Președinta ANSPDCP a primit un nou mandat în fruntea autorității de protecție a datelor

Dna Ancuța Opre, președinta ANSPDCP în mandatul 2013-2018 a fost ieri numită din nou în fruntea autorității române de protecție a datelor. Întreaga procedură de numire s-a desfășurat foarte rapid, iar pentru funcția de președinte dna Opre a fost singura candidată.
La mai puțin de o săptămână de când a fost audiată pe 20 octombrie de Comisia Juridică din Senat, dna Opre a primit raport favorabil de la această comisie și a fost propusă spre numire de către plenul Senatului.

Raportul Comisiei Juridice nu cuprinde nicio indicație cu privire la îndeplinirea criteriilor de independență, competență profesională, bună reputație și înaltă probitate civică impuse de Legea nr. 102/2005 care reglementează funcționarea ANSPDCP. Raportul afirmă pur şi simplu: „Comisia a constatat că doamna Ancuța Geanina Opre îndeplinește condițiile prevăzute de lege”.
În aceeași zi în care Biroul Permanent al Senatului a primit raportul Comisiei Juridice, a și avut loc votul în plen pentru numirea președintelui ANSPDCP. Dna Opre a prezentat realizările sale în acest discurs (transcriere pe baza înregistrărilor video din ședință):
“Multumesc domnule Presedinte. Stimate domnule Presedinte, doamnelor si domnilor senatori, permiteti-mi sa fac o scurta prezentare a activitatii mele in cadrul Autoritatii National pentru Protectia Datelor cu Caracter Personal”. Sunt absolventa a unei institutii de invataman superior juridic, cu o vechime de aproape 16 ani, iar incepand cu anul 2002 imi desfasor activitatea in calitate de conferentiar universitar in mediul universitar. In perioada 2013-2018 activitatea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal s-a concentrat pe indeplinirea rolului sau de garant al apararii dreptului la viata privata, cu privire la protectia datelor cu caracter personal. Incepand din anul 2013, de cand am preluat conducerea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal am urmarit in principal indeplinirea competentelor legale ale autoritatii si implementarea cadrului national necesar aplicarii Regulamentului european pentru protectia datelor. Toate aceste obiective au fost indeplinite si concretizate prin rapoartele de activitate prezentate anual, si de asemenea prin implicarea autoritarii in adoptarea celor doua acte normative necesare aplicarii Regulamentului european, si anume Legea 129/2018 si Legea 190/2018. Dupa adoptarea celor doua legi importante, autoritatea a emis acte normative, decizii cu caracter normativ destinate sa asigure efectiva aplicare a Regulamentului, dupa data de 25 mai 2018. Astfel, a fost publicata in Monitorul Oficial Procedura de solutionare a plangerilor, Formularul de notificare a incalcarilor de securitate a datelor personale, Procedura de efectuare a investigatiilor, si Lista operatiunilor ce implica evaluarea impactului asupra protectiei datelor. In continuare imi propun asigurarea continuitatii, consolidarii capacitatii instituionale si administrative a Autoritatii Nationale pentru Protectia Datelor, intensificarea masurilor de informare a publicului larg si a operatorilor in legatura cu drepturile si principiile de protectia datelor personale, emiterea de decizii cu caracter normativ necesare aplicarii Regulamentului european pentru protectia datelor, si nu in ultimul rand, asigurarea continuitatii de reprezentare a Romaniei in cadrul Comitetului European privind Protectia Datelor, a grupurilor si subgrupurilor de lucru aferente. In final, as dori sa precizez faptul ca, spre deosebire de alte state membre ale Uniunii Europene, Romania se afla printre statele care au adoptat cadrul normativ necesar aplicarii Regulamentului European la timpul potrivit. Va multumesc.”

sursa: http://www.senat.ro/Live.aspx (selectaţi “Vizualizaţi” în dreptul şedinţei din 26 noiembrie 2018)
Din senatorii prezenți, nimeni nu a avut întrebări pentru candidată. Votul a fost unul secret electronic, iar rezultatele au fost: 91 senatori prezenți, 63 pentru, 27 contra, 1 abținere.

[RO] Procedura de investigaţii ANSPDCP explicată

ANSPDCP, autoritatea română de protecţia datelor, a publicat Decizia nr. 161/2018, prin care a aprobat procedura de efectuare a investigaţiilor. Textul integral al procedurii este disponibil aici.

Echipa PrivacyOne a analizat procedura şi vă prezintă principalele elemente de avut în vedere într-un Legal Alert dedicat integral acestei teme, diponibil online aici.

Prezentarea conţine:

  • Măsurile pe care le poate dispune ANSPDCP

  • Motivele pentru care pot fi declanşate investigaţii

  • Când, unde şi cum se desfăşoară investigaţiile

  • Drepturile şi obligaţiile pe care le are personalul ANSPDCP

  • Drepturile şi obligaţiile operatorilor de date

  • Modurile în care pot fi contestat e măsurile dispuse

  • Alte aspecte importante legate de Procedura de investigaţii

 

Romanian DPA adopts DPIA List

The Romanian data protection authority (the ANSPDCP) has adopted the final list of cases which require a data protection impact assessment (DPIA).

The unofficial translation into English of the list, prepared by PrivacyOne, ca be found here.

PrivacyOne has contributed with observations on the draft DPIA list which was previously opened for public debates according to the national transparency regulations. The final list reflects some of the points we raised, such as certain terminology issues.

We underline that the list is only indicative and we recommend data controllers to always refer to the general rules in GDPR Art. 35 every time they need to decide on whether to apply a DPIA with regard to their proposed data procesing operations.

The list, which was adopted through ANSPDCP Decision no. 174/2018 on 18 October 2018 is applicable from 31 October 2018.

[RO] Transferul datelor către grupul băncii în Codul de Conduită ARB

Pe 5 noiembrie 2018 Asociaţia Română a Băncilor a publicat noul său Cod de Conduită, care se referă şi la aspecte de protecţia datelor http://www.arb.ro/codul-de-conduita/.

Codul stabileşte confidenţialitatea datelor furnizate de clienţi şi obligaţia angajaţilor băncii să protejeze aceste date. Însă, formularea legată de dezvăluirea acestor date personale către entităţi din grupul băncii (secţiunea 2.5 din Cod) poate crea confuzii:

„În vederea oferirii unor servicii de cea mai înaltă calitate, aceste date vor fi accesibile doar angajaților, inclusiv ai societăților din grupul băncilor, sau persoanelor împuternicite de bancă sau entităților autorizate în acest sens prin lege, printr-o hotărâre judecătorească sau de către client”.

Conform GDPR, o astfel de dezvăluire de date personale către alte entităţi din grupul instituţiei de credit trebuie să se bazeze pe unul din temeiurile din art. 6 GDPR (ex. consimţământ, executarea contractului, obligaţie legală).

Presupunând că oferirea unor „servicii de cea mai înaltă calitate” ar fi un interes legitim, este necesară analiza proportionalităţii faţă de atingerea adusă drepturilor şi intereselor persoanelor, iar interesul pur economic nu trece acest test (a se vedea Hotărârea CJUE Google Spain, par. 97).

  •  În niciun caz dezvăluirea nu se poate face pur şi simplu pentru oferirea de alte servicii de către entităţi din grupul băncii.
Mai amintim că băncile, ca operatori de date personale, au obligaţia conform GDPR să informeze persoanele vizate despre destinatarii datelor personale. În cazul în care aceşti destinatari sunt alţi operatori (şi nu împuterniciţi ai băncii), dezvăluirea trebuie să includă chiar denumirea entităţilor respective, iar nu doar categorii.

În final, acest Cod de Conduită nu este unul aprobat în aplicarea art. 40 GDPR şi din acest motiv nu poate fi utilizat de bănci ca element prin care să se demonstreze îndeplinirea cerințelor de securitate a prelucrării datelor personale (art. 32(3) GDPR) sau pe care să se bazeze în realizarea unei evualări de impact asupra protecţiei datelor. (art. 35(8) GDPR).