Radu și Asociații este o entitate membră a Ernst & Young Global Ltd.
Bucharest Tower Center, etaj 22 B-dul Ion Mihalache
nr. 15-17 011171 Bucuresti, sector 1, Romania
+40 21 402 4000
RO || EN
Proiect de lege pentru implementarea GDPR în România
Proiect de lege privind măsuri de punere în aplicare a Regulamentului UE 2016/679 al Parlamentului European și Consiliului din 27 aprilie 2016 privind protecția datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/EC (Regulamentul general privind protecția datelor – GDPR)

Am rezumat în cele ce urmează aspectele cu caracter de noutate şi completările aduse de acest proiect de lege (“Proiectul”) cu privire la implementarea GDPR.

Proiectul a fost depus la Senat și este în proces de consultare publică până pe 13 mai 2018.

Dispoziții generale
Proiectul aduce noutăți și clarificări, printre altele, cu privire la: (i) prelucrarea datelor genetice, biometrice sau de sănătate; (ii) prelucrarea codului numeric personal (CNP); (iii) supravegherea video a angajaților; (iv) organismele de certificare; (v) aplicarea GDPR.
Prelucrarea datelor genetice, biometrice sau de sănătate
Proiectul prevede că prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri este interzisă, cu excepția cazului când aceasta este făcută de către o autoritate publică sau sub controlul unei astfel de autorități. Interdicția nu poate fi ridicată prin consimțământul persoanei vizate.
Prelucrarea codului numeric personal (CNP)
Proiectul include CNP-ul în categoria mai largă desemnată ca număr de identificare național, care cuprinde și numărul de asigurare de sănătate, seria și numărul cărții de identitate, numărul de permis auto, numărul pașaportului, prevăzând că poate fi prelucrat în condițiile art. 6 (1) din GDPR. Rezultă astfel că prelucrarea CNP-ului se poate realiza și în absența consimțământul persoanei vizate.

Pentru situațiile în care CNP-ul sau alte numere de identificare naționale sunt prelucrate în scopul îndeplinirii unui interes legitim al operatorului sau al unui terț, operatorul trebuie să instituie următoarele garanții suplimentare:

Supravegherea video a angajaților
În cazul monitorizării angajaților prin sisteme video, operatorul trebuie să îndeplinească următoarele condiții cumulative:
Organisme de certificare
Organismele de certificare menționate în art. 43 din GDPR vor fi acreditate de către Asociația de Acreditare din România – RENAR. Acestea vor fi acreditate în conformitate cu standardele EN-ISO/IEC 17065, dar și cu prevederile art. 43 susmenționat și cu cerințele suplimentare stabilite de autoritatea de supraveghere.
Aplicarea GDPR
Proiectul prevede că GDPR se aplică plângerilor depuse la autoritatea de supraveghere începând cu data de 25 mai, dar și celor care au fost depuse înainte de această dată și care sunt în curs de soluționare, sub toate aspectele, inclusiv cu privire la procedura de investigație și la sancțiuni. Cu toate acestea, dacă GDPR prevede o sancțiune mai mare decât legislația anterioară, fapta va fi sancționată conform dispozițiilor în vigoare la data săvârșirii ei.
Autor:
Raluca Silaghi, Manager – Avocat, Coordonatorul practicii de protectia datelor cu caracter personal

Pentru informații suplimentare, persoana de contact este:
Dragoș Radu, Partener – Avocat, Coordonatorul societății de avocați