de Monica Beleneş şi Alexandru Brădescu

Noul Regulament European privind Datele cu Caracter Personal a intrat în vigoare începând cu 25 mai 2018 și este important ca toate firmele care prelucrează date cu caracter personal să-l aplice. Acesta prevede responsabilităţi sporite în privința securității datelor și un nivel ridicat de transparență, amenzile putând ajunge și la zeci de milioane de euro. Dar despre cum va funcționa acest Regulament și cine îl monitorizează ne spune mai multe Ambra Rîșcă, Data Protection Officer (responsabil date personale/responsabil GDPR) la Pacientul 2.0.

„Se urmărește crearea de reguli comune pentru toate statele UE”

- Ce spune noul Regulament European privind Datele cu Caracter Personal?

- Regulamentul general privind protecția datelor personale (GDPR) este o nouă „lege” europeană ce urmărește să ofere utilizatorilor europeni un control mai mare asupra datelor lor și, de asemenea, să creeze niște reguli comune pentru toate statele din Uniunea Europeană. UE a permis o perioadă de tranziție de doi ani pentru ca organizațiile să-și atingă conformitatea. Începând cu 25 mai, se aplică amenzi împotriva oricărei organizații care nu respectă liniile directoare stabilite de GDPR. Noile reguli promovate de GDPR sunt mult mai stricte și impactează toate organismele ce colectează/prelucrează date personale. În primul rând, Directiva europeană privind protecția datelor s-a transformat într-un Regulament, adică a devenit o lege europeană completă și complexă. Pe vechea directivă (implementată în România prin Legea 677/2001), aceasta înseamnă că fiecare dintre statele UE interpretează regulile în mod diferit. Regulamentul, pe de altă parte, înseamnă că va fi pus în aplicare în același mod de toate statele membre UE.

- Acest Regulament se aplică atât în sănătate, cât și în celelalte domenii?

- Datele personale despre sănătatea pacientului reprezintă informații critice în procese precum asistența medicală, inclusiv asistență oferită prin intermediul site-ului e-sanatate.md, sau cercetarea științifică. Datele privind sănătatea și datele genetice fac parte din categoria de „date sensibile” și beneficiază de protecție suplimentară în GDPR. Dezvăluirea neautorizată a informațiilor personale privind sănătatea ar putea avea un impact negativ asupra vieții personale și profesionale a pacientului. Datele personale reprezintă informații despre o anumită natură personală care permite sau ar putea permite identificarea persoanei.

„Amenda va fi între 10 și 20 de milioane de euro”

- Care sunt drepturile și obligațiile participanților la sistemul de sănătate conform noului Regulament European privind Datele cu Caracter Personal?

- Să respecte principiile de prelucrare a datelor prevăzute de GDPR; să stabilească ce date personale colectează; să documenteze prelucrarea de date (reguli, proceduri interne); să întărească securitatea datelor prelucrate; să minimizeze datele personale colectate; să educe personalul din funcțiile-cheie în prelucrarea datelor (traininguri). Noi drepturi pentru utilizatorii ale căror date sunt prelucrate - aici vom menționa doar cele mai importante drepturi introduse, și anume: dreptul de a solicita rectificarea datelor; dreptul la ştergerea datelor; dreptul de a restricționa prelucrarea datelor; dreptul la portabilitatea datelor; dreptul de a face o cerere de acces la date (SAR); dreptul la opoziție și procesul decizional individual automatizat; dreptul de a depune o plângere în fața autorității; dreptul de a formula orice fel de cerere legată de datele personale ale sale.

- Ce sancțiuni se aplică pentru încălcarea Regulamentului?

- Nerespectarea prevederilor GDPR poate avea drept rezultat o amendă de la 10 milioane de euro la 20 de milioane de euro, respectiv între 2% şi 4% din cifra de afaceri anuală globală a companiei vizate. Amenzile vor depinde de severitatea încălcării Regulamentului şi dacă se consideră că firma a luat în serios măsurile necesare pentru asigurarea securităţii datelor. Acesta este de părere că orice persoană vizată/vătămată de utilizarea în alt scop decât cel declarat al datelor sale personale de o companie poate depune o plângere la Autoritatea Naţională de Supraveghere. În urma analizării plângerii respective, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) informează reclamantul cu privire la evoluția și la rezultatul sesizării, inclusiv la posibilitatea de a exercita o cale de atac judiciară.

„ANSPDCP monitorizează desfășurarea Regulamentului”

- Cine și cum va monitoriza buna funcționare a Regulamentului?

- Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) îşi desfăşoară activitatea în condiţii de completă independenţă şi imparţialitate. Autoritatea monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenţa Legii nr. 677/2001. În acest scop, autoritatea de supraveghere exercită următoarele atribuţii: primeşte şi analizează notificările privind prelucrarea datelor cu caracter personal; autorizează prelucrările de date în situaţiile prevăzute de lege; poate dispune, în cazul în care constată încălcarea dispoziţiilor prezentei legi, suspendarea provizorie sau încetarea prelucrării datelor, ştergerea parţială ori integrală a datelor prelucrate şi poate să sesizeze organele de urmărire penală sau să intenteze acţiuni în justiţie; informează persoanele fizice şi/sau juridice asupra necesităţii respectării obligaţiilor şi îndeplinirii procedurilor prevăzute de Legea nr. 677/2001; păstrează şi pune la dispoziţia publicului registrul de evidenţă a prelucrărilor de date cu caracter personal; primeşte şi soluţionează plângeri, sesizări sau cereri de la persoanele fizice şi comunică soluţia dată ori, după caz, demersurile făcute; efectuează controale prealabile în situaţia în care operatorul prelucrează date cu caracter personal care sunt susceptibile de a prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor; efectuează investigaţii din oficiu sau la primirea unor plângeri ori sesizări; este consultată atunci când se elaborează proiecte de acte normative referitoare la protecţia drepturilor şi libertăţilor persoanelor, în privinţa prelucrării datelor cu caracter personal etc. Autoritatea este condusă de un preşedinte a cărui funcţie este asimilată celei de secretar de stat (www.dataprotection.ro).

„Companiile de marketing vor fi cel mai afectate de aceste schimbări“

- Ce efecte au în sănătate, cât și în celelalte domenii?

- Toate organizațiile sunt obligate să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și pentru a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulile GDPR. Orice prelucrare a datelor personale trebuie să fie documentată, iar documentația trebuie să demonstreze de ce este necesară această prelucrare. De exemplu, pentru asociații, unul dintre cele mai importante aspecte este cel privind finanțarea. În cazul contractelor de sponsorizare avem ca bază legală de prelucrare a datelor personale contractul dintre părți. Asociațiile trebuie să pună în practică politici interne privind prelucrarea datelor personale.

- Când și unde se va simți prima dată impactul schimbării?

- Companiile de marketing vor fi cel mai afectate. Acestea prelucrează cele mai multe date personale pentru a putea să-și desfășoare activitatea. Foarte multe companii au început deja să informeze persoanele despre aceste modificări și să le ofere posibilitatea de a-și șterge datele personale din bazele de date.