Cu ocazia celebrării a 2 ani de la aplicarea directă a RGPD în România, Silvia Uscov (Avocat) și Ruxandra Sava (Avocat) au transmis către ANSPDCP, în temeiul art. 51 din Constituția României, o petiție către ANSPDCP prin care solicită a se răspunde la 23 de întrebări pentru interpretarea și aplicarea unitară a GDPR cu privire la subiectul termoscanării. Cele două avocate sunt de părere că ar trebui găsit un echilibru între protecția sănătății și protecția datelor cu caracter personal și consideră necesară intervenția ANSPDCP deoarece, în prezent, este autoritatea publică al cărei punct de vedere contează în privința termoscanării.
ANSPDCP a răspuns în termenul legal petiției, spunând faptul că dacă datele cu caracter personal prelucrate (temperatura corpului) se înregistrează, GDPR devine aplicabil, iar pentru nerespectarea obligațiilor în temeiul GDPR, operatorii publici și privați riscă sancțiuni corective sau amenzi care pot ajunge până la 4% din cifra de afaceri. Dacă datele privind temperatura nu se înregistrează, GDPR nu se aplică.
Răspunsul ANSPDCP integral poate fi descărcat aici.
Extras din răspunsul ANSPDCP:
„(…) Prin urmare, numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se colectează, înregistrează, stochează, etc. într-un sistem de evidență, potrivit diferitelor mijloace de prelucrare, dispozițiile Regulamentului (UE) 2016/679 devin aplicabile.”
Opinia comună a specialistelor (Ruxandra Sava și Silvia Uscov): „Deși putem cădea ușor în capcana de a afirma că termoscanarea nu înregistrează datele, trebuie să avem în vedere că unele dispozitive (de exemplu camere termografice cu soft integrat sau dispozitive de tip wearable) înregistrează datele personale by default. Totodată, chiar și în situația în care se utilizează un termometru digital non-contact (fără soft integrat) putem vorbi de un proces de înregistrare a datelor, dacă aceste date se coroborează cu alte date (de exemplul imaginile colectate prin CCTV)”
Extras din răspunsul ANSPDCP:
„(…) Totodată, subliniem faptul că oricare ar fi temeiul de prelucrare a datelor, operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informaţiile menţionate la articolele 13 şi 14, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Aceasta informare se poate realiza și pe site-ul operatorului sau în locurile accesibile publicului. De asemenea, operatorii sunt obligați să respecte, în orice activitate de prelucrare a datelor personale, toate principiile de bază statuate de art. 5 din
RGPD.
Totodată, art. 24 alin. (1) din Regulamentul (UE) 2016/679 prevede faptul că operatorii pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Ca atare, operatorului îi revine obligația de a pune în aplicare măsurile tehnice şi organizatorice adecvate care, dacă este necesar, se revizuiesc şi se actualizează, pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu RGPD. (…)
Art. 4 pct. 12 din RGPD definește „încălcarea securității datelor cu caracter personal” ca fiind o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;”.
În situația înregistrării în activitatea de prelucrare a datelor a unui incident de securitate sau a unei breșe de securitate, acest eveniment se notifică Autorității de Supraveghere, iar operatorul informează persoana vizată potrivit dispozițiilor art. 33 și 34 din RGPD sau ale art.
3 din Legea nr. 506/2004. (…)
Raportat la realizarea unei evaluări de impact, operatorul este obligat să procedeze la o asemenea evaluare în condițiile art. 35 din RGPD coroborate cu prevederile Deciziei nr. 171/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal. În acest context, în măsura în care operatorul apreciază că prelucrarea ar genera un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, poate efectua o evaluare de impact și în alte situații decât cele stabilite de dispozițiile legale mai sus menționate.
Referitor la consultarea prealabilă a Autorității de Supraveghere, aceasta are loc în condițiile art. 36 din RGPD, respectiv ”înainte de prelucrare atunci când evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.” și este condiționată de furnizarea, de către operatorul în cauză, a unor informații detaliate asupra prelucrării în cauză, precum și orice alte informații apreciate de către Autoritatea de Supraveghere ca fiid necesare.
În ceea ce privește calitatea de operatori asociați sau împuterniciți, raportat la art. 4 pct. 7 din RGPD care definește „operatorul”, coroborat cu art. 26 și 28 din regulament, Autoritatea de Supraveghere apreciază faptul că entitățile în cauză sunt în măsură să își stabilească calitatea, având în vedere cunoașterea în detaliu a activității de prelucrare a datelor în anumite scopuri și folosind anumite mijloace, precum și a drepturilor și obligațiilor fiecărei părți, fără ca aceasta să aducă atingere adoptării măsurilor legale necesare de către Autoritatea Națională de Supraveghere în îndeplinirea atribuțiilor sale raportat la situații concrete ivite în practică.
Raportat la evidențele activităţilor de prelucrare, acestea se întocmesc și se țin de către operatori potrivit art. 30 din RGPD, și trebuie să conțină, printre altele, informații precum ”scopurile prelucrării” și ”o descriere a categoriilor de persoane vizate şi a
categoriilor de date cu caracter personal”.
Cât privește respectarea normelor de protecție a datelor în contextul stării de alertă declarate potrivit legii, în măsura în care persoana vizată apreciază că drepturile sale privind protecția datelor nu sunt respectate în conformitate cu dispozițiile legale în vigoare, are posibilitatea să își exercite drepturile față de operatorul respectiv și să se adreseze cu plângere sau sesizare ANSPSCP.
În acest context, drepturile persoanelor vizate sunt garantate de art. 15-22 raportate la art. 12 coroborat cu art. 13 și 14 din RGPD și se exercită în condițiile prevăzute de aceste dispoziții legale.
Referitor la un proces decizional automatizat, acesta se subsumează tuturor condițiilor stabilite de art. 22 din RGPD coroborat cu art. 3 din Legea nr. 190/2018.
În ceea ce privește consimțământul persoanei vizate pentru prelucrarea datelor sale, atunci când constituie condiție de legalitate a prelucrării, acesta trebuie să îndeplinească condițiile prevăzute de art. 4 pct. 11 coroborat cu art. 7 din RGPD, în măsura în care acest
regulament este aplicabil.
Sancțiunile pentru nerespectarea dispozițiilor RGPD, inclusiv a principiilor, a drepturilor garantate persoanei vizate și a condițiilor privind transferul datelor către o țară terță sau o organizație internațională, sunt stabilite în art. 58 alin. (2) coroborat cu art. 83
din Regulament și art. 15 din Legea nr. 102/2005, republicată, sub forma măsurilor corective, a avertismentului și amenzilor (de maxim 10 mil. sau 20 mil. de euro), care se aplică în funcție de circumstanțele fiecărui caz și gravitatea încălcării.
În ceea ce privește regimul sancționator pentru autoritățile și organismele publice, acesta este stabilit de Legea nr. 190/2018. (…)”
Răspunsul ANSPDCP integral poate fi descărcat aici.
Te-ar putea interesa și: