Măsurile standard de cunoaștere a clientelei conform Legii nr. 129/2019 (II)

/in , /by

Evaluarea riscurilor – element esențial

Pe lângă sarcinile despre care am scris în articolul anterior, legea prevede că entitățile raportoare trebuie să aibă sisteme adecvate de gestionare a riscurilor, inclusiv de proceduri bazate pe evaluarea riscurilor, pentru a stabili dacă un client sau beneficiarul real al unui client este o persoană expusă public. Evaluarea riscurilor este importantă și pentru a decide dacă măsurile de cunoaștere a clientelei vor fi aplicate și clienților existenți. O astfel de obligație este prevăzută în textul de lege unde se arată că entitățile raportoare aplică măsurile de cunoaștere a clientelei nu numai tuturor clienților noi, ci și clienților existenți, în funcție de risc, inclusiv atunci când circumstanțele relevante privind clientul se schimbă. Astfel, doar în urma evaluării riscului, se poate alege o procedură adecvată.

Pentru identificarea persoanelor fizice sau juridice, entitățile raportoare vor trebui să verifice toate datele de stare civilă prevăzute în documentele de identitate prevăzute de lege, pentru persoanele fizice, iar pentru persoanele juridice, datele cuprinse în actele constitutive sau certificatul de înmatriculare și datele reprezentantului legal al persoanei juridice care încheie contractul, precum și datele și informațiile prevăzute în reglementările sectoriale aplicabile, după caz. În cazul persoanelor juridice străine va fi solicitată şi o traducere în limba română a documentelor menționate, legalizată în condițiile legii.

Elementele obligatorii pe care entitățile raportoare trebuie să le ia în considerare la evaluarea riscului de spălare a banilor și finanțare a terorismului, sunt următoarele:

  1. scopul inițierii unei relații sau efectuării unei tranzacții ocazionale;
  2. nivelul activelor care urmează a fi tranzacționate de un client sau dimensiunea tranzițiilor deja efectuate;
  3. regularitatea sau durata relației de afaceri;
  4. reglementările și instrucțiunile sectoriale emise de autoritățile competente

Măsurile standard de cunoaștere a clientelei conform Legii nr. 129/2019 (I)

/in , /by

Pentru că Legea nr. 129/11.07.2019 pentru prevenirea și combaterea spălării banilor și finanțării terorismului este un subiect de actualitate fiind tot mai multe persoane interesate de prevederile acesteia, începem o serie de articole despre măsurile standard reglementate de acest act normativ.  Scriem despre obligațiile entităților raportoare cu privire la aceste măsuri standard astfel încât să lămurim ce anume trebuie să facă entitățile raportoare pentru a se conforma prevederilor referitoare la măsurile standard.

Tipuri de măsuri

Abordarea bazată pe riscuri a noii reglementări privind prevenirea și combaterea spălării banilor și finanțării terorismului obligă entitățile raportoare să pună accent pe identificarea și evaluarea riscurilor. În funcție de gradul de risc în care este încadrat clientul, conform Legii nr. 129/2019, entitățile raportoare sunt obligate să aplice o serie de măsuri de cunoaștere a clientelei. Aceste măsuri pot fi:

  • Măsuri standard;
  • Măsuri simplificate;
  • Măsuri suplimentare.

Măsurile simplificate se aplică doar clienților încadrați la un grad de risc redus, iar măsurile suplimentare se aplică în plus față de măsurile standard de cunoaștere a clientelei în situațiile care, prin natura lor, pot prezenta un risc sporit de spălare a banilor sau de finanțare a terorismului, inclusiv în situațiile reglementate expres de art. 17 alin. (1) din Legea nr. 129/2019.

Sarcini ale entităților raportoare

Prin aplicarea măsurilor standard de cunoaștere a clientelei entitățile raportoare sunt obligate să:

