Ovidiu Calinescu, autor la Battlegroup

Autor: Ovidiu Calinescu

Brexit : GDPR se va aplica in Marea Britanie pâna la 1 iulie 2021

Începând de la 1 ianuarie 2021, Regatul Unit a părăsit definitiv Uniunea Europeana, prin finalizarea perioadei de tranzitie post-Brexit. Separarea Marii Britanii de blocul comunitar aduce numeroase schimbari si din prisma legislatiei din domeniul protectiei datelor personale.

Prin încheierea acordului comercial si de cooperare din 24 decembrie 2020 între Regatul Unit si Uniunea Europeana, a fost reglementata situatia fluxurilor de date catre Regatul Unit, care a devenit, prin urmare, o tara terta fata de Spatiul Economic European. Acest acord prevede, printre altele, ca Regatul Unit va continua sa aplice Regulamentul european privind protectia datelor (GDPR) pentru o perioada suplimentara de maxim 6 luni (deci cel mult pâna la 1 iulie 2021). În consecinta, în aceasta perioada, orice comunicare de date cu caracter personal din UE/SEE catre Regatul Unit poate avea loc în conformitate cu aceleasi reguli valabile pâna la 31 decembrie 2020 si nu va fi considerata un transfer de date catre o tara terta.

Suplimentar, Comisia Europeana si guvernul Regatului Unit s-au angajat, din nou în temeiul acordului comercial, sa încerce adoptarea de decizii de adecvare reciproce, care sa permita continuarea fluxurilor de date fără întrerupere, chiar si dupa perioada de tranzitie mentionata mai sus. În caz contrar, se vor aplica toate prevederile capitolului V din GDPR, care presupun existenta unor garantii adecvate de securitate (clauze contractuale standard, reguli corporative obligatorii, acorduri administrative, certificari, coduri de conduita) pentru a transfera date din UE si/sau din SEE catre o tara terta inadecvata sau permite unele exceptii în absenta garantiilor adecvate (consimtamântul explicit al persoanei vizate, interesul public al unui stat membru al SEE etc.).

În ceea ce priveste orice litigii sau reclamatii transfrontaliere în domeniul protectiei datelor cu operatorii de date sau procesatori stabiliti în Regatul Unit, de la 1 ianuarie 2021, Regatul Unit nu va mai aplica mecanismul „ghiseu unic” (one stop shop) care guverneaza aceste dispute între tarile SEE. În esenta, persoanele fizice sau juridice din Regatul Unit nu vor mai putea beneficia de posibilitatea de a avea de-a face cu o singura autoritate „principala” (adica, autoritatea competenta pentru sediul principal sau unic din SEE) pentru diferitele obligatii prevazute de Regulamentul european.

Cel mai important, de la 1 ianuarie 2021, operatorii si procesatorii cu sediul în Regatul Unit care fac obiectul aplicarii GDPR în conformitate cu articolul 3 alineatul (2) trebuie sa desemneze un „reprezentant” în UE în conformitate cu prevederile articolului 27 din GDPR. Acest reprezentant poate fi contactat de catre autoritatiile de supraveghere si de catre persoanele vizate pentru orice probleme legate de activitatile de prelucrare a datelor; de asemenea, reprezentantul va avea si rolul de a asigura respectarea GDPR de catre operatorul de date personale din Marea Britanie.

Registrul de evidenta a rezervarilor clientilor pentru terase – o noua provocare GDPR

Mult-asteptata redeschidere a teraselor, afectate de pandemia generat? de virus SARS-CoV 2, a fost reglementat? de Ordinul comun al Ministerului Sănătății, Ministerului Economiei si al ANSVSA nr. 966/1.809/105/2020, publicat în Monitorul Oficial al României nr. 461 din 30.05.2020.

Informațiile pe care le vom prezenta în cele ce urmeaz? sunt deopotriv? utile atât de?in?torilor de restaurante si cafenele cu terase, cât si clien?ilor acestora. Principala problem? generat? de acest Ordin este obligativitatea p?str?rii de c?tre operatorii economici a unui registru de eviden?? a rezerv?rilor clien?ilor, fapt ce d? nastere unui nou set de obliga?ii ce intr? sub inciden?a Regulamentului UE 679/2016 (GDPR).

