice documente și informații și poate accesa orice echipament (inclusiv echipament de stocare a datelor cu caracter personal) pe care îl consideră necesar în scopul inspecției. DPA poate lua declarații de la martori și rapoarte de expertiză ale comisiilor.

Odată constatată o încălcare a legii, DPA poate impune mustrări sau amenzi, precum și măsuri corective. În cazuri specifice pot fi aplicate amenzi periodice.

Cooperare cu alte autorități de protecție a datelor

Există obligații legale pentru autoritatea de protecție a datelor de a coopera cu alte autorități de protecție a datelor sau există un mecanism pentru rezolvarea diferitelor abordări?

Ori de câte ori activitatea operatorului sau împuternicitului de date cu caracter personal are un caracter transfrontalier, poate apărea un conflict de jurisdicție. Mecanismul de soluționare a conflictului de jurisdicție este consacrat în GDPR. Ca regulă generală, autoritatea de supraveghere a sediului principal sau unic al operatorului sau al împuternicitului este competentă să acționeze ca autoritate principală de supraveghere pentru a investiga prelucrările transfrontaliere efectuate de respectivul operator, operator sau operator și trebuie să coopereze cu celălalt autoritățile de supraveghere în cauză.

READ  Politicieni și publicul vizat în cazurile de agresiune online

Încălcări ale legii privind protecția datelor

Încălcările legii privind protecția datelor pot duce la sancțiuni sau ordine administrative sau sancțiuni penale? Cum ar fi tratate astfel de încălcări?

În conformitate cu legislația română, încălcările legii privind protecția datelor sunt sancționate cu:

  • mustrări;
  • amenzi; și
  • Acțiuni corective conforme cu GDPR. În plus, DPA poate solicita operatorului și operatorului să publice pe cheltuiala proprie orice măsuri corective impuse.

O încălcare este constatată de către personalul de control al APD și sancțiunea se aplică printr-un proces-verbal semnat de aceștia. Când amenda depășește 300.000 de euro, aceasta poate fi pronunțată numai prin decizie președințială a APD, pe baza raportului întocmit de personalul de control al APD.

Amenzile sunt prevăzute în GDPR de la:

  • până la 10 milioane EUR sau până la 2% din cifra de afaceri anuală totală la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare, pentru încălcări, cum ar fi obligațiile care decurg din principiul confidențialității prin proiectare și confidențialitatea implicită și securitatea prelucrării; și
  • până la 20 de milioane EUR sau până la 4% din cifra de afaceri anuală totală la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare, pentru încălcări legate, de exemplu, de principiile de bază ale prelucrării, inclusiv termenii consimțământului și drepturile persoanelor vizate.

În cazul nerespectării măsurilor impuse, sau al refuzului tacit sau expres de a furniza toate informațiile și toate documentele solicitate de DPA, ori dacă operatorul sau împuternicitul refuză să facă obiectul unei investigații, DPA poate aplica o amendă periodică de 3.000 lei pe zi.

Conform GDPR, România a decis ca autorităților publice să se aplice un regim punitiv în temeiul Legii nr. 190/2018. Astfel, dacă o autoritate publică încalcă GDPR sau legile naționale privind protecția datelor, DPA emite mai întâi un avertisment însoțit de un plan de remediere. APD poate relua ancheta și dacă constată că măsurile planului de remediere nu au fost puse în aplicare, se poate aplica o amendă de la 10.000 la 200.000 de lei.

România a decis să nu aplice pedepse penale pentru încălcări.

Domeniul de aplicare

Sectoare și instituții scutite

Legea privind protecția datelor acoperă toate sectoarele și tipurile de organizații sau anumite domenii de activitate sunt în afara domeniului său de aplicare?

Regimul juridic general de protecție a datelor consacrat în Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor) (GDPR) exclude în mod expres din domeniul de aplicare al acestuia:

  • prelucrarea datelor cu caracter personal desfășurată în cadrul unor activități în afara domeniului de aplicare al dreptului UE;
  • prelucrarea datelor cu caracter personal efectuată de statele membre ale UE în contextul politicii externe și de securitate comune;
  • prelucrarea datelor cu caracter personal efectuată de o persoană fizică în contextul unei activități pur personale sau casnice;
  • prelucrarea datelor cu caracter personal efectuată de autoritățile competente în scopul prevenirii, cercetării, detectării sau urmăririi penale a infracțiunilor sau executării pedepselor penale, inclusiv protecția împotriva și prevenirea amenințărilor la adresa siguranței publice; și
  • prelucrarea datelor cu caracter personal ale persoanelor decedate.
READ  MedLife lansează primul centru de medicină a stilului de viață din România

Regimul juridic al prelucrării datelor cu caracter personal este guvernat și de alte texte legislative specifice, care acoperă prelucrarea datelor cu caracter personal în comunicațiile electronice și prelucrarea datelor cu caracter personal în contextul prevenirii, depistarii, investigației, urmăririi penale și combaterii infracțiunilor sau executarea sanctiunilor si masurilor de educatie si securitate.

