Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

X

Deblocare automata cont

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Cont abonat Creare cont nou
Soft Legislativ Legis PLUS Business. Aveti la dispozitie toata baza de date legislativa din Monitorul Oficial plus sute de modele de contracte, cereri si acte, alaturi de toate Codurile din Romania si legislatia europeana la zi!
Portal actualizat la 28 Martie 2024 Un produs marca Rentrop&Straton

Aplicarea prevederilor Regulamentului pentru Protectia Datelor (GDPR) in Institutiile Publice

Raspuns oferit de Portal Institutii Publice
Portal Institutii Publice
contabil

Institutiile publice trebuie sa respecte si sa aplice prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a directivei 95/46/CE?

Raspunsul nostru la aceasta intrebare este, cu siguranta, da.

Dupa cum se precizeaza in preambulul Regulamentului, evolutiile tehnologice rapide si globalizarea au generat noi provocari pentru protectia datelor cu caracter personal.

Amploarea colectarii si a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite atat societatilor private, cat si autoritatilor publice sa utilizeze date cu caracter personal la un nivel fara precedent in cadrul activitatilor lor.

Aceste evolutii impun un cadru solid si mai coerent in materie de protectie a datelor, insotit de o aplicare riguroasa a normelor, luand in considerare importanta crearii unui climat de incredere care va permite economiei digitale sa se dezvolte pe piata interna a Uniunii Europene. Persoanele fizice ar trebui sa aibă control asupra propriilor date cu caracter personal, iar securitatea juridica si practica pentru persoane fizice, operatori economici si autoritati publice ar trebui sa fie consolidata.

Prelucrarea datelor cu caracter personal de catre institutiile publice are, de cele mai multe ori, un temei legal continut in acte normative, in vederea respectarii unei obligatii legale sau a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul institutie publica, incadrandu-se in prevederile art. 6 alin. (1) lit. c) si e) din Regulament.

De principiu, institutiile publice prelucreaza cantitati mari de date cu caracter personal, de exemplu, in vederea aplicarii legislatiei privind ocuparea fortei de munca, asistenta si protectia sociala, asigurari sociale, fiscalitate, precum si in scopuri de securitate, supraveghere si alerta in materie de sanatate, dar si date personale ale salariatilor proprii sau chiar ale petentilor care adreseaza diverse cereri catre institutiile publice.

Prin urmare, institutiile publice trebuie si ele sa se asigure ca datele cu caracter personal sunt prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.

Responsabilul cu protectia datelor in institutiile publice

De altfel, in cazul institutiilor publice, Regulamentul prevede obligativitatea desemnarii unui responsabil cu protectia datelor. Astfel, la art. 37 alin. (1) lit. a) din Regulament se prevede ca operatorul sau persoana imputernicita de operator, desemneaza un responsabil cu protectia datelor, cand prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor de judecata care actioneaza in exercitiul functiei lor jurisdictionale.

Dupa cum putem observa, regula generala stabilita de Regulament, pe care trebuie sa o respecte autoritatile/institutiile publice, este aceea a desemnarii unui responsabil cu protectia datelor, exceptia fiind stabilita in cazul instantelor de judecata (desi aceasta prevedere nu impiedica instantele de judecata sa desemneze un responsabil cu protectia datelor din proprie initiativa, in situatia in care considera necesar acest demers).

Tot in cazul institutiilor publice, Regulamentul prevede la art. 37 alin. (3) ca poate fi desemnat un responsabil cu protectia datelor unic pentru mai multe dintre autoritatile sau organismele publice, luand in considerare structura organizatorica si dimensiunea acestora.

Apreciem ca responsabilul cu protectia datelor este foarte util institutiilor publice (ca si celorlalte categorii de operatori), avand in vedere si sarcinile stabilite pentru aceasta persoana chiar prin Regulament.

Astfel, responsabilul cu protectia datelor informeaza si consiliaza institutia, dar si angajatii acesteia care prelucreaza date cu caracter personal, asupra obligatiilor ce le revin in temeiul Regulamentului dar si a altor reglementari interne sau europene in domeniul protectiei datelor.

De asemenea, monitorizeaza respectarea in cadrul institutiei publice a prevederilor Regulamentului si a celorlalte reglementari interne sau europene in domeniul protectiei datelor cu caracter personal. Furnizeaza si consiliere cu privire la evaluarea impactului asupra protectiei datelor cu caracter personal.

Nu in ultimul rand, responsabilul pentru protectia datelor coopereaza cu Agentia Nationala pentru Supraveghere a Protectiei Datelor cu Caracter Personal, el fiind in acelasi timp si punct de contact pentru ANSPDCP in cadrul institutiei in care isi desfasoara activitatea.

Evaluarea impactului asupra protectiei datelor la institutiile publice

Institutiile publice trebuie sa aplice prevederile Regulamentului si in ceea ce priveste realizarea unor analize/evaluari ale impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal – art. 35 din Regulament. 

Referitor la acest aspect, la alin. (10) al art. 35 din Regulament se prevede ca ”Atunci cand prelucrarea in temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic in dreptul Uniunii sau al unui stat membru sub incidenta caruia intra operatorul, iar dreptul respectiv reglementeaza operatiunea de prelucrare specifica sau setul de operatiuni specifice in cauza si deja s-a efectuat o evaluare a impactului asupra protectiei datelor ca parte a unei evaluari a impactului general in contextul adoptarii respectivului temei juridic, alineatele (1)-(7) nu se aplica, cu exceptia cazului in care statele membre considera ca este necesara efectuarea unei astfel de evaluari inaintea desfasurarii activitatilor de prelucrare.”

Astfel, realizarea unor analize/evaluari ale impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal nu este necesara in cazul respectarii unei obligatii legale sau a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice (situatii in care se incadreaza institutiile publice) daca, spre exemplu, operatiunile de prelucrare sunt clar prevazute intr-un act normativ, iar in procesul de adoptare a acelui act normativ s-a realizat deja o evaluare a impactului din perspectiva protectiei datelor.

In orice caz, ANSPDCP are obligatia de a intocmi si publica o lista a tipurilor de operatiuni care fac obiectul cerintei de realizare a unei evaluari a impactului din perspectiva protectiei datelor cu caracter personal.

Implementarea unor masuri tehnice si organizatorice de asigurare a securitatii prelucrarii datelor cu caracter personal

Asa cum am precizat si mai sus, institutiile publice trebuie si ele sa se asigure ca datele cu caracter personal sunt prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.

Asemenea masuri ar putea fi:

  • Actualizarea procedurilor operationale/de lucru in sensul stabilirii si implementarii masurilor pentru asigurarea securitatii bazelor de date electronice impotriva accesului neautorizat (atat din exteriorul institutiei, cat si din interiorul acesteia) si pentru semnalarea accesului neautorizat, pentru asigurarea pastrarii si arhivarii corecte a dosarelor continand date cu caracter  personal;
  • Actualizarea/elaborarea procedurilor operationale/de lucru sau elaborarea de proceduri specifice care sa abordeze gestionarea datelor personale: cum se face aceasta, cine si in ce conditii este autorizat sa colecteze si sa prelucreze date personale;
  • Sa introduca in Regulamentul intern al institutiei prevederi referitoare la protectia datelor personale, inclusiv legate de sanctiuni disciplinare aplicabile in cazul incalcarii dreptului persoanelor la protectia datelor personale;
  • Sa stabileasca includerea de clauze de confidentialitate in contractele individuale de munca ale persoanelor autorizate, sa colecteze si sa prelucreze date personale indiferent daca acestea sunt ale salariatilor proprii sau ale diferitelor categorii de beneficiari ai serviciilor publice. In cazul personalului constituit din functionari publici, sa analizeze oportunitatea incheierii unor acorduri de confidentialitate cu privire la gestionarea datelor cu caracter personal.

Mai facem precizarea ca in Parlament se afla in procedura de adoptare un proiect de Lege privind masuri de punere in aplicare a prevederilor Regulamentului (UE) 2016/679 in care se prevede ca in aplicarea Regulamentului, autoritatile si organismele sunt camera Deputatilor si Senatul, Administratia Prezidentiala, Guvernul, ministerele, celelalte organe de specialitate ale administratiei publice centrale, autoritatile si institutiile publice autonome, autoritatile administratiei publice locale si de la nivel judetean, alte autoritati publice precum si institutiile din subordinea/coordonarea acestora. 

Tot in acest proiect de lege se prevad si masuri corective si sanctiuni contraventionale ce pot fi aplicate organismelor si institutiilor publice in cazul constatarii incalcarii de catre acestea a prevederilor Regulamentului.

Proiectul de lege a fost adoptat de Camera Deputatilor, fiind in prezent in procedura de adoptare la Senat si urmeaza a intra in vigoare la 5 zile dupa publicarea in Monitorul Oficial al Romaniei.

04 Iun 2018

x