GDPR non industry specific regulationGDPR – reglementarea care impactează orice industrie

After lengthy discussions, the EU Data Protection Regulation was adopted by the European Parliament on April 14, 2016 and

it entered into force on May 25, 2016 (GDPR). However, the benchmark date, the one that gives a headache to any industry and to any company processing personal data is May 25, 2018, less than 3 weeks from now, the date on which this regulation becomes applicable.

But what does personal data and personal data processing mean and why should it preoccupy us starting with May 25, 2018 more than today?

Personal data means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Personal data processing means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction

The field was previously regulated under the 1995 Data Protection Directive, implemented in the Romanian legislation by Law 677/2001. Different from the old European directive, the GDPR is much bulkier, with 99 articles as opposed to 34 articles in the old directive, in addition to the 173 recitals in the preamble and, given its legal nature – that of a European regulation – it no longer has to be implemented by national legislation like the old instrument – the Directive -, having a direct effect in the territory of each EU Member State.

GDPR’s goal was to modernize and harmonize data protection across the EU. However, it remains problematic to what extent this goal has been reached, given that there are almost 50 open points in which Member States are left to detail, supplement, if not amend (to a certain extent) the provisions of the GDPR. It is thus assumed that the application of this legal regime will continue to vary from one Member State to the other. In this respect, the draft law on implementing measures for the GDPR is currently in the Chamber of Deputies for approval by parliamentary committees. From the information published on the Chamber of Deputies’ webpage, it results that, until now, the debates within the committees have not yet been finalized. The date on which the constitutional term for the debate and final vote would be reached would be June 26, 2018. Although, according to the GDPR, Member States are required to notify the European Commission regarding the norms adopted for the implementation of Regulation 679/2016 until May 25, 2018, the draft law might not be approved and published until that date.

GDPR

GDPR maintains the general principles set out in the 1995 directive, but also includes a multitude of substantial amendments which in turn lead to the need for a complex re-evaluation of all the activities involving the use of personal data. In the following paragraphs we do not want to review all these changes since, given the volume of this regulation, we would probably take up the entire current edition of the magazine, but we will try to mention those changes that we considered to have a major impact.

Thus, the most important of all is the substantial rise in the level of sanctions. Substantial though is a very mild word, given that where the fine under Law 677/2001 is up to RON 50,000, under GDPR, supervisory authorities can apply fines of up to 4% of the total worldwide turnover corresponding to the previous financial year (which in the case of companies operating on several markets becomes even more burdensome) or up to EUR 20 million, taking into account the highest value.

GDPR’s application has been extended beyond the EU, which is one of the fundamental legal changes. Thus, if the application of the old directive was linked, in general, to the operator’s jurisdiction (for nuances, see CJEU case law in Google Spain v. AEPD and Mario Costeja Gonzales – ECJ C-131/12), the new GDPR clearly specifies that it applies to all data processors and controllers that offer goods or services to individuals in one or more EU Member States, irrespective of the place of residence of the controller or processor, even if they are established outside the EU.

If, under the 1995 Directive, the responsibility for data processing was solely for data controllers, under the GDPR, depending on the way data is managed, respectively who is the one who really controls its manipulation, liability can also be borne by the person empowered to process data – the processor, the risk being thus divided.

Based on the GDPR, there is an obligation to appoint a Data Protection Officer (“DPO”). In particular, the DPO will have the role of informing and advising the employees of the controller or of the personal data processor for whom they work, of their obligations in this area and, at the same time, the DPO will also monitor compliance with GDPR provisions and national legislation in the field.

With regard to data security, under the 1995 Directive there was a need to implement technical and organizational measures to ensure an adequate level of security, while the GDPR now comes and establishes the obligation to demonstrate compliance with security requirements and thus makes reference to Internal codes of conduct and certification. And security requirements are expanding, to include data availability, as opposed to the present when there were talks only about the confidentiality of data.

The GDPR establishes the obligation to notify the supervisory authority, namely, in Romania, the authority with a long name – the National Authority for Personal Data Surveillance and Protection („ANSPDCP”) in the case of personal data breach, no later than 72 hours from the date the operator became aware of it. If the notification could not be made within 72 hours, it must be accompanied by reasoned explanations regarding the delay. Furthermore, the affected persons should be immediately informed if the incident can lead to significant risks for them.