Ce spune legea

Potrivit art. 4 alin. 1 litera l) din Normele privind stabilirea m?surilor specifice de prevenire a r?spândirii virusului SARS-CoV-2 pentru activit??ile de preparare, servire si consum al produselor alimentare, b?uturilor alcoolice si nealcoolice în spa?iile special amenajate din exteriorul cl?dirilor unit??ilor de alimenta?ie public? aprobate prin Ordinul mai sus men?ionat, operatorii economici din sectorul alimenta?iei publice trebuie s? se îngrijeasc? de existen?a unui registru de eviden?? a rezerv?rilor clien?ilor, astfel încât, în cazul apari?iei unui caz de îmboln?vire cu virusul SARS-CoV-2 în rândul clien?ilor unit??ii de alimenta?ie, s? existe date concrete pe baza c?rora s? poat? fi efectuat? ancheta epidemiologic?.

Se prelucreaza date cu caracter personal?

Da. Aceast? activitate de ?inere a eviden?ei rezerv?rilor clien?ilor, împreun? cu datele acestora de contact, reprezint? o prelucrare a datelor în sensul art. 4 punctul 2 GDPR care for?eaz? operatorii economici s? îsi îndeplineasc? toate obliga?iile prev?zute de GDPR. Pe scurt, aceste obliga?ii vizeaz? urm?toarele:

  • îndeplinirea obliga?iei de informare a persoanelor vizate conform art. 13 sau, dup? caz, al art. 14 GDPR;
  • elaborarea documenta?iei de conformitate cu GDPR (proceduri interne, politici de prelucrare a datelor, acorduri de prelucrare a datelor, etc);
  • în cazurile prev?zute de art. 37 GDPR si de art. 4 din Legea 190/2018, desemnarea unui Responsabil cu Protec?ia Datelor (DPO) si notificarea desemn?rii lui c?tre ANSPDCP;
  • implementarea tuturor m?surilor necesare pentru garantarea securit??ii datelor personale prelucrate.

Ce date personale vom prelucra?

Ordinul nu prevede indica?ii concrete în privin?a categoriilor de date personale ce se vor colecta, însa instituie obliga?ia operatorilor economici de a solicita si ob?ine date concrete în baza c?rora sa fie efectuat? o eventual? anchet? epidemiologic?.

Ce înseamn? acest lucru? Operatorii economici sunt cei care vor trebui sa aplice principiul minimiz?rii datelor personale prev?zut de art. 5 alin. 1 litera c) GDPR si, ca urmare, s? solicite doar acele date strict necesare pentru a putea fi contactat ulterior clientul. Adic? numai numele, prenumele si num?rul de telefon sunt relevante în circumstan?a în care Direc?ia de S?n?tate Public? va fi nevoit? sa contacteze persoana în cauz?.

Sunt numeroase discu?ii pro si contra asupra solicit?rii, de exemplu, a unei adrese de email în locul num?rului de telefon, îns?, în situa?ia unei posibile contamin?ri cu coronavirus, viteza de reac?ie a autorit??ilor este esen?ial?, la fel cum este esen?ial? si utilizarea celui mai rapid mijloc de comunicare.

Riscurile pentru registrul de eviden?? a rezerv?rilor clien?ilor

Principalul risc, apar?inând atât operatorului economic, cât ?i clientului, îl reprezint? obliga?ia ambilor de a se asigura c? datele personale prelucrate în scopul p?str?rii registrului de eviden?? sunt corecte ?i actuale – principiul exactit??ii prelucr?rii datelor consacrat de art. 5 alin. 1 litera d) GDPR. Înseamn? c? operatorii economici sunt datori s? se asigure ca ob?in date reale de la clien?i, precum ?i c? ace?tia din urm? furnizeaz?, sub sanc?iunea aplicabil? falsului în declara?ii, datele lor personale corecte ?i complete.

O a doua provocare o reprezint? securitatea datelor personale con?inute de aceste registre de evident? a clien?ilor. Aceasta obliga?ie apar?ine exclusiv operatorilor economici, ace?tia fiind responsabili de a nu permite niciunei persoane neautorizate s? aib? acces la aceste date, precum ?i de a folosi datele ob?inute numai în scopul prev?zut în Ordinul 966. Operatorii economici sunt cei care aleg modalitatea concret? de tinere a acestui registru, care poate fi în format fizic, în format electronic (de exemplu, un fi?ier Excel) sau poate fi ?inut prin intermediul unei aplica?ii software a unui furnizor ter?. In func?ie de modalitatea aleas? de operator, cerin?ele de securitate ?i confiden?ialitate pot fi diferite ?i pot face obiectul unei analize de impact asupra protec?iei datelor personale.

Sanc?iuni

Multitudinea de acte normative cu incidenta asupra registrului de evident? a clien?ilor implic? sanc?iuni diferite pentru operatorii economici ?i pentru clien?ii acestora.

