Consultanta GDPR

Legislatia UE referitoare la protectia datelor a fost modificata in mai 2016, iar Regulamentul 2016/679 legat de protectia persoanelor fizice, in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, este direct aplicabil in toate tarile UE incepand cu data de 25 mai 2018.

Regulamentul are un impact semnificativ in toate sectoarele de activitate.

Este necesar ca toate companiile sa isi revizuiasca programele actuale de conformitate a protectiei datelor, astfel incat sa-si identifice problemele si sa implementeze modificarile in activitatea lor.

Serviciile noastre de consultanta juridica legate de implementarea GDPR implica: 

– Identificarea problemelor din cadrul companiei tale legate de impactul prevederilor GDPR; 

– Evaluarea situatiei si pregatirea planului de actiune pentru remedierea problemelor; 

– Asistenta juridica in legatura cu implementarea solutiilor.

Raspuns: Depinde de situatie.

Iata in continuare cateva exemple privind REGULA si EXCEPTIILE.

Regula este că GDPR nu se aplică activităților exclusiv personale sau domestice. Ca să explic regula de mai sus, voi da un exemplu: la petrecerea de Crăciun, prietenul tău Alin, după câteva shot-uri, sărută o altă fată decât prietena lui, iar tu surprinzi momentul pe cameră. Presupunând că petrecerea de Crăciun este un mediu exclusiv sau domestic (doar cu persoane din anturaj) și nu o petrecere publică sau o petrecere a unei companii și nu urmează să faci nimic cu acel material video, ci doar să îl păstrezi în telefon, GDPR nu se va aplica, iar tu nu poți fi amendat, în absența altor factori. Dar cum excepția activităților exclusiv personale sau domestice este de strictă interpretare și dacă datele speței se schimbă este posibil să fii amendat sau nu în temeiul GDPR, în funcție de contextul clar: este contextul exclusiv domestic sau nu? Iata in continuare 5 situatii: Situația #1. Alin este un coleg de muncă Să presupunem că petrecerea nu este organizată de o companie, ci de tine și de prietenii tăi, dar pentru că Alin, colegul tău de la muncă îți este prieten foarte bun, este invitat la petrecere și își face de cap. Având în vedere că natura relației tale cu Alin nu este exclusiv personală, ci este și una profesională, atunci contextul iese din sfera excepției GDPR, iar tu poți fi amendat de GDPR, dacă Alin decide să îți facă o plângere la ANSPDCP. Situația #2. Petrecerea este organizată de compania la care lucrezi Dacă petrecerea este organizată de o companie, indiferent că lucrezi la ea sau ești un simplu invitat, GDPR se va aplica, iar tu poți fi amendat de ANSPDCP dacă filmezi o persoană fără acordul ei sau nu ai alt temei legal. În principiu, în această situație, companiile ar trebui să se asigure să obțină consimțământul tuturor persoanelor la petrecere pentru a apărea în filmări sau să se bazeze pe interes legitim dacă un astfel de interes este justificat după o analiză prealabilă. În oricare situație, persoanele trebuie informate cu privire la posibilitatea ca evenimentul să fie înregistrat audio-video prin intermediul unei note de informare care poate fi afișată la intrarea la eveniment sau comunicată prin alte canale (de exemplu, pe e-mail) participanților. Situația #3. Petrecerea este privată, dar tu postezi materialul pe Facebook În această situație, nu este niciun fel de context profesional sau comercial. Alin îți este doar prieten, iar petrecerea este privată, dar, având în vedere că Facebook este un spațiu public conform Înaltei Curți de Casație și Justiție, GDPR se va aplica, iar tu poți fi amendat în temeiul GDPR. Aceeași este situația și celorlalte rețele de socializare: LinkedIn, Youtube, Instagram etc. Situația #4. Petrecerea este privată, iar tu trimiți materialul în privat unui alt prieten Întrucât în această situație nu există un context profesional de nicio natură, iar natura conversației este privată, GDPR nu se va aplica, iar tu nu poți fi amendat de GDPR, dar nu este etic. Deși nu poți fi amendat în temeiul GDPR, poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat. Cu toate acestea, dacă persoana care primește materialul decide să o facă publică, ea poate fi amendată de GDPR. De asemenea, dacă persoana căreia îi trimiți filmarea este un coleg de muncă al lui Alin, contextul pur domestic dispare, iar tu poți fi amendat de GDPR. Situația #5. Petrecerea este privată, iar tu trimiți materialul prietenei lui Alin Cu excepția situației când prietena lui Alin este și colega lui de muncă sau există un alt raport profesional între ei, tu nu poți fi amendat în temeiul GDPR, dar poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat. Concluzii În principiu, GDPR nu intervine în situații amicale sau domestice, cu toate acestea, așa cum am văzut în exemplele de mai sus, linia dintre domestic și non-domestic este foarte subțire și chiar și în situația în care GDPR nu se aplică, putem fi trași la răspundere pentru prejudiciul cauzat în temeiul legislației civile. Situațiile au fost construite pornind de la exemplul inițial, dar dacă exemplul ar fi fost altul: ca de exemplu, Alin ar fi fost violent față de o persoană, cu siguranță că am fi avut un temei să îl filmăm și să transmitem materialul către organele abilitate. Cu toate acestea, chiar și în această situație, putem fi amendați de GDPR dacă publicăm filmulețul pe internet. Dreptul la viață privată este rezervat oricui și nu distinge între o persoană cu o conduită morală înaltă sau o persoană fără o astfel de conduită. Dreptul la viață privată capătă importanță din ce în ce mai mare în actualul context digital și înainte să facem o mișcare care ar putea afecta viața privată a unei persoane, ar trebui să ne punem întrebarea dacă acțiunea noastră este etică sau nu. Nefiind o acțiune etică, pot exista consecințe juridice, chiar dacă nu neapărat în temeiul GDPR. În principiu, când e vorba de viața privată, atunci când o acțiune nu este etică, în principiu, nu respectă Regulamentul.

