NOILE REGLEMENTARI EUROPENE PRIVIND PROTECȚIA DATELOR PERSONALE SI DREPTUL LA PROTECȚIA DATELOR PERSONALE CA

DREPT FUNDAMENTAL AUTONOM- ELEMENTE CHEIE ALE NOULUI REGULAMENT EUROPEAN-RGPD(GDPR)

INTRODUCERE
In data de 25.05.2018 vor fi direct aplicabile noi reglementari europene privind protecția datelor personale care reafirma inca odata
importanta dreptului la protecția datelor personale , parte integranta a dreptului la viata privata , prevazut de Conventiile privind
drepturile omului si care se conturează tot mai mult ca ca un drept fundamental de sine stătător, autonom asa cum este aratat si in
punctul de vedere al UNBR privind noile reglementari intitulat Noi responsabilitati, noi oportunitati, exprimat de presedintele
1
acesteia, Av.dr.Gh.Florea .
Aceste noi reglementari europene care au intrat in vigoare in 25.05.2016 dar vor fi direct aplicabile la implinirea unei durate de 2 ani
necesara implementarii lor, se refera de fapt la un intreg pachet de reforme in acest domeniu , pachetul de reformă al UE privind
protecția datelor, din care face parte Regulamentul general privind protecția datelor (RGPD)- “GDPR” (General Data Protection
Regulation) alături de directiva privind protecția datelor pentru autoritățile polițienești și judiciare si de alte reglementari europeana
privind transferul datelor in afara UE.
Primele două acte normative europene din acest pachet de reforma care se evidentiaza ca impact sunt:
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea
ce privește prelucrarea datelor cu caracter personal și privindlibera circulație a acestor date și de abrogare a Directivei 95/46/CE
(GDPR) , care se va aplica direct, începând cu data de 25 mai 2018, fără a fi necesară vreo transpunere, fiind deja intrat in vigoare in
25.05.2016. Regulamentul (UE) 2016/679 actualizează principiile stabilite încă de acum două decenii de Directiva 95/46/CE care își va
înceta aplicabilitatea.
Regulamentul le permite cetățenilor Uniunii Europene (UE) să dețină mai bine controlul asupra propriilor date cu caracter personal.
De asemenea, acesta modernizează și unifică normele, permițându-le întreprinderilor să reducă birocrația și să se bucure de o
încredere sporită din partea consumatorilor
Intrarea în vigoare a fost stabilită pentru 25 mai 2018, la aproximativ doi ani de la publicare, tocmai pentru a permite instituțiilor
publice și companiilor de stat și private să își poată pregăti și implementa propriul cadru de conformitate la prevederile
Regulamentului. deoarece după această dată există sancțiuni importante pentru lipsa de conformitate.

Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la
prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi
penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru
2008/977/JAI a Consiliului , care are termen limită de implementare 6 mai 2018.
Această directivă trebuie transpusă si in acest sens există un proiect, care a fost în dezbatere publică pe site-ul Ministerului Afacerilor
Interne, autoritatea desemnată pentru implementarea Direcției (UE) 2016/680.
Proiectul de lege care implementează GDPR și Directiva (UE) 2016/680 a fost publicat pentru dezbatere publică pe site-ul MAI, la data
23
de 5.09.2017 impreuna cu expunerea de motive si un tabel comparativ al modificarilor impuse. In prezent este inca in circuitul
legislativ, in 21 .03.2018 fiind pe ordinea de zi a sedintei Guvernului.Este un proiect de modificare și completare a nr. Legii nr.
102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter
Personal. Acesta abrogă și Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și
libera circulație a acestor date, întrucât Regulamentul GDPR este aplicabil direct, în toate țările UE, nefiind necesară nici o
transpunere. Acest proiect trebuie urgentat in prcedura legislativa, în următoarele două luni, pentru a nu intra în procedura de
infringement.
La nivelul UE exista in plus orientări/documente ale grupul de lucru instituit prin articolul 29, în vederea punerii în aplicare a
regulamentului, referitoare la aspecte foarte importante, cum ar fi: încălcarea securității datelor, consimțământul, transparența ,
4
certificarea și acreditarea etc, și care sunt în curs de elaborare

1
A se vedea par. (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație
a acestor date și de abrogare a Directivei 95/46/CE (GDPR) : ”Protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a
Uniunii Europene („carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) prevăd
dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.”
2
Proiectul de lege pentru modificarea și completarea nr. Legii nr. 102/2005 privind înființarea, organizarea și
funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru
abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera
circulație a acestor date
3
A se vedea Expunere de motive și Tabel comparativ la proiectul de lege
4
A se vedea Comunicarea Comisiei Europene din 24.01.2018 ”Protecție sporită, noi oportunități - Orientările Comisiei privind
aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018
ARIA DE APLICARE MATERIALA SI TERITORIALA

Regulamentul nr. 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind
libera circulație a acestor date se aplica asa cum se mentioneaza in art 3(22) si (25) din Regulament
* se aplică tuturor societăţilor care au sediul în Uniunea Europeană şi care, în desfăşurarea activităţii, prelucrează date cu caracter
personal, indiferent dacă prelucrează sau nu aceste date pe teritoriul Uniunii Europene.
*organizaţiilor fără un sediu în Uniunea Europeană, atunci când activitățile de prelucrare sunt legate de oferirea de bunuri sau
servicii unor persoane vizate aflate în Uniune sau de monitorizarea comportamentului lor dacă acesta se manifestă în cadrul
Uniunii.
ACTIVITĂȚILE AFECTATE PRIN IMPACT MAJOR

Sunt vizați în primul rând toți operatorii de date. Mulți procesatori de date existenți vor trebui să își schimbe radical procedurile și
garanțiile de prelucrare a datelor. Prin noua definiție, destul de largă și de interpretabilă a datelor personale, multe companii care
credeau că nu au de ce să se alinieze la prevederile GDPR descoperă că prin parteneriatele lor sunt parte integrată din sistemele de
operatori și procesatori de date. Astfel încât practic orice organizație, indiferent de mărime și domeniu de activitate, este angrenată
într-un fel sau altul într-un mecanism de procesare a datelor personale.
DOMENII PRIORITAR AFECTATE
financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.;
utilități: energie, gaze, apă, salubritate, transport public; furnizori de produse și servicii IT: producători de software, furnizori de
servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de da furnizori de produse și servicii IT:
producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de
data center, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW; organizații din sănătate: spitale,
policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.; companii comerciale de retail, distribuție,
magazine online; organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de consultanță tehnică, economică sau
juridică, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare; și instituții publice.
APLICARE GENERALA

De regula, răspunsul este “DA”. În majoritatea cazurilor, companiile procesează, într-o formă sau alta, date cu caracter personal, fie că
realizează această procesare în interes propriu, fie că o realizează în interesul altor companii. Conceptul de date personale este atât
de larg, încât este aproape imposibil ca o entitate să nu prelucreze astfel de date. Fie că vorbim despre prelucrarea datelor
angajaților, a datelor clienților în scopuri de marketing, sau a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal sau
judiciar etc.), toate aceste situații transformă compania într-un subiect al GDPR.
GDPR se aplică nu doar companiilor cu sediul în Uniunea Europeană, ci și celor cu sediul în alte state ale lumii, în măsura în care ele
prelucrează date personale ale unor persoane din Uniunea Europeană. Cu alte cuvinte, dacă un retailer mare din spațiul non-UE vinde
online și livrează bunuri UE, atunci compania respectivă este obligată să respecte condițiile impuse de GDPR.

REGULAMENTUL NU SE APLICA
Regulamentul precizează şi care sunt cazurile în care prevederile sale nu se aplică, respectiv:
"a) în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii;
b) de către statele membre atunci când desfăşoară activităţi care intră sub incidenţa capitolului 2 al titlului V din Tratatul UE,
c) de către o persoană fizică în cadrul unei
activităţi exclusiv personale sau domestice;
d) de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor, sau al
executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şi al prevenirii acestora."
Prin urmare, societățile ar trebui să evalueze propria activitate în vederea identificării aspectelor ce trebuie aduse în concordanță cu
prevederile noului Regulament. Nu exista un sistem de diferentiere pe baza obiectului de activitate sau a cifrei de afaceri. Fie ca e
vorba despre asociati, administratori, angajatii proprii, clienti sau parteneri de afaceri, fiecare companie proceseaza date cu caracter
personal. Simpla stocare a acestora sau mentionare intr-un document reprezinta operatiune de procesare si intra in sfera de aplicare
a GDPR.

