Regulamentul general privind protectia datelor (GDPR) a intrat in vigoare spre finalul lunii trecute. Insa, chiar daca discutia din spatiul public s-a reorientat catre alte subiecte, asta nu inseamna ca el nu ne afecteaza viata de zi cu zi, pe langa activitatea firmelor si a angajatilor.
De exemplu, intri intr-o cladire de birouri (chiar si guvernamentala), iar paznicul de la intrare iti cere datele de pe buletin. Care e procedura, in acest caz, conform noilor norme?
Pentru a afla raspunsul la intrebare, am facut o solicitare la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP).
Pentru inceput, reprezentantii institutiei ne-au atras atentia, prin citate din regulament, ca persoana respectiva, care intra intr-o cladire de birouri, trebuie sa isi dea acordul pentru ca datele sale cu caracter personal sa poata fi colectate si prelucrate, existand si cateva situatii exceptate de la aceasta obligatie.
"Referitor la modalitatea de prelucrare a datelor cu caracter personal, inclusiv sub aspectul colectarii acestora (in speta datele persoanelor fizice ce intra intr-o cladire de birouri), potrivit Regulamentului (UE) 2016/679, aceasta se realizeaza la consimtamantul persoanei vizate sau in conditiile de exceptie de la consimtamant, prevazute de art. 6, art. 9 si art. 10 in functie de natura datelor si categoriilor de date colectate si prelucrate.
Spre exemplu, art. 6 din regulamentul sus-mentionat stabileste urmatoarele:
(1) Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:
Litera (f) din primul paragraf nu se aplica in cazul prelucrarii efectuate de autoritati publice in indeplinirea atributiilor lor", se arata in raspunsul obtinut la solicitarea Ziare.com.
In ceea ce priveste consimtamantul, autoritatea citeaza din art. 7 din Regulamentul general privind protectia datelor, care stabileste conditiile legale de acordare a acestuia, astfel:
Prin urmare, consimtamantul trebuie acordat in mod expres si nu poate avea un caracter implicit, arata autoritatea.
Autoritatea ne-a mai transmis ca, referitor la calitatea administratorilor de cladiri, art. 4 pct. 7 din Regulamentul general privind protectia datelor defineste "operatorul" ca fiind persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern.
De asemenea, art. 4 pct. 8 din Regulament defineste "persoana imputernicita de operator" ca fiind persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.
Astfel, "administratorii de cladiri pot fi operatori, in masura in care acestia stabilesc scopul si mijloacele prelucrarii datelor in contextul accesului in cladire a persoanelor fizice sau scopul si mijloacele prelucrarii sunt stabilite printr-un act normativ pe care au obligatia sa il respecte", se arata in raspunsul primit.
In masura in care operatorul apeleaza la o alta societate specializata care desfasoara activitatea de monitorizare a accesului in cladire, aceasta din urma are calitatea de imputernicit, potrivit raspunsului dat de ANSPDCP.
"Referitor la obligatiile pe care le au operatorii si persoanele imputernicite de operatori, mentionam ca acestea sunt reglementate in Cap. IV din Regulament, unde se stabilesc obligatiile generale, precum si cele specifice, inclusiv sub aspectul asigurarii confidentialitatii si securitatii datelor cu caracter personal, intocmirea si tinerea unei evidente a activitatilor de prelucrare desfasurate, realizarea unei evaluari a impactului operatiunilor de prelucrare a datelor asupra protectiei acestora in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, numirea unei persoane ca responsabil privind protectia datelor, in situatia in care aceasta este obligatorie, potrivit legii.
In acest context, mentionam ca art. 24 alin. (1) din Regulament prevede faptul ca, tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament.
Respectivele masuri se revizuiesc si se actualizeaza daca este necesar", potrivit sursei citate.
In acelasi timp, Regulamentul introduce in art. 5 un nou principiu de prelucrare a datelor, cel al responsabilitatii, potrivit caruia operatorii de date cu caracter personal nu numai ca sunt responsabili de respectarea tuturor principiilor de prelucrarea a datelor ("legalitate, echitate si transparenta", "limitari legate de scop", "reducerea la minimum a datelor", "exactitate", "limitari legate de stocare", precum si "integritate si confidentialitate"), dar este necesar ca acestia sa poata demonstra respectarea principiilor mentionate.
"In ceea ce priveste raspunderea, masurile corective (art. 58 coroborat cu art. 83 din Regulament), inclusiv sub aspectul aplicarii unei amenzi de catre Autoritatea de Supraveghere, pot fi luate fata de operator sau fata de persoana imputernicita de operator", incheie sursa citata.