Informare si consimtamant.

Datele personale ale copiilor necesită o protecție sporită. Cu privire la modalitatea prelucrării, informațiile și comunicările trebuie să fie făcute în limbaj simplu, clar, în așa fel încât un copil să le poată înțelege cu ușurinta. Definiția termenului ,, copil” este reflectată prin intermediul Legii nr. 272/2004 privind protecția și promovarea drepturilor copilului. Astfel, conform art. 4, prin ,,copil” vom înțelege persoana care nu a împlinit vârsta de 18 ani și nu a dobândit capacitatea deplină de exercițiu. Conform prevederilor GDPR, copil înseamnă persoana sub 16 ani, iar datele copiilor sub 16 ani necesită o protecție sporită. Conform cadrului legislativ intern, în speță Legea nr. 272/2004 privind protecția și promovarea drepturilor copilului, art. 18, anumite informații privind copilul vor respecta principiul confidențialității și a dispozițiilor privind transmiterea informațiilor cu caracter personal. Informațiile cărora li se aplică aceste precepte sunt următoarele: – Informațiile ce privesc părintele sau altă/alte persoane ce au dreptul de a menține relații personale cu copilul; – Informațiile referitoare la copil atunci când sunt transmise de către persoana la care locuiește copilul, incluzând în această categorie fotografii, evaluări medicale, evaluări școlare, către părinte sau altă/alte persoane ce au dreptul de a menține întâlniri personale cu copilul.La nivel internațional, Regulamentul privind Protecția Datelor cu Caracter Personal (RGDP), implementat la nivel național, prevede dispoziții ce vizează protecția copiilor în materie de date cu caracter personal.Conform art. 8, atunci când sunt avute în vedere serviciile societății informaționale în mod direct către un copil, prelucrarea este una legală numai dacă copilul are cel puțin vârsta de 16 ani.In caz contrar, dacă acesta are sub 16 ani, prelucrarea va fi legală numai în măsura în care consimțământul său este fie acordat, fie autorizat de titularul răspunderii părintești asupra copilului.

 Se pune urmatoarea intrebare: Poate avea acces intr-o functie publica o persoana care a fost supusă unei proceduri de internare voluntară în cadrul unei instituții medicale psihiatrice, pe fondul dezvoltării unei depresii? Această internare s-a finalizat cu ,,vindecarea” persoanei, dar datele personale au rămas stocate în cadrul dosarului electronic al pacientului. Este necesară protecția acestor date, sau acestea sunt exceptate de la protecția reglementată prin intermediul Regulamentului privind protecția datelor cu caracter personal? În această situație este relevantă Legea nr. 45/2019 pentru modificarea și completarea Legii nr. 95/2006 privind reforma în domeniul sănătății, care face trimitere către Regulamentului privind protecția datelor cu caracter personal, cunoscut sub denumirea de GDPR. Conform prezentei legi, facem trimitere la următorul cadru normativ: 1. Sistemul DES (Dosar Electronic de Sănătate) este un serviciu public furnizat de CNAS, pentru toți pacienții care, potrivit prevederilor titlului VIII, sunt asigurați ai sistemului de asigurări sociale de sănătate și pentru toți furnizorii de servicii medicale pe toate tipurile de asistență medicală, indiferent dacă se află sau nu în relație contractuală cu o casă de asigurări de sănătate. Acest serviciu urmează să fie utilizat gradual de la data implementării în sistemul DES a funcționalităților specifice fiecărui tip de asistență medicală. 2. Prelucrarea datelor cu caracter personal în cadrul DES, ca parte componentă a Platformei informatice din asigurările de sănătate, se realizează cu respectarea prevederilor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), precum și a celorlalte prevederi legale în vigoare privind prelucrarea datelor cu caracter personal. 3. CNAS adoptă măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel corespunzător de securitate și confidențialitate a datelor, în acord cu prevederile art. 32 din Regulamentul general privind protecția datelor. 4. Datele și informațiile din DES prevăzute la alin. (2) sunt accesibile medicilor numai cu consimțământul pacienților, cu excepția datelor și informațiilor din modulul «Sumar de urgență», care sunt accesibile medicilor care își desfășoară activitatea într-o structură de urgență, respectiv camera de gardă, UPU, CPU și serviciile de ambulanță și medicilor care își desfășoară activitatea în asistență medicală primară, numai în vederea realizării actului medical, fără a fi necesar consimțământul pacientului. 5. Consimțământul pacientului pentru vizualizarea de către medici a datelor și a informațiilor din DES se exprimă astfel: (1) înainte de prezentarea la medic – de către pacient, prin configurarea drepturilor de acces la secțiunea dedicată din cadrul propriului dosar sau de către reprezentantul legal, prin configurarea drepturilor de acces în secțiunea dedicată din dosarul electronic de sănătate al pacientului pe care îl reprezintă; sau (2) la prezentarea la medic – prin utilizarea, în prezența medicului, de către pacient sau reprezentantul său legal, a matricei de securitate sau, după caz, a cardului național de asigurări sociale de sănătate și codului PIN asociat acestuia. CONCLUZIA: Utilizarea sau orice altă prelucrare a datelor și informațiilor din DES de către furnizorii de servicii medicale, în alt scop decât cel prevăzut în prezentul text de lege, precum și orice altă încălcare a reglementărilor legale privind protecția datelor cu caracter personal se sancționează potrivit prevederilor Regulamentului general privind protecția datelor, precum și a celorlalte prevederi legale în vigoare privind prelucrarea datelor cu caracter personal.