Pe langa nominalizarea operatiunilor efective pentru care este necesara aceasta evaluare de impact, Decizia nr. 174/2018 aduce o serie de precizari importante, care se regasesc sub o forma sau alta si in cuprinsul Regulamentului (UE) 679/2016.
De exemplu, in cazul in care o evaluare a impactului asupra protectiei datelor arata ca operatiunile de prelucrare implica un risc ridicat, pe care operatorul nu il poate atenua prin masuri adecvate sub aspectul tehnologiei disponibile si al costurilor implementarii, ar trebui sa aiba loc o consultare a autoritatii de supraveghere, anterior oricarei operatiuni de prelucrare .
In cuprinsul Deciziei nr. 174/2018 se mentioneaza si faptul ca "obligatia generala de a notifica prelucrarea datelor cu caracter personal autoritatilor de supraveghere nu a contribuit intotdeauna la imbunatatirea protectiei datelor cu caracter personal".
Prin urmare, prin abrogarea Directivei 95/46/CE (incepand cu data de25 mai 2018)operatorii nu mai au obligatia notificarii prelucrarilor de date . Aceasta obligatie a fost inlocuita cu alte mecanisme eficiente, inclusiv cu obligatia de a efectua evaluarea impactului asupra protectiei datelor cu caracter personal in cazurile specifice. Acesta este si motivul pentru care pe site-ul oficial al ANSPDCP exista clarificari exprese privind eliminarea obligatiei operatorilor de a notifica prelucrarile de date efectuate.
In mod general, evaluarea impactului asupra protectiei datelor cu caracter personal, cunoscuta si sub numele de DPIA sau EIPD, este necesara ori de cate ori prelucrarea de date cu caracter personal este susceptibila de a genera un risc ridicat pentru drepturile si libertatile persoanelor fizice. Astfel, DPIA/EIPD este necesara cel putin in urmatoarele cazuri:
Operatorii ar trebui sa efectueze, inainte de prelucrarea propriu-zisa, o evaluare a impactului asupra protectiei datelor, in scopul evaluarii urmatoarelor elemente:
- gradul specific de probabilitate a materializarii riscului ridicat;
- gravitatea riscului, avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii;
- sursele riscului.
In mod special, evaluarea impactului asupra protectiei datelor cu caracter personal de catre operatori este obligatorie in urmatoarele cazuri:
a) prelucrarea datelor cu caracter personal in vederea realizarii unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa;
b) prelucrarea pe scara larga a datelor cu caracter personal privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unica a unei persoane fizice, a datelor privind sanatatea, viata sexuala sau orientarea sexuala ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnari penale si infractiuni;
c) prelucrarea datelor cu caracter personal avand ca scop monitorizarea sistematica pe scara larga a unei zone accesibile publicului, cum ar fi supravegherea video in centre comerciale, stadioane, piete, parcuri sau alte asemenea spatii;
d) prelucrarea pe scara larga a datelor cu caracter personal ale persoanelor vulnerabile, in special ale minorilor si ale angajatilor, prin mijloace automate de monitorizare si/sau inregistrare sistematica a comportamentului, inclusiv in vederea desfasurarii activitatilor de reclama, marketing si publicitate;
e) prelucrarea pe scara larga a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile, cum ar fi utilizarea tehnicilor de recunoastere faciala in vederea facilitarii accesului in diferite spatii;
f) prelucrarea pe scara larga a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicatii "Internetul lucrurilor", cum ar fi smart TV, vehicule conectate, contoare inteligente, jucarii inteligente, orase inteligente sau alte asemenea aplicatii);
g) prelucrarea pe scara larga si/sau sistematica a datelor de trafic si/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografica a pasagerilor in transportul public sau alte asemenea situatii) atunci cand prelucrarea nu este necesara pentru prestarea unui serviciu solicitat de persoana vizata.
Exista doua exceptii de la obligatia de efectuare a DPIA/EIPD, respectiv:
- prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului, sau
- prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul.
Cand are un temei juridic in dreptul Uniunii sau in dreptul intern si deja s-a efectuat o evaluare a impactului asupra protectiei datelor, DPIA/EIPD nu mai este necesara.
In cuprinsul Deciziei nr. 174/2018 sunt exemplificate si doua cazuri in care DPIA/EIPD nu este obligatorie. In consecinta, cand prelucrarea se refera la date cu caracter personal de la pacienti sau clienti de catre un anumit medic, un alt profesionist in domeniul sanatatii sau un avocat, DPIA/EIPD nu este necesara.
Avocat Gherasim Andra-Madalina
15 iunie 2021 este data limita pana la care se pot depune declaratiile de avere si de interese anuale 13 Jun 2021 | 1453
Operator medical sactionat pentru divulgarea neautorizata si accesul neautorizat la datele cu caracter personal 27 Mar 2021 | 1733
Persoana fizica, in calitate de operator, sanctionata contraventional pentru dezvaluire de date cu caracter personal 15 Mar 2021 | 1563
Telekom Romania a fost sanctionat contraventional pentru incalcarea normelor GDPR 13 Jun 2020 | 1217
BCR sactionata pentru incalcarea dispozitiilor referitoare la securitatea prelucrarii datelor cu caracter personal 13 May 2020 | 1437
Prelucrarea datelor privind starea de sanatate. GDPR si CoVID-19 (coronavirus) 19 Mar 2020 | 1201
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Obtinerea unei copie a datelor cu caracter personal impune punerea la dispozitie a unei reproduceri fidele si inteligibila a tuturor acestor date Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Comunicare informatii de interes public. Excluderea de la comunicare a informatiilor ce privesc datele personale Pronuntaţă de: Curtea de Apel Iasi, Sectia Contencios administrativ si fiscal, Decizia nr. 180/10 februarie 2021
Opinie contrara: mentinerea sanctiunii pentru nedeclararea salariului confidential al membrilor de familie Pronuntaţă de: Judecatoria Sectorul 3 Bucuresti, Sentinta civila nr. 1221 din 13.02.2019
Societatilor comerciale tranzactionate pe o bursa de valori mobiliare le sunt aplicabile prevederile speciale ale Legii nr. 297/2004. GDPR actionari Pronuntaţă de: Inalta Curte de Casatie si Justitie - Decizia nr. 1733/2019