Proiectul de lege (propunerea legislativă privind măsuri de punere în aplicare a Regulamentului nr. 679/2016 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC) va fi dezbătut acum de Senat, camera decizională. Regulamentul trebuie aplicat începând cu 25 mai 2018.
Față de forma inițiată în Parlament, cele mai multe amendamente aduse proiectului de lege de Comisia juridică din camera Deputaţilor sunt legate de aplicarea măsurilor coercitive pentru autoritățile și instituțiile publice care nu respect prevederile, printre acestea numărându-se cele două camera ale Parlamentului, Administrația Prezidențială, Guvernul și celelelalte ministere, precum și autoritățile publice locale, centrale, autonome, etc.
Sancțiunile nu vor fi dat la prima abatere, ci se va da o mustrare mai întâi, un plan de remediere cu termen-limită ce poate fi prelungit la cerere, apoi se reia controlul şi abia în ultimă instanţă se va da amendă.
“Art. 11. – (1) În cazul constatării încălcării prevederilor Regulamentului general privind protecţa datelor şi ale prezentei legi de către autorităţle/organismele publice, ANSPDCP încheie un proces-verbal de constatare şi sancţonare a contravenţei prin care se aplică sancţunea mustrării şi la care anexează un plan de remediere.
(2) Termenul de remediere se stabileşte în funcţe de riscurile asociate prelucrării, precum şi demersurile necesar a fi îndeplinite pentru asigurarea conformităţi prelucrării.
(3) În termen de 10 zile de la data expirării termenului de remediere, ANSPDCP poate să reia controlul.
(4) În cazul în care autoritatea/organismul public constată că nu poate îndeplini în termenul stabilit, din motive întemeiate, o parte din măsurile dispuse prin planul de remediere, notifică ANSPDCP cu privire la acest aspect cu cel puţn 10 zile înainte de expirarea termenului, putând solicita totodată prelungirea termenului iniţal.”
Un alt amendament privește faptul că prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimţământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în baza unor dispoziţii legale exprese, cu instituirea unor măsuri corespunzătoare. Proiectul iniţial interzicea prelucrarea acestor date, cu excepţia prelucrărilor efectuate de şi sub controlul autorităţilor publice, în limitele legale şi în condiţii stabilite prin legi speciale, iar interdicţia să nu poată fi ridicată prin consimţământul persoanei vizate.
De asemenea, deputații din comisie au mai stabilit ca prelucrarea unui număr de identificare naţional inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin în scopul realizării intereselor legitime urmărite de operator sau de o parte terţă se efectuează de către operator sau o parte terţă cu instituirea următoarelor garanţii:
punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal;
numirea unui responsabil pentru protecţia datelor;
stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii.
În cazul în care sunt folosite sistemele video, de monitorizare, de supraveghere la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor în scopul realizării intereselor legitime urmărite de angajator este permisă numai dacă:
interesele angajatorilor sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
angajatorul a realizat informarea prealabilă obligatorie completă şi în mod explicit a angajaţilor;
angajatorul a consultat sindicatul înainte de introducerea sistemelor de monitorizare, precum şi dacă alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului nu şi-a dovedit eficienţa.
În aceste cazuri, durata de stocare a datelor este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate. Pentru nerespectarea acestei prevederi, sancțiunile sunt avertismentul scris urmat de amenda contravențională.