Legile privind interceptarea și supravegherea comunicațiilor

Legea privind protecția datelor acoperă interceptarea comunicațiilor, marketingul electronic sau monitorizarea și supravegherea persoanelor?

Interceptarea comunicațiilor, marketingul electronic și controlul și supravegherea persoanelor sunt abordate în mod specific de Legea nr.506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice care tratează în mod specific acest subiect (care transpune Directiva 2002/58/CE (Directiva privind confidențialitatea electronică) în legislația română). Interceptarea comunicațiilor și urmărirea și supravegherea persoanelor sunt reglementate în continuare de Codul de procedură penală.

Alte legi

Există alte legi sau reglementări care oferă reguli specifice de protecție a datelor pentru domenii conexe?

În prezent, România nu a elaborat o legislație specifică sectorului privind protecția datelor. Cu toate acestea, unele reguli specifice (așa cum sunt permise de GDPR) sunt incluse în legislația națională, cu privire la prelucrarea:

  • date genetice, biometrice și de sănătate;
  • Cod Numeric Personal;
  • date în contexte de angajare; și
  • date în îndeplinirea unei sarcini de interes public.

Aceste reguli nu derogă de la principiile și regulile GDPR.

Formate IP

Ce categorii și tipuri de PI sunt acoperite de lege?

GDPR (și, prin urmare, legislația națională aplicabilă) se aplică prelucrării datelor cu caracter personal în întregime sau parțial prin mijloace automate și prelucrării, altele decât prin mijloace automate, a datelor cu caracter personal care fac parte dintr-un fișier sau care sunt destinate să facă parte din un fișier. un fișier, în care „fișier” înseamnă orice set structurat de date cu caracter personal accesibil în funcție de criterii specifice, fie că sunt centralizate, descentralizate sau dispersate pe o bază funcțională sau geografică.

READ  România raportează primele cazuri de variola maimuță

Extrateritorialitatea

Domeniul de aplicare al legii este limitat la proprietarii și procesatorii de proprietate intelectuală stabiliți fizic sau care operează în jurisdicția dvs. sau legea are efect extrateritorial?

GDPR se aplică și operatorilor și procesatorilor nestabiliți în Uniunea Europeană în care activitățile de prelucrare se referă la furnizarea de bunuri sau servicii către persoanele vizate din România, indiferent dacă este necesară sau nu o plată de la persoana vizată; și monitorizarea comportamentului persoanelor vizate care are loc în România.

În plus, GDPR se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniunea Europeană, dar într-un loc în care legea română se aplică conform dreptului internațional public.

Utilizări acoperite de IP

Este acoperită toată prelucrarea sau utilizarea IP? Se face o distincție între cei care controlează sau dețin IP și cei care oferă proprietarilor servicii de procesare IP? Obligațiile proprietarilor, operatorilor și procesatorilor diferă?

PI nu este un concept recunoscut în dreptul UE. Prin urmare, termenul de utilizat este „date cu caracter personal”. GDPR se aplică în cazul în care prelucrarea datelor cu caracter personal este efectuată în totalitate sau parțial prin mijloace automate și în cazul în care prelucrarea, altfel decât prin mijloace automate, a datelor cu caracter personal face parte dintr-un fișier sau este destinată să facă parte dintr-un fișier. Prelucrarea datelor cu caracter personal acoperă toate operațiunile, cum ar fi colectarea, înregistrarea, structurarea, stocarea, adaptarea sau modificarea, preluarea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare, aliniere sau combinare, restricționare, ștergere sau distrugere.

Toate activitățile de prelucrare care intră în domeniul de aplicare al GDPR trebuie să respecte regulile definite în acesta.

Majoritatea obligațiilor și îndatoririlor revin persoanei care determină scopurile și mijloacele prelucrării (operatorul), întrucât operatorul este responsabil pentru activitățile de prelucrare a datelor cu caracter personal. Anumite obligații și îndatoriri specifice revin și persoanei desemnate de operator să prelucreze datele în numele său (operatorul).

Data declarată prin lege

Corecteaza

Indicați data la care informațiile de mai sus sunt corecte.

24 mai 2022.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *