Sunteți pe pagina 1din 13

GDPR

CE REPREZINTA

DATELE
SENSIBILE
#CONFIDENTIAL
GDPR is coming...
Da. Aproape a venit. 25 MAI 2018 va fi momentul in
care Regulamentul General pentru Protectia Datelor va
intra in vigoare in toate statele membre ale Uniunii
Europene. Pe langa faptul ca vine cu multe concepte
noi, ne-am propus ca pe parcursul acestui material sa
ne oprim asupra unuia: date sensibile.

Wanna join? 
NOTIUNI INTRODUCTIVE

GDPR se aplica operatorilor de date si persoanelor imputernicite.

Un operator de date
Dacă sunteti o persoana
stabileste scopurile si
imputernicita, GDPR va
mijloacele de prelucrare a
impune anumite obligatii. De
datelor cu caracter
exemplu, sunteti obligat sa
personal.
pastrati evidenta datelor cu
caracter personal si a
O persoana imputernicita
activitatilor de prelucrare. Vi se
este responsabila de
va angaja raspunderea daca
prelucrarea datelor cu
sunteti responsabil pentru o
caracter personal in
eventuala incalcare.
numele unui operator de
date.

Daca sunteti un operator de date, nu sunteti scutit de obligatii in


cazul in care este implicata o persoana imputernicita - GDPR va
impune si alte obligatii pentru a asigura respectarea regulilor de la
nivelul contractele dvs. cu cei imputerniciti.

1
GDPR se aplica prelucrarilor efectuate de firme care
opereaza in cadrul UE. Se aplica, de asemenea, firmelor
din afara UE care ofera bunuri sau servicii persoanelor
STOP fizice din UE.

GDPR nu se aplica anumitor activitati - de


exemplu, prelucrarea in scopuri de securitate nationala
si prelucrarea efectuata de persoane exclusiv pentru
activitati personale / gospodaresti.

CE INFORMATII FAC
OBIECTUL GDPR?

1. DATE PERSONALE
GDPR se aplica "datelor cu caracter personal", care inseamna orice
informatie referitoare la o persoana care poate fi identificata direct
sau indirect, in special prin trimitere la un identificator.

Aceasta definitie prevede o gama larga de identificatori personali


pentru a constitui date personale, inclusiv numele, numarul de
identificare, datele de localizare.

2
GDPR se aplica atat datelor cu caracter personal automatizate,
cat si sistemelor de arhivare manuala in care datele personale
sunt accesibile conform unor criterii specifice. Acestea ar putea
include seturi de inregistrari manuale cronologice care contin
date cu caracter personal.

2. DATE SENSIBILE

Datele personale sensibile sau "categorii speciale de date cu


caracter personal", ce includ în mod specific date genetice si date
biometrice in care sunt prelucrate pentru a identifica in mod unic o
persoana.
Datele cu caracter personal referitoare la condamnarile penale si
infractiuni nu sunt incluse, dar se aplica garantii suplimentare si
specifice pentru aceste date.

Ele sunt date personale pe care GDPR le spune ca sunt mai


"sensibile" si necesita o protectie mai mare. Pentru a putea fi
prelucrate, trebuie sa existe o baza legala plus indeplinirea
anumitor conditii.

3
EXEMPLE DE DATE SENSIBILE
RASA

ORIGINE ETNICA

POLITICA

RELIGIE

APARTENENTA LA SINDICATE

GENETICA

BIOMETRIE (IN CAZUL


UTILIZARII IN SCOPURI DE
IDENTIFICARE)

SANATATE

VIATA SEXUALA

ORIENTAREA SEXUALA 4
CONDITIILE PENTRU
PRELUCRAREA DATELOR DIN
CATEGORIILE SPECIALE

Daca vom citi regulamentul, vom observa ca la articolul 9 ne vorbeste


despre interzicerea prelucrarii unor date, dar si despre posibilitatea
prelucrarii acestora DACA ne incadram intr-una dintre ipotezele prevazute la
alin.(2). 

De principiu, "Se interzice prelucrarea de date cu caracter personal care


dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa
sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date
genetice, de date biometrice pentru identificarea unica a unei persoane fizice,
de date privind sanatatea sau de date privind viata sexuala sau orientarea
sexuala ale unei persoane fizice." - Art.9 alin.(1) - cele pe care le-am
enumerat si anterior.

DAR

Se impune ca aceasta prelucrare, daca se efectueaza, sa poata exista un


temei legal in baza caruia se realizeaza operatiunea. Acestea sunt in numar
de 10, insa GDPR permite statelor membre sa adauge sau sa mentina conditii
suplimentare, inclusiv restrictii, in ceea ce priveste prelucrarea de date
genetice, date biometrice sau date privind sanatatea - Art.9 alin.(3)

5
1

Se permite prelucrarea daca persoana vizata (cea ale carei date ii sunt
prelucrate) si-a dat consimtamantul explicit pentru prelucrarea acestor
date cu caracter personal pentru unul sau mai multe scopuri specifice, cu
exceptia cazului in care dreptul Uniunii sau dreptul intern prevede ca
interdictia prevazuta la alineatul (1) - mai sus - sa nu poata fi ridicata prin
consimtamantul persoanei vizate.

Se permite prelucrarea daca este necesara in scopul indeplinirii obligatiilor


si al exercitarii unor drepturi specifice ale operatorului sau ale persoanei
vizate in domeniul ocuparii fortei de munca si al securitatii sociale si
protectiei sociale, in masura in care acest lucru este autorizat de dreptul
Uniunii sau de dreptul intern ori de un acord colectiv de munca incheiat in
temeiul dreptului intern care prevede garantii adecvate pentru drepturile
fundamentale si interesele persoanei vizate.

Se permie prelucrarea daca este necesara pentru protejarea intereselor


vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci cand
persoana vizata se afla in incapacitate fizica sau juridica de a-si da
consimtamantul.

6
Se permite prelucrarea daca este efectuata in cadrul activitatilor lor
legitime si cu garantii adecvate de catre o fundatie, o asociatie sau orice
alt organism fara scop lucrativ si cu specific politic, filozofic, religios sau
sindical, cu conditia ca prelucrarea sa se refere numai la membrii sau la
fostii membri ai organismului respectiv sau la persoane cu care acesta are
contacte permanente în legatura cu scopurile sale si ca datele cu caracter
personal sa nu fie comunicate tertilor fara consimtamantul persoanelor
vizate.

Se permite prelucrarea daca se refera la date cu caracter personal care


sunt facute publice in mod manifest de catre persoana vizata.

Se permite prelucrarea daca este necesara pentru constatarea, exercitarea


sau apararea unui drept in instanta sau ori de cate ori instantele
actioneaza in exercitiul functiei lor judiciare.

Se permite prelucrarea daca este necesara din motive de interes public


major, in baza dreptului Uniunii sau a dreptului intern, care este
proportional cu obiectivul urmarit, respecta esenta dreptului la protectia
datelor si prevede masuri corespunzatoare si specifice pentru protejarea
drepturilor fundamentale si a intereselor persoanei vizate.

7
Se permite prelucrarea daca este necesara in scopuri legate de medicina
preventiva sau a muncii, de evaluarea capacitatii de munca a angajatului,
de stabilirea unui diagnostic medical, de furnizarea de asistenta medicala
sau sociala sau a unui tratament medical sau de gestionarea sistemelor si
serviciilor de sanatate sau de asistenta sociala, in temeiul dreptului Uniunii
sau al dreptului intern sau in temeiul unui contract incheiat cu un cadru
medical si sub rezerva respectarii conditiilor si garantiilor prevazute la
alineatul (3).

Se permite prelucrarea daca este necesara din motive de interes public in


domeniul sanatatii publice, cum ar fi protectia impotriva amenintarilor
transfrontaliere grave la adresa sanatatii sau asigurarea de standarde
ridicate de calitate si siguranta a asistentei medicale si a medicamentelor
sau a dispozitivelor medicale, in temeiul dreptului Uniunii sau al dreptului
intern, care prevede masuri adecvate si specifice pentru protejarea
drepturilor si libertatilor persoanei vizate, in special a secretului profesional.

Se permite prelucrarea daca este necesara in scopuri de arhivare in interes


public, in scopuri de cercetare știintifica sau istorica ori in scopuri statistice,
in conformitate cu articolul 89 alineatul (1) GDPR, in baza dreptului Uniunii
sau a dreptului intern, care este proportional cu obiectivul urmarit, respecta
esenta dreptului la protectia datelor si prevede masuri corespunzatoare si
specifice pentru protejarea drepturilor fundamentale si a intereselor
persoanei vizate.

8
In alineatul 3 al art.9 ni se specifica faptul ca:

 "Datele cu caracter personal mentionate la alineatul (1)


[originea rasiala sau etnica, opiniile politice, confesiunea
religioasa sau convingerile filozofice sau apartenenta la
sindicate si prelucrarea de date genetice, de date biometrice
pentru identificarea unica a unei persoane fizice, de date privind
sanatatea sau de date privind viata sexuala sau orientarea
sexuala ale unei persoane fizice] pot fi prelucrate in scopurile
mentionate la alineatul (2) litera (h) [in cazul nostru, punctul
8]  daca datele respective sunt prelucrate de catre un
profesionist supus obligatiei de pastrare a secretului
profesional sau sub responsabilitatea acestuia, in temeiul
dreptului Uniunii sau al dreptului intern sau in temeiul
normelor stabilite de organisme nationale competente sau de o
alta persoana supusa, de asemenea, unei obligatii de
confidentialitate in temeiul dreptului Uniunii sau al dreptului
intern ori al normelor stabilite de organisme nationale
competente."

9
OBSERVATII

La punctul 10 am vorbit despre prelucrare in scopul de


arhivare in interes public si am mentionat de art.89 alin.
(1) GDPR. Iata ce prevede acesta:

"Prelucrarea in scopuri de arhivare in interes public, in


scopuri de cercetare stiintifica sau istorica ori in scopuri
statistice are loc cu conditia existentei unor garantii
corespunzatoare, in conformitate cu prezentul
regulament, pentru drepturile si libertatile persoanelor
vizate. Respectivele garantii asigura faptul ca au fost
instituite masuri tehnice si organizatorice necesare
pentru a se asigura, in special, respectarea principiului
reducerii la minimum a datelor. Respectivele masuri pot
include pseudonimizarea, cu conditia ca respectivele
scopuri sa fie indeplinite in acest mod. Atunci cand
respectivele scopuri pot fi indeplinite printr-o prelucrare
ulterioara care nu permite sau nu mai permite
identificarea persoanelor vizate, scopurile respective
sunt indeplinite in acest mod."

10
Daca tot ati ajuns aici ...
Va reamintim ca GDPR va intra in vigoare pe data de
25 mai 2018. Timpul este scurt, iar daca inca nu v-ati
pregatit, ar fi cazul sa incepeti. Amenzile sunt destul
de mari.

Ai nevoie de implementare? Scrie-ne pe


contact@avocatoo.ro sau suna la 
0726 245 291

Material realizat de Miruna-Casiana Dumitrascu


10