  1. identifice clientul și să verifice identitatea acestuia pe baza documentelor, datelor sau informațiilor obținute din surse credibile și independente, inclusiv prin mijloacele de identificare electronică prevăzute de Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE;
  2. verifice dacă o persoană care pretinde că acționează în numele clientului este autorizată în acest sens, caz în care identifică și verifică identitatea persoanei respective conform aceleiași proceduri folosite în cazul clientului, dacă este cazul;
  3. identifice beneficiarului real și să adopte de măsuri rezonabile pentru a verifica identitatea acestuia, astfel încât entitatea raportoare să se asigure că a identificat beneficiarul real, inclusiv în ceea ce privește persoanele juridice, fiduciile, societățile, asociațiile, fundațiile și entitățile fără personalitate juridică similare, precum și pentru a înțelege structura de proprietate și de control a clientului;
  4. evalueze scopul și natura relației de afaceri și, dacă este necesar, să obțină informații suplimentare despre acestea;
  5. să realizeze monitorizarea continuă a relației de afaceri, inclusiv prin examinarea tranzacțiilor încheiate pe toată durata relației respective, pentru ca entitatea raportoare să se asigure că tranzacțiile realizate sunt conforme cu informațiile deținute referitoare la client, la profilul activității și la profilul riscului, inclusiv, după caz, la sursa fondurilor, precum și că documentele, datele sau informațiile deținute sunt actualizate și relevante. 

Vom scrie în articolele următoare despre:

  • evaluarea riscurilor;
  • obligațiile entităților raportoare în legătură cu aplicarea măsurilor standard;
  • când se aplică măsurile standard;
  • prevederile speciale pentru unele categorii de entități raportoare.

Telemunca și protecția datelor

/in , /by

Reglementare

În contextul modernizării pieței muncii, legiuitorul român a adoptat Legea nr. 81/2018 privind reglementarea activității de telemuncă. Prevederile acestei legi se aplică doar în domeniile de activitate în care este posibilă desfășurarea activității în regim de telemuncă.

Telemunca este o formă de organizare a muncii în care salariatul își îndeplinește atribuțiile în alt loc decât locul de muncă cel puțin o zi pe lună, folosind tehnologia informației și comunicațiilor. Prin urmare, toți salariații care își desfășoară activitatea în condițiile de mai sus sunt telesalariați. 

Clauze speciale în contractul de muncă

Pentru telesalariați se încheie un contract de muncă obișnuit, dar care este completat cu clauze special reglementate de Legea nr. 81/2018. În cazul salariaților care doresc să treacă la acest regim de muncă, se încheie un act adițional care să cuprindă toate acele clauze speciale.

Implicații ale legislației privind protecția datelor

Ținând cont de faptul că în cazul telemuncii se folosește tehnologia informației și comunicațiilor, un foarte important aspect, deseori ignorat de angajatori, este cel al prelucrării datelor cu caracter personal. Angajatorul trebuie să se asigure, pe de o parte, că face o prelucrare legală a datelor salariaților, iar de cealaltă parte, că telesalariații prelucrează date cu caracter personal conform GDPR.

Despre prelucrarea datelor cu caracter personal ale salariaților am scris aici, aici și aici.

Probleme și riscuri

În ceea ce privește modul în care telesalariații tratează datele cu caracter personal, angajatorii trebuie să stabilească foarte clar proceduri de lucru și să organizeze sesiuni de traininguri pentru ca telesalariații să înțeleagă procedurile și să le aplice cât mai bine. 

Echipamentele de muncă

Un aspect important este cel privind echipamentele de muncă. Acestea trebuie să fie sigure, protejate de riscul scurgerii de date sau accesului neautorizat, iar modalitatea de utilizare a lor trebuie să fie prevăzută clar în cadrul procedurilor de lucru. Este nevoie ca angajatorii să implementeze măsuri care să asigure protecția datelor începând cu momentul conceperii unui produs/serviciu și în mod implicit (Data protection by design and by default).

Soluții software

Nu trebuie ignorat și faptul că telemunca poate reprezenta un risc major pentru securitatea datelor prelucrate de telesalariați. Pentru a elimina sau diminua astfel de riscuri, unii angajatori apelează la soluții software care monitorizează localizarea și accesul la echipamentele electronice, înregistrează mișcările cursorului sau efectuează capturi de ecran. Înainte de a implementa astfel de măsuri, recomandăm angajatorilor să aibă în vedere că trebuie să aleagă soluțiile cel mai puțin intruzive, deci care să nu afecteze dreptul la viață privată al angajatului în mod nejustificat și care să nu îl supună unei supravegheri excesive raportat la scop. 

Astfel, este foarte puțin probabil ca măsurile software descrise mai sus să aibă un temei legal adecvat, motiv pentru care recomandăm angajatorilor să facă o analiză minuțioasă mai înainte de a le implementa.

Dispozitive proprii

Unii telesalariați pot cere să folosească propriile dispozitive pentru telemuncă. Legea permite o astfel de negociere. În aceste cazuri recomandăm angajatorilor să fie foarte prudenți și să reglementeze foarte clar procedura de utilizare a dispozitivelor telesalariaților. 

Localizare

Pentru că telemunca presupune și deplasarea în diferite locuri, pot interveni unele situații în care angajatorii doresc să urmărească localizarea dispozitivelor sau a autoturismelor telesalariaților. În aceste cazuri angajatorii trebuie să țină seama de drepturile fundamentale ale salariaților precum și de o serie de obligații pe care le au în temeiul GDPR.

Ce ar trebui să facă angajatorii

În concluzie, angajatorii trebuie să:

  • țină seama de drepturile fundamentale ale salariaților (inclusiv telesalariați) – dreptul la viață privată;
  • aleagă cu atenție temeiul de prelucrare pe care pot să-l utilizeze;
  • respecte obligația de transparență (informarea clară și completă a salariaților);
  • ia măsuri proporționale cu riscurile identificate.

Referitor la documentația necesară și obligatorie conform principiului responsabilității din GDPR, angajatorii trebuie să întocmească o serie de politici și proceduri care să reglementeze:

  • utilizarea dispozitivelor electronice mobile;
  • utilizarea echipamentelor proprii;
  • securitatea echipamentelor;
  • utilizarea internetului, a email-ului și a altor aplicații;
  • monitorizarea telesalariaților.

În funcție de activitatea angajatorului se pot întocmi proceduri care să includă mai multe aspecte. Trebuie analizate temeinic situația de fapt și modul de lucru, astfel încât politicile și procedurile să poată fi aplicate și utilizate cu succes.

Cât de GDPR compliant ești cu un buton de Facebook Like pe site

/in , , /by

Ce spune CJUE

Curtea de Justiție a Uniunii Europene a pronunțat recent o nouă decizie privind relația unui operator cu Facebook din prisma legislației protecției datelor cu caracter personal.

După ce anul trecut CJUE a statuat administratorul unei Facebook page (pagină pentru fani) și Facebook sunt operatori asociați în sensul GDPR, de curând Curtea a stabilit că un administrator de site care incorporează în acesta un plugin (cum este butonul de Like al Facebook) devine operator asociat cu furnizorul pluginului (respectiv Facebook în cazul butonului său de Like).

Calitatea lor de operatori asociați se aplică doar pentru acele prelucrări pentru care stabilesc împreună mijloacele și scopurile de prelucrare, în cazul butonului Like fiind vorba doar despre colectarea datelor vizitatorului site-ului și transmiterea lor către Facebook. În privința modalităților de prelucrare a datelor de către Facebook, ulterioară acestei transmiteri, răspunderea lor comună de operatori asociați încetează, Facebook rămânând unicul operator.

Poziționarea Facebook față de această decizie

Jack Gilbert, consilierul general asociat al Facebook, a declarat pentru Reuters următoarele: „Analizăm cu atenție decizia instanței și vom colabora strâns cu partenerii noștri pentru a ne asigura că pot continua să beneficieze de pluginurile noastre sociale și de alte instrumente de afaceri, în deplină conformitate cu legea”.  Așa cum ne-a obișnuit, Facebook nu face declarații concrete privind implementarea măsurilor necesare respectării drepturilor persoanelor vizate.

Aplicarea practică a deciziei

Ceea ce este interesant de observat la această situație este faptul că administratorul site-ului, în calitate de operator, este obligat să informeze vizitatorul site-ului (persoana vizată) despre modalitatea de prelucrare a datelor sale și să se asigure că are un temei legal pentru această prelucrare, conform deciziei CJUE.

Astfel, informarea trebuie efectuată mai înainte ca datele să fie efectiv colectate și transmise către Facebook. De asemenea, dacă operatorul se va baza pe consimțământ, acesta trebuie preluat tot înainte de colectare și transmitere.

Însă, tehnic vorbind, simpla accesare a site-ului de către vizitator face ca datele sale să fie colectate și transmise către Facebook prin intermediul butonului Like. În acest context, orice informare și cerere de consimțământ aflate pe site-ul vizitat sunt viciate întrucât ele nu sunt anterioare prelucrării datelor, ci cel mult concomitente.

Ca atare, la acest moment, dacă nu există o interfață între vizitator și site care să asigure o informare completă privind prelucrarea datelor sale și, eventual, o modalitate de preluare de consimțământ (dacă este cazul), niciun site care conține pluginuri de genul butonului de Facebook Like incorporat pe pagina de start nu respectă prevederile GDPR. Interfața respectivă trebuie să asigure faptul că datele vizitatorului nu sunt încă preluate, ci ele vor fi colectate doar după ce vizitatorul citește informarea și eventual acordă consimțământul său pentru asta. Desigur, vizitatorul trebuie să aibă și opțiunea de a refuza.

Important de știut este că butonul de Like colectează și transmite datele către Facebook indiferent dacă acesta este efectiv apăsat de utilizator sau nu și indiferent dacă utilizatorul deține sau nu un cont pe Facebook.

Well done, Zuckerberg!

Evidența activităților de prelucrare – cartografierea datelor cu caracter personal

/in , , , /by

Deși auzim des expresia ”eu nu prelucrez date cu caracter personal”, de cele mai multe ori se dovedește ca aceasta să fie eronată. Zi de zi profesioniștii prelucrează date în activitatea lor și mulți nu conștientizează cât de multe sunt în realitate.

Întrucât datele concurează strâns cu petrolul pentru titlul de ”cea mai valoroasă resursă”, operatorii ar trebui să fie conștienți de cantitatea și calitatea datelor pe care le prelucrează.

Cine trebuie să țină evidența activităților de prelucrare?

RGPD prevede la art. 30 obligația anumitor operatori de a ține evidența activităților de prelucrare aflate în responsabilitatea lor. Cerința nu este obligatorie pentru operatorii cu mai puțin de 250 angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Așadar, simplul fapt că prelucrarea efectuată nu este ocazională obligă operatorii să țină evidența, deși aceștia au mai puțin de 250 angajați. De cele mai multe ori prelucrările de date nu sunt ocazionale, mai ales dacă există și angajați ale căror date sunt prelucrate constant în exercitarea relațiilor de serviciu și a contractului de muncă.

Totodată, dacă prelucrarea poate genera un risc, nu neapărat un risc ridicat, ea trebuie documentată într-un registru. De exemplu, prelucrarea datelor clienților persoane fizice prin intermediul unui terț (prestator de servicii) poate prezenta un risc, întrucât transferul datelor în sine este riscant.

Prin urmare, operatorii cu mai puțin de 250 angajați trebuie să își analizeze atent activitățile și să le identifice pe cele care presupun prelucrări de date ce sunt susceptibile  să genereze un risc pentru drepturile și libertățile persoanelor vizate, care nu sunt ocazionale sau care includ categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Ce este Registrul de cartografiere a datelor

Activitățile de prelucrare menționate anterior trebuie evidențiate într-un registru, denumit în general ”Registru de cartografiere”.

Acesta va cuprinde informațiile prevăzute la art. 30 alin. 1 din RGPD, printre care enumerăm: datele de contact ale operatorului, categoriile de date prelucrate, categoriile de persoane vizate, scopurile prelucrării etc.

Registrul trebuie revizuit și actualizat periodic, iar fiecare nouă activitate de prelucrare va trebui documentată în acesta.

Cum arată un Registru de cartografiere

Pentru a veni în ajutorul operatorilor, am pregătit un model de registru de cartografiere ce cuprinde informațiile minime necesare conform RGPD, pe care îl puteți găsi aici: registru de cartografiere Start Lawyers.

 

Pentru mai multe informații, nu ezitați să ne contactați aici.

Ghid autorizare activități la Registrul Comerțului

/in , , /by

Atunci când o companie înființează un sediu, principal ori secundar, unde desfășoară activități, ea trebuie să obțină de la Registrul Comerțului autorizare pentru acele activități.

Știm că pentru antreprenori, în special cei aflați la început de drum, pare extrem de dificil să se ocupe de aceste formalități. Așa că venim în sprijinul vostru, dragi antreprenori, cu un ghid unde explicăm pas cu pas cum să completați formularele necesare și cum să constituiți dosarul pentru a fi gata de depus la Registrul Comerțului.

Ghidul poate fi descărcat de aici.

Stați pe aproape, urmează și altele!

Pentru a fi mereu la curent cu noutățile, vă invităm să dați like paginii noastre de facebook aici.

DPIA – Beneficiile evaluării de impact

/in , , /by

Scriam într-un articol precedent faptul că și în situațiile în care unii operatori nu sunt obligați să efectueze evaluarea de impact, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Principalele beneficii ale întocmirii DPIA (Data Protection Impact Assessment)

  • ajută organizația să implementeze toate măsurile necesare pentru a asigura respectarea RGPD;
  • reprezintă un mijloc eficient de dovedire a respectării prevederilor RGPD atunci când Autoritatea de supraveghere solicită informații în aceste sens;
  • contribuie la îmbunătățirea transparenței în activitatea de prelucrare a datelor cu caracter personal;
  • se va îmbunătăți modul în care organizația va folosi informațiile confidențiale;
  • în cazul în care DPIA  se va publica, va ajuta organizația să-și consolideze poziția de operator de încredere;
  • prin identificarea din timp a eventualelor probleme, poate aduce avantaje financiare deoarece rezolvarea unei probleme descoperite din timp este mai puțin costisitoare;
  • întocmirea DPIA ajută la creșterea conștientizării organizației asupra importanței confidențialității și a protejării datelor cu caracter personal.

Dacă doriți să aflați mai multe despre RGPD puteți accesa articolele postate pe pagina dedicată protecției datelor sau, dacă aveți întrebări, ni le puteți adresa folosind pagina de contact.

Punerea în întârziere

/in , /by

Punerea în întârziere – noțiune

Punerea în întârziere este manifestarea formală de voință prin care creditorul încunoștințează pe debitor, printr-o notificare scrisă că obligația lui a ajuns la scadență și îi solicită să o execute.

Punerea în întârziere a debitorului poate opera de drept sau la cererea creditorului. Debitorul se află de drept în întârziere atunci când în contract s-a stipulat că simpla împlinire a termenului stabilit pentru executare produce un asemenea efect sau când se află în următoarele cazuri expres prevăzute de lege:

  1. dacă obligația nu putea fi executată în mod util decât într-un anumit timp, pe care debitorul l-a lăsat să treacă, sau când nu a executat-o imediat, deși exista urgență;

  2. când prin fapta sa, debitorul a făcut imposibilă executarea în natură a obligației sau când a încălcat o obligație de a nu face;

  3. dacă debitorul și-a manifestat în mod neîndoielnic față de creditor intenția de a nu executa obligația sau când, fiind vorba de o obligație cu executare succesivă, refuză ori neglijează să își execute obligația în mod repetat;

  4. când nu a fost executată obligația de a plăti o sumă de bani, asumată în exercițiul activității unei întreprinderi;

  5. când obligația se naște din săvârșirea unei fapte ilicite extracontractuale.

Trebuie să aveți în vedere că toate cazurile în care debitorul se află de drept în întârziere trebuie dovedite de creditor. Orice declarație sau stipulație contrară precizată în contract se consideră nescrisă.

Sunt cazuri în care poate fi pus în întârziere și creditorul. De exemplu, în cazul în care acesta, în mod nejustificat, refuză primirea plății. În această situație legea spune că debitorul nu este ținut să restituie fructele culese după punerea în întârziere.

Aspecte practice

Cunoașterea reglementării punerii în întârziere prezintă importanță nu doar în ceea ce privește executarea obligațiilor contractuale, ci și în alte aspecte juridice cum ar fi:

  • data de la care curg dobânzile datorate de administrator, beneficiar, fiduciar sau executorul testamentar, în acest din urmă caz nefiind necesară punerea în întârziere;
  • riscul în contractul translativ de proprietate.

De exemplu, este bine de știut că:

  • beneficiarul sau fiduciarul, pentru masa patrimonială fiduciară, datorează dobânzi pentru sumele cuvenite administratorului doar de la punerea în întârziere;

  • executorul testamentar datorează dobânzi pentru sumele de bani aferente succesiunii din ziua întrebuințării lor în interes personal, fără a fi necesară punerea în întârziere;

  • creditorul pus în întârziere preia riscul pieirii fortuite a bunului. El nu se poate libera chiar dacă ar dovedi că bunul ar fi pierit și dacă obligația de predare ar fi fost executată la timp;

  • împlinirea termenului suspensiv nu îl scutește pe creditor de punerea în întârziere a debitorului, afară de stipulație contrară (deci, pentru a nu fi aplicabilă această regulă, este nevoie să se precizeze expres în contract faptul că la data împlinirii termenului suspensiv debitorul este de drept în întârziere);

  • punerea în întârziere a unuia dintre debitori, de drept sau la cererea creditorului, nu produce efecte împotriva celorlalți debitori;

  • dacă cererea de chemare în judecată formulată de creditor este depusă fără ca anterior debitorul să fi fost pus în întârziere, debitorului are dreptul de a executa obligația într-un termen rezonabil, calculat de la data când cererea i-a fost comunicată. Dacă obligația este executată în acest termen, cheltuielile de judecată rămân în sarcina creditorului.