Operatorii economici pot fi sanc?iona?i astfel:

  • amend? contraven?ional? de pan? la 20 milioane EUR sau 4% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa inform?rii clien?ilor cu privire la modul, scopul, temeiul legal ?i drepturile persoanei vizate conform art. 13 si 14 GDPR, pentru înc?lcarea principiilor minimiz?rii ?i/sau al exactit??ii datelor personale prev?zute de art. 5 GDPR sau pentru neasigurarea securit??ii ?i confiden?ialit??ii datelor personale, conform art. 32 GDPR;
  • amend? contraven?ional? de pan? la 10 milioane EUR sau 2% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa sau neconformitatea acordurilor de prelucrare a datelor ce trebuiesc încheiate, potrivit art. 28 GDPR, cu furnizorii externi de aplica?ii software pentru rezerv?ri ?i/sau similare;
  • amend? contraven?ional? de pan? la 10.000 lei pentru lipsa registrului de eviden?? a clien?ilor, aplicat? de ITM sau organele de poli?ie, jandarmerie sau poli?ie local? conform Legii nr. 55/2020 privind unele m?suri pentru prevenirea ?i combaterea efectelor pandemiei de COVID-19;
  • atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal si/sau pentru infrac?iunea de omisiune a declar?rii unor informa?ii, prevazut? de art. 352^1 Cod Penal.

Clien?ii teraselor pot fi sanc?iona?i astfel:

  • amend? contraven?ional? de pana la 20 milioane EUR, aplicat? de ANSPDCP, pentru înc?lcarea principiului exactit??ii datelor personale prev?zut de art. 5 GDPR;
  • atragerea r?spunderii penale pentru infrac?iunea de fals în declara?ii prevazut? de art. 326 Cod Penal;
  • atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal.

Pentru informa?ii suplimentare sau pentru analiza situa?iilor particulare, folosi?i cu încredere pagina noastr? de contact.

Uniunea Europeana se preg?te?te pentru modificarea GDPR

Comisia Europeana a stabilit, la 19 februarie 2020, prin intermediul Strategiei privind datele ?i Strategiei privind inteligen?a artificial?, liniile directoare ale ac?iunilor legislativului european pentru o transformare digital? fundamental?.

Pre?edinta Comisiei Europene, Ursula von der Leyen, a declarat: „Ast?zi prezent?m tuturor viziunea noastr? ambi?ioas? cu privire la viitorul digital al Europei. Este o viziune care abordeaz? toate aspectele, de la securitatea cibernetic? la infrastructurile critice, de la educa?ie digital? la competen?e, de la democra?ie la mass-media. Îmi doresc ca Europa digital? s? reflecte valorile noastre cele mai de pre?, care ne definesc ca europeni – deschiderea, echitatea, diversitatea, democra?ia ?i încrederea.”

Principalele modific?ri propuse de CE vizeaz? urm?toarele ac?iuni:

  • crearea unui spa?iu european al datelor, o pia?? unic? pentru date, pentru a debloca poten?ialul datelor neutilizate, permi?ând fluxul liber al acestor date în Uniunea European? ?i între diferitele sectoare, în beneficiul întreprinderilor, al cercet?torilor ?i al administra?iilor publice;
  • stabilirea unui cadru normativ adecvat cu privire la guvernan?a datelor, la accesarea ?i reutilizarea acestor date între întreprinderi, în rela?ia întreprinderi–administra?ii centrale ?i între diferitele administra?ii;
  • modificarea Regulamentului UE 679/2016 (GDPR), în special pentru îmbun?t??irea securit??ii datelor digitale ?i facilitarea exercit?rii drepturilor persoanelor fizice vizate;
  • reglementarea transferurilor de date personale intre companii (business-to-business – B2B – data-sharing);
  • reglementarea transferurilor de date publice de la autorit??ile publice c?tre companii private (government-to-business – G2B – data sharing);
  • reglementarea utiliz?rii de date personale transmise de companiile private c?tre autorit??ile publice (business-to-government – B2G – data sharing)
  • Elaborarea unui nou act normativ, pana in anul 2021, pentru reglementarea fluxurilor de date in Uniunea Europeana, cu accent pe utilizarea noilor tehnologii de tipul internet of things (IoT) si inteligenta artificiala (AI) – Data Act 2021.

Click aici pentru textul complet al Strategiei Europene privind datele (versiunea originala in limba engleza)

Toate detaliile privind planul de ac?iune al Uniunii Europene în domeniul datelor sunt disponibile pe website-ul Comisiei Europene:

https://ec.europa.eu/commission/presscorner/detail/ro/ip_20_273

Sursa informa?iilor: Comisia Europeana, www.ec.europa.eu/commission/