Last but not least, the new rights granted to individuals under the GDPR, such as the right to data portability and the right to request restriction of processing can have a significant impact on an operational plan, operators’ systems having to be reconfigured to allow compliance with those rights.

In the past, the legislation on personal data protection was unpopular for many gambling operators and for their contractual partners and it was not necessarily explicitly or extensively considered. In the future, however, especially in the online domain, minimizing the relevance of compliance in this area may prove to be very expensive. The above only attempts to shed glimpses of a legislation that is a real turning point, yet sufficient to show that it is crucial for gambling operators to revise and adapt their systems urgently to the new legal regime.

Place your bets lawfully!După îndelungate discuţii Regulamentul European privind protecţia datelor cu caracter personal a fost adoptat de Parlamentul European pe 14 aprilie 2016 şi a intrat în vigoare pe 25 mai 2016 (“GDPR”). Cu toate acestea, data de referinţă, cea care dă bătaie de cap oricărei industrii şi oricărei societăţi care prelucrează date cu caracter personal este 25 mai 2018, mai puţin de 3 săptămâni de acum încolo, dată la care acest regulament devine aplicabil.

Dar ce înseamnă date cu caracter personal, respectiv prelucrarea de date cu caracter personal şi de ce ne preocupă începând cu 25 mai 2018 mai mult decât astăzi?

Datele cu caracter personal înseamnă orice infor­maţii privind o persoană fizică identificată sau iden­tificabilă (“persoana vizată”), o persoană identi­fi­cabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un iden­tificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, cultural sau sociale.

Prelucrarea datelor cu caracter personal înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.

Domeniul era reglementat anterior în baza Directivei privind Protecţia Datelor din 1995, implementată în legislaţia românească prin legea 677/2001. Diferit faţă de vechea directivă europeană, GDPR este mult mai voluminos, cu 99 articole faţă de 34 câte avea directiva, pe lângă cele 173 de considerente din preambul şi, dată fiind natura sa juridică – regulament european – nu mai trebuie implementat prin legislaţia naţională precum instrumentul vechi – directiva – având efect direct pe teritoriul fiecărui stat membru UE.

GDPR

Scopul GDPR a fost să modernizeze şi armonizeze protecţia datelor pe tot teritoriul UE. Cu toate acestea rămâne problematic în ce măsură acest scop a fost atins, având în vedere că rămân aproape 50 de puncte deschise, în care statele membre sunt lăsate să detalieze, completeze, dacă nu chiar să amendeze (într-o oarecare măsură) prevederile GDPR.  Este astfel un lucru asumat că aplicarea acestui regim juridic va continua să difere de la un stat membru la celălalt. În acest sens, proiectul de lege privind măsurile de punere în aplicare a GDPR se află în prezent la Camera Deputaţilor în vederea avizării de către comisiile parlamentare. Din informaţiile publicate pe pagina Camerei Deputaţilor, rezulta că, până la acest moment, nu au fost încă finalizate dezbaterile în cadrul comisiilor parlamentare. Data la care s-ar împlini termenul constituţional pentru dezbatere şi vot final ar fi 26 iunie 2018. Cu toate că, potrivit GDPR, statele membre au obligaţia de a notifica Comisiei Europene normele adoptate în vederea aplicării Regulamentului nr. 679/2016 până la 25 mai 2018, este posibil ca proiectul de lege să nu fie aprobat şi publicat până la acea dată.

GDPR menţine principiile generale prevăzute în directiva din 1995, dar totodată cuprinde o multitudine de amendamente substanţiale care duc la necesitatea unei reevaluări complexe a tuturor activităţilor ce implică utilizarea datelor cu caracter personal. În cele ce urmează nu ţinem să facem o trecere în revistă a tuturor acestor modificări, dat fiind volumul acestui regulament probabil am ocupa întreaga ediţie curentă a revistei, dar încercăm să le menţionăm pe cele pe care le-am considerat a avea un impact major.

