GDPR pentru institutiile publice
Autoritatile publice au o serie de drepturi si obligatii specifice in domeniul GDPR, unele chiar diferite fata de firmele private. Foarte multe articole de specialitate au abordat problema conformarii cu GDPR in cazul firmelor private, fara sa analizeze implicatiile in cazul autoritatilor publice.
Caror institutii publice li se aplica GDPR?
Legea nr. 190/2018 defineste care sunt autoritatile si organismele publice vizate de dispozitiile GDPR, respectiv: Camera Deputatilor si Senatul, Administratia Prezidentiala, Guvernul, ministerele, celelalte organe de specialitate ale administratiei publice centrale, autoritatile si institutiile publice autonome, autoritatile administratiei publice locale si deja nivel judetean, alte autoritati publice, precum si institutiile din subordinea/coordonarea acestora. Sunt asimilate autoritatilor/organismelor publice si unitatile de cult si asociatiile si fundatiile de utilitate publica.
Temeiurile de prelucrare
GDPR stabileste ca prelucrarea datelor cu caracter personal este legala numai in anumite conditii, respectiv avand la baza un temei de prelucrare. Cele mai multe firme private folosesc ca temei de prelucrare al datelor cu caracter personal consimtamantul persoanelor vizate sau executarea unui contract.
O diferenta importanta intre firmele private si institutiile publice este aceea ca acestea din urma prelucreaza datele persoanelor vizate de cele mai multe ori in temeiul legii si eventual al contractului, consimtamant fiind un temei de prelucrare destul de rar.
Desemnarea responsabilului cu protectia datelor (DPO)
Pentru firmele private obligativitatea desemnarii DPO-ului intervine doar atunci cand sunt indeplinite anumite conditii, respectiv: cand operatiunile de prelucrare presupun o monitorizare periodica, pe scara larga si ssistematica si reprezinta o activitate principala a operatorului (prin natura, domeniul de aplicare si/sau scopurile operatiunilor). Desemnarea DPO-ului este obligatorie si atunci cand operatiunile de prelucrare se refera la date speciale si reprezinta o activitate principala a operatorului.
In cazul sectorului public, pentru toate entitatile publice, fara exceptie, desemnarea unui responsabil cu protectia datelor (DPO) este obligatorie, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale.
Regimul sanctionator mai favorabil
In cazul unui control din partea Autoritatii de supraveghere (ANSPDCP) la o firma privata, Autoritatea poate sa-i aplice Operatorului direct o amenda contraventionala.
In sectorul public, indiferent de gravitatea incalcarii savarsite de catre o institutie publica, se va proceda, intotdeauna, la aplicarea sanctiunii avertismentului, urmata de stabilirea uni plan de remediere (prin care se stabileste si un termen de remediere).
Termenul de remediere se stabileste in functie de riscurile asociate prelucrarii, precum si demersurile necesar a fi indeplinite pentru asigurarea conformitatii prelucrarii. In termen de 10 zile de la data expirarii termenului de remediere, Autoritatea nationala de supraveghere poate sa reia controlul.
Cuantumul amenzilor mai redus
Pentru orice tip de societatate comerciala cuantumul maxim al unei amenzilor ce poate fi aplicat de Autoritatea de supraveghere (ANSPDCP) este de pana la 10 milioane euro sau 2% din cifra de afaceri globala din anul precedent sau pana la 20 milioane euro sau 4% din cifra de afaceri globala a anului precedent.
In cazul institutiilor publice cuantumul amenzilor este de 10.000 lei pana la 100.000 lei sau 10.000 lei pana la 200.000 lei.
Caror institutii publice li se aplica GDPR?
Legea nr. 190/2018 defineste care sunt autoritatile si organismele publice vizate de dispozitiile GDPR, respectiv: Camera Deputatilor si Senatul, Administratia Prezidentiala, Guvernul, ministerele, celelalte organe de specialitate ale administratiei publice centrale, autoritatile si institutiile publice autonome, autoritatile administratiei publice locale si deja nivel judetean, alte autoritati publice, precum si institutiile din subordinea/coordonarea acestora. Sunt asimilate autoritatilor/organismelor publice si unitatile de cult si asociatiile si fundatiile de utilitate publica.
Temeiurile de prelucrare
GDPR stabileste ca prelucrarea datelor cu caracter personal este legala numai in anumite conditii, respectiv avand la baza un temei de prelucrare. Cele mai multe firme private folosesc ca temei de prelucrare al datelor cu caracter personal consimtamantul persoanelor vizate sau executarea unui contract.
O diferenta importanta intre firmele private si institutiile publice este aceea ca acestea din urma prelucreaza datele persoanelor vizate de cele mai multe ori in temeiul legii si eventual al contractului, consimtamant fiind un temei de prelucrare destul de rar.
Desemnarea responsabilului cu protectia datelor (DPO)
Pentru firmele private obligativitatea desemnarii DPO-ului intervine doar atunci cand sunt indeplinite anumite conditii, respectiv: cand operatiunile de prelucrare presupun o monitorizare periodica, pe scara larga si ssistematica si reprezinta o activitate principala a operatorului (prin natura, domeniul de aplicare si/sau scopurile operatiunilor). Desemnarea DPO-ului este obligatorie si atunci cand operatiunile de prelucrare se refera la date speciale si reprezinta o activitate principala a operatorului.
In cazul sectorului public, pentru toate entitatile publice, fara exceptie, desemnarea unui responsabil cu protectia datelor (DPO) este obligatorie, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale.
Regimul sanctionator mai favorabil
In cazul unui control din partea Autoritatii de supraveghere (ANSPDCP) la o firma privata, Autoritatea poate sa-i aplice Operatorului direct o amenda contraventionala.
In sectorul public, indiferent de gravitatea incalcarii savarsite de catre o institutie publica, se va proceda, intotdeauna, la aplicarea sanctiunii avertismentului, urmata de stabilirea uni plan de remediere (prin care se stabileste si un termen de remediere).
Termenul de remediere se stabileste in functie de riscurile asociate prelucrarii, precum si demersurile necesar a fi indeplinite pentru asigurarea conformitatii prelucrarii. In termen de 10 zile de la data expirarii termenului de remediere, Autoritatea nationala de supraveghere poate sa reia controlul.
Cuantumul amenzilor mai redus
Pentru orice tip de societatate comerciala cuantumul maxim al unei amenzilor ce poate fi aplicat de Autoritatea de supraveghere (ANSPDCP) este de pana la 10 milioane euro sau 2% din cifra de afaceri globala din anul precedent sau pana la 20 milioane euro sau 4% din cifra de afaceri globala a anului precedent.
In cazul institutiilor publice cuantumul amenzilor este de 10.000 lei pana la 100.000 lei sau 10.000 lei pana la 200.000 lei.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Obligatiile persoanelor juridice
08Oct2019
Implicatiile GDPR asupra personalului de conducere din cadrul unei companii
de Colectivul de Specialisti Rentrop&Straton
08 Oct 2019
07Oct2019
Masuri tehnice necesare pentru alinierea la GDPR
de Colectivul de Specialisti Rentrop&Straton
07 Oct 2019
01Oct2019
Perioada pentru care datele cu caracter personal sunt stocate
de Colectivul de Specialisti Rentrop&Straton
01 Oct 2019
14Aug2019
GDPR obliga la aplicarea de “masuri tehnice si organizatorice adecvate†sub sanctiunea amenzii.
de Colectivul de Specialisti Rentrop&Straton
14 Aug 2019
Un produs marca