Pe 27 aprilie 2016 a fost publicat în Jurnalul Oficial al Uniunii Europene Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul“), noua reglementare urmând a se aplica în statele membre UE începând cu data de 25 mai 2018.

 

Adoptarea Regulamentului reprezintă un pas important în conturarea unui cadru unitar și bine reglementat la nivelul Uniunii Europene în ceea ce privește prelucrarea datelor cu caracter personal și protecția persoanelor cu privire la astfel de prelucrări, menținând în același timp libera circulație a acestor date. Noua reglementare asigură totodată tratarea, prin modificările substanțiale pe care le aduce, unor problematici apărute de-a lungul timpului în practică, în special referitor la securitatea datelor personale în cadrul transferurilor internaționale sau respectarea obligațiilor operatorilor de profil atât în raport cu persoanele vizate cât și cu autoritatea de resort. Un aspect extrem de important ce trebuie subliniat, legat de noua reglementare, ține de nivelul ridicat al sancțiunilor prevăzute în cazul nerespectării dispozițiilor acesteia, legiuitorul european punând astfel accentul pe importanţa crescută a acestui domeniu în contextul creșterii volumului de date procesate în legătură cu activități comerciale. Astfel, pentru efectuarea de operațiuni de prelucrare de date personale fără respectarea prevederilor Regulamentului pot fi aplicate amenzi în valoare de până la 20 de milioane de euro sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri mondială totală din exercițiul financiar anterior celui în care este aplicată sancțiunea.

 

De când se aplică

Având în vedere că Regulamentul nu prevede o altă perioadă de tranziție în care operatorii și persoanele împuternicite să aibă posibilitatea de a-și alinia activitățile de prelucrare de date pe care le efectuează cu prevederile Regulamentului, aceasta urmând a se aplica direct de la data de 25 mai 2018, este necesar ca toți operatori de date și persoanele împuternicite să inițieze şi să finalizeze, în cei aproximativ doi ani rămași până la data în care noua reglementare devine aplicabilă, toate demersurile necesare pentru a efectua operațiunile de conformare necesare. În ceea ce privește noua reglementare, se remarcă totodată şi aria sa extinsă de aplicabilitate din punct de vedere teritorial, acesta urmând a reglementa nu numai operațiunile de prelucrare de date personale efectuate de operatori din Uniunea Europeană, ci și, în anumite condiții, prelucrările de date efectuate de către entități stabilite în afara Uniunii.

Legat de transferul datelor cu caracter personal, Regulamentul instituie noi garanții ce asigură protecția adecvata a respectivelor date supuse transferului, garanții dintre care merită menționate codurile de conduită şi mecanismele de certificare, însoțite de angajamente obligatorii și executorii ale operatorilor și persoanelor împuternicite din statul de destinație de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate. Pe lângă funcția de garanție adecvată pentru transferul de date cu caracter personal în străinătate, codurile de conduită au ca scop adaptarea aplicării Regulamentului în funcție de nevoile specifice fiecărui caz în parte, iar mecanismele de certificare vin să probeze respectarea de către operatori și persoanele împuternicite de către aceștia a dispozițiilor noii reglementări.

Cu caracter de noutate, impunerea numirii unui responsabil cu protecția datelor reprezintă o altă modificare de esență a legislației privind protecția datelor cu caracter personal instituită de Regulament. Astfel, operatorul și persoana împuternicită trebuie să desemneze un astfel de responsabil cu protecția datelor în anumite cazuri expres prevăzute, îndeosebi in situația în care activităţile operatorului sau ale persoanei împuternicite implică prelucrări ce necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă. Responsabilul trebuie sa aibă calități profesionale adecvate, precum și cunoștințe teoretice și practice în domeniu, urmând a gestiona pentru operatorii de date problemele specifice din domeniul utilizării si protecției datelor cu caracter personal și să asigure o comunicare adecvată atât cu persoanele vizate, cât și cu autoritatea de supraveghere.