Recomandări practice în legătură cu modificările Legii nr. 133/2011 privind protecția datelor cu caracter personal

Recomandări practice în legătură cu modificările Legii nr. 133/2011 privind protecția datelor cu caracter personal

La 10 ianuarie 2022 a intrat în vigoare Legea nr. 175 din 11 noiembrie 2021 care modifică un șir de legi, printre care și Legea privind protecția datelor cu caracter personal nr. 133/2011.

  1. Consimțământul

Odată cu intrarea în vigoare a legii dispare obligativitatea de a obține consimțământul subiectului datelor cu caracter personal exclusiv în formă scrisă sau electronică. Potrivit modificărilor, consimțământul devine o manifestare de voință liberă, specifică, informată şi lipsită de ambiguitate a subiectului de date prin care acesta acceptă, printr-o declarație sau printr-o acțiune fără echivoc prelucrarea datelor.

Dacă intenția legiuitorului național este de a armoniza noțiunea respectivă cu cea din Regulamentul General privind Protecția Datelor 2016/679 din 27 aprilie 2016 al Parlamentului European și al Consiliului (GDPR), considerăm că sintagma „printr-o declarație sau printr-o acțiune fără echivoc” include consimțământul acordat în formă scrisă, electronică sau verbală.

Potrivit GDPR „acțiunea neechivocă” prin care este manifestat consimțământul poate fi de exemplu o declarație făcută în scris, inclusiv în format electronic (e.g. bifarea acordului într-un formular on-line), sau verbal. Fiecare formă de manifestare a consimțământului urmează să fie probată de către operator. În acest context, forma verbală este vulnerabilă mai cu seama pentru prelucrarea datelor cu caracter special.

  1. Excluderea notificării

Din 10 ianuarie 2022 dispare obligația operatorilor de date cu caracter personal să notifice Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) toate sistemele pe care le dețin.

Recent CNPDCP a publicat un comunicat pe pagina sa web unde a menționat că odată cu intrarea în vigoare a modificărilor Legii nr. 133/2011 urmează a fi abrogat art. 28 din această lege, iar Registrul de evidență urmează să fie radiat până la
10 februarie 2022. Astfel, toate notificările efectuate până în prezent nu mai au nici o valoare juridică.

Este logic să ne întrebăm cum vor gestiona operatorii datele cu caracter personal în sistemele interne și ce obligații le rămân? Operatorii de date cu caracter personal și persoanele împuternicite de către aceștia după modificarea Legii nr. 133/2011 pe lângă toate obligațiile care au existat urmează să își asume și anumite obligații noi.

  1. Persoana împuternicită

Similar cu prevederile GDPR operatorii entități private sunt obligați să desemneze persoana responsabilă de protecția datelor dacă activitățile principale presupun prelucrarea pe scară largă a unor categorii speciale de date, sau operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a subiecților de date pe scară largă.

În scopul conformării cu această obligație vă recomandăm desemnarea persoane responsabile de prelucrarea datelor. Desemnarea are loc prin ordin intern. Persoana responsabilă de prelucrarea datelor poate activa în cadrul de companiei ori poate să îndeplini aceste obligații în baza unui contract de prestări servicii.

Dacă un salariat este desemnat ca persoană responsabilă de prelucrarea datelor, aceste atribuții trebuie incluse în fișa postului. În contractele de prestări servicii încheiate cu persoana responsabilă poate fi negociată o clauză de despăgubire pentru situațiile când Operatorul  este sancționat pentru neexecutarea obligațiilor.

Persoana responsabilă de prelucrarea datelor este desemnată pe baza calităților profesionale și, în special, a cunoștințelor de specialitate privind reglementările și practicile din domeniul protecției datelor, iar datele de contact ale acesteia sunt publice. Din acest motiv recomandăm indicarea în contractele încheiate cu alți parteneri de afaceri numelui persoanelor responsabile de prelucrarea datelor din fiecare companie.

Persoana responsabilă de protecția datelor va consulta operatorul și va elibera un aviz acestuia în cazul efectuării evaluării impactului asupra datelor. Aceasta va fi responsabilă de cooperarea cu CNPDCP și va fi punctul de contact pentru Centru privind aspectele legate de prelucrarea datelor, inclusiv consultarea prealabilă, precum și, după caz, consultarea cu privire la alte chestiuni.

  1. Evaluarea impactului asupra protecției datelor 

O altă obligație a operatorilor este evaluarea impactului asupra protecției datelor. Evaluarea este obligatorie când prelucrarea datelor cu caracter personal este susceptibilă să genereze un risc sporit pentru drepturile și libertățile persoanelor. CNPDCP va întocmi și va publica  o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor.

Evaluarea va conține:

  1. descrierea sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării datelor, inclusiv, după caz, a interesului legitim urmărit de operator;
  2. evaluarea necesității și proporționalității operațiunilor de prelucrare în legătură cu scopurile respective;
  3. evaluarea riscurilor pentru drepturile și libertățile subiecților de date, în special originea (sursa), natura, gradul specific de probabilitate a materializării riscului sporit și gravitatea acestui risc. Rezultatul evaluării se ia în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu caracter personal respectă Legea nr. 133/2011;
  4. măsurile de prevenire a riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu prevederile Legii nr. 133/2011, luând în considerare drepturile și interesele legitime ale subiecților de date și ale altor persoane interesate.

În cazul în care evaluarea impactului asupra protecției datelor arată că prelucrarea ar genera un risc sporit, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile și al costurilor implementării, operatorul va înainta o cerere de consultare către CNPDCP înainte de prelucrarea datelor.

Centrul va răspunde în scris cererii de consultare în cel mult 8 săptămâni de la primirea cererii. Această perioadă poate fi prelungită cu 6 șase săptămâni în cazuri complexe. Prelungirea perioadei trebuie să fie motivată.

Scopul auditării cu privire la nivelul de conformitate a activității și organizării unei companii cu cerințele Legii nr. 133/2011și Regulamentului General privind

Protecția Datelor este apropierea de mediul de afaceri european care a implementat aceste obligații și le solicită și partenerilor externi.

Dacă aveți nevoie de o consultație sau dacă vreți să aflați care este gradul de conformitate a companiei Dvs. cu rigorile de protecție a datelor personale, vă rugăm să ne contactați la telefon +373 22 855 559 sau la e-mail: inna.sotchi@bsp.md sau contact@bsp.md.