Astfel, cea mai importantă dintre toate celelalte este ridicarea substanţială a nivelului sancţiunilor. Substanţial este un cuvânt mult prea blând, în condiţiile în care în baza legii 677/2001 amenda contravenţională se ridica la maxim 50.000 RON, în baza GDPR autorităţile de supraveghere pot aplica amenzi care să ajungă până la 4% din cifra de afaceri mondială totală corespunzătoare exerciţiului financiar anterior (ceea ce în cazul unor societăţi care operează pe mai multe pieţe devine şi mai împovărător) sau până la 20 milioane de EUR, luându-se în calcul valoarea cea mai mare.

Aplicarea GDPR a fost extinsă în afara UE, aceasta fiind una din schimbările juridice fundamentale. Astfel, dacă aplicarea vechii directive a fost legată în general de jurisdicţia de reşedinţă a operatorului în (pentru nuanţe, vezi jurisprudenţa CJUE în speţa Google Spania – vs. AEPD şi Mario Costeja Gonzales ECJ C-131/12), noul GDPR specifică în mod clar că se aplică tuturor operatorilor de date ce oferă bunuri sau servicii către persoane individuale dintr-unul sau mai multe state membre UE, indiferent de locul de reşedinţă al operatorilor sau împuter­niciţilor privind prelucrarea datelor, fie ei stabiliţi şi în afara UE.

Dacă în baza directivei din 1995 răspunderea pentru prelucrarea datelor revenea exclusiv operatorilor de date, în baza GDPR, în funcţie de modalitatea de operarea a datelor, respectiv cine are cu adevărat controlul asupra manipulării lor, răspunderea poate incumba şi persoanei împuternicite cu prelucrarea de date, riscul fiind astfel împărţit.

În baza GDPR a apărut obligaţia de a numi un Responsabil cu Protecţia Datelor (aşa-numitul Data Protection Officer sau DPO). Acesta va avea rolul, în particular, de a informa şi sfătui angajaţii operatorului sau persoanei împuternicite cu prelucrarea de date cu caracter personal pentru care lucrează, de obligaţiile lor în acest domeniu şi totodată va monitoriza respectarea pre­vederilor GDPR şi a legislaţiei naţionale în domeniu.

În ceea ce priveşte securitatea da­telor, în baza directivei din 1995 exista deja obligaţia să fie imple­mentate măsuri tehnice şi organi­za­ţionale pentru a asigura un nivel de securitate adecvat, GDPR vine acum şi stabileşte obligaţia de a demonstra confor­marea cu cerinţele de securi­tate şi face astfel referire la Coduri interne de conduită şi certificare. Iar cerinţele de securitate se extind, pentru a include şi disponi­bilitatea datelor, faţă de prezent când se vorbea numai de confidenţialitatea datelor.

GDPR stabileşte obligaţia de a notifica autoritatea de supraveghere, în Ro­mâ­nia autoritatea cu nume lung – respectiv Auto­ritatea Naţională pen­tru Supravegherea şi Protecţia Da­telor cu Caracter Personal (“ANSPDCP”) în cazul încălcării secu­rităţii datelor cu caracter personal, nu mai târziu de 72 de ore de la data la care operatorul a luat cunoştinţă de aceasta. În cazul în care notificarea nu a putut fi făcută în maxim 72 de ore, aceasta trebuie însoţită de explicaţii motivate privind întârzierea. Mai mult, trebuie infor­mate imediat persoanele afectate dacă incidentul poate antrena riscuri semnificative pentru ele.

Nu în ultimul rând, drepturile noi recunoscute persoanelor vizate de GDPR, cum ar fi dreptul la porta­bilitatea datelor şi dreptul de a cere restricţionarea prelucrării pot avea un impact semnificativ în plan opera­ţional, sistemele operatorilor trebuind reconfigurate pentru a permite con­for­marea cu aceste drepturi.

În trecut, legislaţia privind protecţia datelor cu caracter personal a fost nepopulară pentru mulţi operatori de jocuri de noroc şi pentru partenerii lor contractuali şi nu a fost neapărat luată în considerare în mod explicit sau extensiv. În viitor însă, mai ales în domeniul online, minimizarea rele­vanţei conformării în acest domeniu se poate dovedi a fi foarte scumpă. Cele de mai sus se vor a fi doar sclipiri ale unei legislaţii care reprezintă un adevărat punct de cotitură şi totuşi suficiente pentru a arăta că este crucial ca operatorii de jocuri de noroc să îşi revizuiască şi adapteze sistemele noului regim juridic de urgenţă.

Faceţi jocurile!