Nuova legge sulla privacy
INDICE 1. Trasferimento transfrontaliero di dati personali verso paesi terzi………..……………..pag 2 2. Incaricato della protezione dei dati personali e supervisione della protezione dei dati personali……………………………………………………………………………………………………………..pag 2 3. Registrazione del sistema informativo sulla base della nuova legge………..…………..pag 2 4. Relazione tra il titolare e il responsabile del trattamento. Subfornitore……………...pag 3 5. Misure di sicurezza…………………………………………………………………..………………………….pag 3 6. Divulgazione dei dati personali dei dipendenti…………………………………………………….pag 4 7. Sanzioni……………………………………………………….………………………………………………………pag 4 8. Le direttive per rispettare la nuova legge…………………………………………………………...pag 4
1. Trasferimento transfrontaliero di dati personali verso paesi terzi La nuova legge riduce l’onere normativo e distende e semplifica l’intero processo di trasferimento dei dati. Il transferimento di dati personali verso paesi terzi che non assicurano un adeguato livello di di protezione degli stessi ora deve essere approvato dall’ufficio per la protezione dei dati personali della Repubblica slovacca (c.d.’’l’ufficio’’) solo se il titolare non implementa misure standard previste dalla legge, come in particolare, le clausole contrattuali tipo o norme vincolanti di impresa. La nuova legge definisce le caratteristiche obbligatorie di un accordo per il trasferimento dei dati personali a un responsabile per il trattamento o titolare del trattamento che è localizzato negli Stati uniti e aderisce ai principi della privacy dell’accordo Porti sicuri. 2. Incaricato della protezione dei dati personali e supervisione della
protezione dei dati personali Sulla base della vecchia legge, l’obbligo di nominare un responsabile per la protezione dei dati personali era applicabile solo se il numero di impiegati era superiore a 5. La nuova legge non permette la nomina volontaria di un incaricato alla protezione dei dati personali se l’azienda tratta dati personali in numero minore a 20 persone autorizzate. Una persona fisica può essere nominata alla posizione di responsabile della protezione dei dati personali per supervisionare circa la protezione dei dati personali solo dopo aver passato un esame fornito dall’Ufficio. La vecchia legge non imponeva tale obbligo. 3. Registrazione del sistema informativo sulla base della nuova legge Ai sensi della nuova legge per la registrazione dei sistemi informativi individuali si dovrà pagare una tassa amministrativa. Nel momento in cui l’impresa nomina un responsabile per la protezione dei dati personali, non è richiesta la registrazione del sistema informativo presso l’Ufficio. Comuque, l’azienda è tenuta a mantenere un registro interno del sistema informativo. Alcune categorie di sistemi informativi rimangono soggette alla cosidetta registrazione speciale presso l’ufficio, nonostante il fatto che l’azienda ha nominato un responsabile per la protezione dei dati personali. La registrazione speciale sarà soggetta ad un ulteriore imposta amministrativa.
4. Relazione tra il titolare e il responsabile del trattamento.
Subfornitore Il titolare del trattamento può commissionare un responsabile del trattamento di trattare i dati personali solo attraverso un accordo scritto, gli elementi essenziali di questi, sono elencati nella nuova legge. Un mera autorizzazione scritta, autorizzata ai sensi della vecchia legge, non sarà più sufficiente. La nuova legge introduce un nuovo termine ‘’subfornitore’’ e questo riflette la relazione multilivello esistente connessa alla esecuzione del trattamento dei dati personali e rimuove le incertezze legali attraverso la definizione di procedure dove il responsabile e il titolare del trattamento dei dati personali sono richiesti per seguirli nel caso in cui il responsabile del trattamento non tratti i dati personali personalmente ma attraverso un subfornitore (sub trattatore). La nuova legge impone una nuova obbligazione in capo al titolare del trattamento che richiederà di notificare al responsabile del trattamento della violazione della nuova legge nel trattamento dei dati personali. Inoltre, se il responsabile del trattamento fallisce nel rimediare alla situazione, è richiesto al titolare del trattamento di notificarlo all’ufficio. Qualora, il titolare del trattamento, non riesca comunicare all’ufficio la violazione, lo stesso sarà responsabile congiuntamente e solidamente con il titolare, per le violazioni e ogni danno provocato. 5. Misure di sicurezza La nuova legge definisce i titolari del trattamento ai quali è richiesto di implementare le misure di sicurezza nella forma di un progetto di sicurezza o di una politica di sicurezza. Tali misure dovranno essere osservate in accordo inoltre con il titolare del trattamento. I dettagli dello scopo e la documentazione delle misure di sicurezza sono stabilite in un regolamento recentemente rilasciato dall’Ufficio.
6. Divulgazione dei dati personali dei dipendenti Le direttive della nuova legge peremttono esplicitamente ad un dipendente di divulgare o pubblicare dei dati personali su di un altro dipendente senza il suo consenso in quanto previsto dalla nuova legge. Comunque, la divulgazione o la pubblicazione di questi dati dovranno essere giustificate in connessione con lo svolgimento delle mansioni del dipendente e non può influenzare negativamente la reputazione del dipendente , la sua dignità e sicurezza. La vecchia legge 7. Sanzioni Contrariamente a quanto avveniva in passato, l’Ufficio non può usare il suo potere discrezionale per imporre multe a seguito della violazione delle regole imposte dalla nuova legge. In base alla nuova legge è obbligatorio per l’ufficio imporre una multa se lo stesso riscontra che la nuova legge è stata violata. L’ufficio può imporre una multa fino a 300,000 euro e se necessario, anche ripetutamente. In alcuni casi la somma della multa può essere raddoppiata. 8. Le direttive per rispettare la nuova legge Dal 31 Dicembre 2013 sarà necessario: -garantire che tutti i sistemi informativi in cui il titolare del trattamento tratta i dati personali siano conformi alla nuova legge. -di applicare per la registrazione o la registrazione speciale del sistema di informazione (a patto che la nuova legge richieda tali registrazioni o le registrazioni speciali in casi particolari) in accordo con la nuova legge ( la registrazione secondo la vecchia legge rimane valida fino al 31 Dicembre 2013); - di istruire persone autorizzate secondo quanto stabilito dalla nuova legge -per il titolare e il responsabile del trattamento dei dati personali di assicurare che le misure di sicurezza sono in linea con la nuova legge. Dal 30 Giugno 2014 sarà necessario: -per il responsabile del trattamento di assicurare che la relazione contrattuale con il titolare del trattamento sia in linea con la nuova legge; -per il titolare e il responsabile del trattamento dei dati di ri-nominare per iscritto un responsabile per la protezione dei dati (se la nuova legge richiede questa nomina) e di notificare all’ufficio questa nomina in accordo alla nuova legge.