În Monitorul Oficial Nr. 651/26 iulie 2018 a fost publicată Legea Nr. 190/2018 (denumită în continuare “Legea”) privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/EC (denumit în continuare „Regulamentul”).

Prevederile Legii au rolul de a stabili măsurile necesare punerii în aplicare la nivel național a prevederilor art. 6 alin. 2, art. 9 alin. 4, art. 37-39, 42, 43, art. 83 alin. 7, art. 85 și art. 87-89 din Regulament. Legea va intra în vigoare în termen de 5 de zile de la publicare, mai exact in data de 31 iulie 2018.

Legea prevede reguli speciale privind prelucrarea unor categorii de date cu caracter personal, dintre care menționăm:

  • Prelucrarea unui număr de identificare național se va putea efectua în situațiile prevăzute de Regulament prin instituirea de către operatorul de date a unor garanții. În acest sens, prelucrarea va trebui efectuată cu respectarea principiului reducerii la minim a datelor prin stabilirea unor termene de stocare in funcție de natura datelor și scopul prelucrării, precum și a unor termene specifice de ștergere a acestora.
  • Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă în cazul în care sunt utilizate de monitorizare a angajaților. În această situație, prelucrarea este permisă numai dacă interesele legitime urmărite de angajator sunt temeinic justificate, angajatorul a consultat sindicatul sau reprezentanții angajaților, angajatorul a realizat informarea prealabilă a angajaților, iar alte forme de supraveghere mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit eficiența anterior.

De asemenea, durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar NU mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau de cazurile temeinic justificate.

  • Prelucrarea datelor cu caracter personal în contextul îndeplinirii unei sarcini care servește unui interes public este permisă cu respectarea principiilor stipulate de Regulament, cu precădere cel al reducerii la minim a datelor prelucrate, respectiv a principiului integrității și confidențialității. De asemenea, durata de stocare a datelor cu caracter personal trebuie stabilită în mod expres.

În acord cu prevederile Regulamentului, Legea instituie în sarcina operatorilor sau a persoanelor împuternicite de operator pentru prelucrarea datelor cu caracter personal, obligația de a se desemna un responsabil cu protecția datelor, nelăsând operatorilor posibilitatea de a aprecia dacă numirea unui responsabil este necesară sau nu. De asemenea, activitatea și sarcinile responsabilului se vor desfășura cu respectarea prevederilor Regulamentului.

În final, Legea stipulează faptul că încălcarea prevederilor acesteia constituie contravenție și se sancționează cu avertisment sau amendă contravențională, atribuțiile de constatare a încălcărilor fiind în sarcina Autorității naționale de supraveghere. Totodată, condițiile sancționatorii vor fi cele prevăzute de Regulament.