Regulamentul general privind protectia datelor (GDPR) a intrat in vigoare spre finalul lunii trecute. Insa, chiar daca discutia din spatiul public s-a reorientat catre alte subiecte, asta nu inseamna ca el nu ne afecteaza viata de zi cu zi, pe langa activitatea firmelor si a angajatilor.

De exemplu, intri intr-o cladire de birouri (chiar si guvernamentala), iar paznicul de la intrare iti cere datele de pe buletin. Care e procedura, in acest caz, conform noilor norme?

Pentru a afla raspunsul la intrebare, am facut o solicitare la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP).

Pentru inceput, reprezentantii institutiei ne-au atras atentia, prin citate din regulament, ca persoana respectiva, care intra intr-o cladire de birouri, trebuie sa isi dea acordul pentru ca datele sale cu caracter personal sa poata fi colectate si prelucrate, existand si cateva situatii exceptate de la aceasta obligatie.

„Referitor la modalitatea de prelucrare a datelor cu caracter personal, inclusiv sub aspectul colectarii acestora (in speta datele persoanelor fizice ce intra intr-o cladire de birouri), potrivit Regulamentului (UE) 2016/679, aceasta se realizeaza la consimtamantul persoanei vizate sau in conditiile de exceptie de la consimtamant, prevazute de art. 6, art. 9 si art. 10 in functie de natura datelor si categoriilor de date colectate si prelucrate.

Spre exemplu, art. 6 din regulamentul sus-mentionat stabileste urmatoarele:

(1) Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:

  • (a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
  • (b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
  • (c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
  • (d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • (e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
  • (f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

Litera (f) din primul paragraf nu se aplica in cazul prelucrarii efectuate de autoritati publice in indeplinirea atributiilor lor”, se arata in raspunsul obtinut la solicitarea Ziare.com.

In ceea ce priveste consimtamantul, autoritatea citeaza din art. 7 din Regulamentul general privind protectia datelor, care stabileste conditiile legale de acordare a acestuia, astfel:

  • ” (1) In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.
  • (2) In cazul in care consimtamantul persoanei vizate este dat in contextul unei declaratii scrise care se refera si la alte aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu. Nicio parte a respectivei declaratii care constituie o incalcare a prezentului regulament nu este obligatorie.
  • (3) Persoana vizata are dreptul sa isi retraga in orice moment consimtamantul. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia. Inainte de acordarea consimtamantului, persoana vizata este informata cu privire la acest lucru. Retragerea consimtamantului se face la fel de simplu ca acordarea acestuia.
  • (4) Atunci cand se evalueaza daca consimtamantul este dat in mod liber, se tine seama cat mai mult de faptul ca, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este conditionata sau nu de consimtamantul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract.”

Prin urmare, consimtamantul trebuie acordat in mod expres si nu poate avea un caracter implicit, arata autoritatea.

Ce rol are administratorul cladirii in aceasta ecuatie?

Autoritatea ne-a mai transmis ca, referitor la calitatea administratorilor de cladiri, art. 4 pct. 7 din Regulamentul general privind protectia datelor defineste „operatorul” ca fiind persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern.

De asemenea, art. 4 pct. 8 din Regulament defineste „persoana imputernicita de operator” ca fiind persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.

Astfel, „administratorii de cladiri pot fi operatori, in masura in care acestia stabilesc scopul si mijloacele prelucrarii datelor in contextul accesului in cladire a persoanelor fizice sau scopul si mijloacele prelucrarii sunt stabilite printr-un act normativ pe care au obligatia sa il respecte„, se arata in raspunsul primit.

Dar imputernicitul?

In masura in care operatorul apeleaza la o alta societate specializata care desfasoara activitatea de monitorizare a accesului in cladire, aceasta din urma are calitatea de imputernicit, potrivit raspunsului dat de ANSPDCP.

„Referitor la obligatiile pe care le au operatorii si persoanele imputernicite de operatori, mentionam ca acestea sunt reglementate in Cap. IV din Regulament, unde se stabilesc obligatiile generale, precum si cele specifice, inclusiv sub aspectul asigurarii confidentialitatii si securitatii datelor cu caracter personal, intocmirea si tinerea unei evidente a activitatilor de prelucrare desfasurate, realizarea unei evaluari a impactului operatiunilor de prelucrare a datelor asupra protectiei acestora in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, numirea unei persoane ca responsabil privind protectia datelor, in situatia in care aceasta este obligatorie, potrivit legii.

In acest context, mentionam ca art. 24 alin. (1) din Regulament prevede faptul ca, tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament.

Respectivele masuri se revizuiesc si se actualizeaza daca este necesar”, potrivit sursei citate.

In acelasi timp, Regulamentul introduce in art. 5 un nou principiu de prelucrare a datelor, cel al responsabilitatii, potrivit caruia operatorii de date cu caracter personal nu numai ca sunt responsabili de respectarea tuturor principiilor de prelucrarea a datelor („legalitate, echitate si transparenta”, „limitari legate de scop”, „reducerea la minimum a datelor”, „exactitate”, „limitari legate de stocare”, precum si „integritate si confidentialitate”), dar este necesar ca acestia sa poata demonstra respectarea principiilor mentionate.

„In ceea ce priveste raspunderea, masurile corective (art. 58 coroborat cu art. 83 din Regulament), inclusiv sub aspectul aplicarii unei amenzi de catre Autoritatea de Supraveghere, pot fi luate fata de operator sau fata de persoana imputernicita de operator”, incheie sursa citata.

Urmareste Ziare.com si pe Facebook! Comenteaza si vezi in fluxul tau de noutati de pe Facebook cele mai noi si interesante articole de pe Ziare.com.

Sursa articolului