Senatul României a adoptat ieri, 27 iulie 2018, după mai mult de o lună de la data aplicării Regulamentului UE 679/2016 în România, propunerea legislativă privind măsuri de punere în aplicare a GDPR.

În continuare, vă vom prezenta cele mai importante aspecte ale legii care va intra în vigoare în curând.

Insituțiile publice beneficiază de un termen pentru remedierea situației, nu și operatorii privați

Potrivit ultimelor modificări aduse proiectului, autoritățile și organismele publice, spre deosebire de operatorii privați, vor avea o perioadă de cel mult 3 luni pentru remedierea situației, conform unui plan propus de Autoritatea de supraveghere. Așa cum era de așteptat, de această prevedere nu beneficiază și operatorii privați care vor trebui să se alinieze la cerințele Regulamentului.

Maximul amenzii a fost redus pentru instituțiile publice, nu și pentru operatorii privați

Dacă pentru autoritățile și organismele publice, amenda maximă este 200.000 lei, pentru operatorii privați aceasta poate ajunge până la 4% din cifra de afaceri sau 20.000.000 euro, oricare este mai mare și pentru fiecare faptă.

Prelucrarea CNP-ului, seriei și numărului C.I./B.I, numărul pașaportului, al permisului, numărul de asigurare socială de sănătate poate fi realizată în condiții mult mai stricte

Un alt aspect deosebit de important este prevderea referitoare la prelucrarea unui număr de identificare național (CNP, serie și număr C.I., numărul pașaportului, al permisului, numărul de asigurare socială de sănătate) pe temiul juridic al interesului legitim (cum ar fi, atunci când nu există o obligație legală sau nu avem consimțământul persoanei). În această situație, prelucrarea numărului de identificare național are un regim special și va putea fi realizat doar cu insituirea următoarelor garanții:

  • punerea în aplicare de măsuritehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor și pentru asigurarea securității și confidențialității prelucrării datelor cu caracter personal;
  • numirea unui responsabil cu protecția datelor;
  • stabilirea termenelor de stocare, la împlinirea acestora datele trebuind șterse (de exemplu, prin intermediul unei Politici de retenție monitorizată periodic)
  • instruirea periodică apersoanelor (cum ar fi angajații) cu privire la obligațiile ce le revin cu privire la protecția datelor.

 

Forma finală a proiectului de lege despre care am vorbit mai sus poate fi consultată aici

Ruxandra Sava

Privacy Lawyer

Share.

About Author

Privacy and Technology Lawyer

Leave A Reply