Evaluarea de impact – Recomandări

/in , , /by

Chiar dacă reglementarea evaluării de impact nu este detaliată în RGPD, așa cum scriam într-un articol anterior, Grupul de lucru „Articolul 29” explică reglementarea sumară în scopul unei mai bune aplicări a Regulamentului. Pe lângă explicații, mai oferă și recomandări menite a ajuta operatorii să aplice noua reglementare. În cele ce urmează vom sumariza unele dintre recomandările referitoare la evaluarea de impact (DPIA).

Necesitatea revizuirii DPIA

Deși Regulamentul nu prevede expres, Grupul de lucru „Articolul 29” recomandă ca bună practică revizuirea continuă și reevaluarea regulată a DPIA.

Monitorizarea activităților de prelucrare

Se recomandă ca, în practică, operatorii să evalueze continuu riscurile create de activitățile lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Utilitatea DPIA

Chiar dacă unii operatori nu se încadrează în situațiile în care obligativitatea întocmirii DPIA este evidentă, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Publicitatea DPIA

Printre bunele practici recomandate de Grupul de lucru „Articolul 29” se numără și publicarea DPIA de către operator atunci când membrii publicului sunt afectați de operațiunea de prelucrare, mai ales în cazul în care operatorul este o autoritate publică.

DPIA – Evaluarea impactului asupra protecției datelor: Q & A

/in , , /by

În rândurile următoare vă prezentăm răspunsurile la unele dintre cele mai întâlnite întrebări referitoare la evaluarea impactului asupra protecției datelor (DPIA).

Q: Ce este DPIA?

A: DPIA este un proces destinat să:

  • descrie prelucrarea de date cu caracter personal;

  • evalueze necesitatea și proporționalitatea prelucrării;

  • contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate (prin evaluarea riscurilor și stabilirea de măsuri pentru atenuarea lor).

Q: DPIA pentru o singură operațiune de prelucrare sau pentru toate operațiunile?

A: DPIA se poate întocmi doar pentru o singură operațiune de prelucrare sau pentru multiple operațiuni de prelucrare similare și care prezintă riscuri ridicate similare. În general, DPIA se întocmește atunci când operatorul decide să desfășoare un nou proiect sau când intervine o modificare a tehnologiilor folosite în activitatea de prelucrare.

Q: DPIA este obligatorie?

A: În principiu, da. Cu excepția cazului în care operațiunea de prelucrare se încadrează într-o excepție dintre cele de mai jos, trebuie să se efectueze o DPIA în cazul în care o operațiune de prelucrare este „susceptibilă să genereze un risc ridicat”.

Q: Care sunt excepțiile de la întocmirea DPIA?

A: DPIA nu este obligatorie atunci când:

  • prelucrarea nu este „susceptibilă să genereze un risc ridicat”;

  • există DPIA similară sau când prelucrarea a fost autorizată de autoritatea de supraveghere anterior lunii mai 2018;

  • există un temei legal al prelucrării și s-a efectuat deja o DPIA pentru aceasta.

Q: Ce se înțelege prin „ risc ridicat”

A: O operațiune de prelucrare este susceptibilă să genereze „riscuri ridicate” atunci când:

  • presupune o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

  • se face o prelucrare pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;

  • se face o monitorizare sistematică pe scară largă a unei zone accesibile publicului.

În practică, Grupul de lucru Articolul 29 recomandă ca operatorii să evalueze în mod continuu riscurile create de activităților lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Q: Când se efectuează DPIA?

A: DPIA trebuie realizată „anterior prelucrării” întrucât este un instrument destinat să ajute la luarea deciziilor cu privire la prelucrare.

Q: Pentru operațiunile de prelucrare existente mai este necesară?

A: Doar în situația în care operațiunile de prelucrare existente pot conduce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, și pentru care s-a produs o schimbare a riscurilor, luând în considerare natura, obiectivul, contextul și scopurile prelucrării.

Q: Care sunt caracteristicile minime ale DPIA?

A: DPIA trebuie să conțină informații cu privire la:

  • Descrierea prelucrării preconizate (tipul de operațiuni și scopul prelucrării);

  • Evaluarea necesității și proporționalității;

  • Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;

  • Măsurile preconizate pentru abordarea riscurilor;

  • Documentare;

  • Monitorizare și revizuire.

Dacă aveți alte întrebări sau dacă aveți nevoie de lămuriri, vă rugăm să folosiți pagina noastră de contact.