TERMINOLOGIE SPECIFICA
Articolul 4 din Regulamentul(UE)2016/679 elaboreaza un adevarat glosar de termeni specifici, in scopul intelegerii clare a
Regulamentului si a modului lui de aplicare
1. „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o
persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de
identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe
elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
2. „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de
date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea,
structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau
punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
3. „restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a
acestora;
4. „creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor
cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau
prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele,
fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
5. „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi
atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie
stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu
caracter personal unei persoane fizice identificate sau identificabile;
6. „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii
specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
7. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele,
stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt
stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în
dreptul Uniunii sau în dreptul intern;
8. „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care
prelucrează datele cu caracter personal în numele operatorului;
9. „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate
datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice 4.5.2016 L 119/33 Jurnalul
Oficial al Uniunii Europene RO cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu
dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective
respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
10. „parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată,
operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei
împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
11. „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a
persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o
privesc să fie prelucrate;
12. „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la
distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-
un alt mod, sau la accesul neautorizat la acestea;
13. „date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei
persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei
analize a unei mostre de material biologic recoltate de la persoana în cauză;
14. „date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la
caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a
respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
15. „date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice,
inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;
16. „sediu principal” înseamnă: (a) în cazul unui operator cu sedii în cel puțin două state membre, locul în care se află administrația
centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter
personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competența de a dispune punerea în aplicare a acestor
decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal; (b) în cazul unei persoane împuternicite de
operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală a acesteia în Uniune, sau, în cazul în care
persoana împuternicită de operator nu are o administrație centrală în Uniune, sediul din Uniune al persoanei împuternicite de
operator în care au loc activitățile principale de prelucrare, în contextul activităților unui sediu al persoanei împuternicite de operator,
în măsura în care aceasta este supusă unor obligații specifice în temeiul prezentului regulament;
17. „reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana
împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce privește
obligațiile lor respective care le revin în temeiul prezentului regulament;
18. „întreprindere” înseamnă o persoană fizică sau juridică ce desfășoară o activitate economică, indiferent de forma juridică a
acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o activitate economică;
19. „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;
20. „reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate
de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile
sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai
multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
21. „autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;
4.5.2016 L 119/34 Jurnalul Oficial al Uniunii Europene RO
22. „autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor
cu caracter personal deoarece: (a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al
autorității de supraveghere respective; (b) persoanele vizate care își au reședința în statul membru în care se află autoritatea de
supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau
(c) la autoritatea de supraveghere respectivă a fost depusă o plângere;
23. „prelucrare transfrontalieră” înseamnă: (a) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților
sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă
operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre; sau (b) fie prelucrarea datelor cu
caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de
operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane
vizate din cel puțin două state membre;
24. „obiecție relevantă și motivată” înseamnă o obiecție la un proiect de decizie în scopul de a stabili dacă există o încălcare a
prezentului regulament sau dacă măsurile preconizate în ceea ce privește operatorul sau persoana împuternicită de operator
respectă prezentul regulament, care demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul de decizie în ceea ce
privește drepturile și libertățile fundamentale ale persoanelor vizate și, după caz, libera circulație a datelor cu caracter personal în
cadrul Uniunii;
25. „serviciile societății informaționale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva
98/34/CE a Parlamentului European și a Consiliului (1);
26.„organizație internațională” înseamnă o organizație și organismele sale subordonate reglementate de dreptul internațional public
sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe țări sau în temeiul unui astfel de acord.

CARE SUNT DATELE CU CARACTER PERSONAL?

Esența GDPR se bazează pe drepturile fundamentale ale omului. Art.8, Alin.1 din „Carta drepturilor fundamentale a Uniunii
Europene” și Art.16, Alin.1 din „Tratatul privind funcționarea Uniunii Europene” prevăd dreptul oricărei persoane la protecția datelor
cu caracter personal care o privesc .
In Articolului 4 prezentat mai sus este data si definitia notiunii de Date cu caracter personal iar exemple de date cu caracter
personal sunt :nume, prenume,adresa,CNP,serie și număr CI,e-mail,telefon,venit,date biometrice,imagine adresa IP,date
medicale,orice alte informații cu privire la o persoana fizică identificată sau identificabilă
Date cu caracter personal speciale sunt :originea rasială sau etnică,datele medicale date genetice, biometrice pentru identificarea
unică a unei persoane fizice,convingerile politice, religioase, filozofice,date privitoare la fapte penale sau contravenții,datele cu privire
la viața sexuală

PRINCIPII LEGATE DE PRELUCRAREA DATELOR CU CARACTER PERSONAL

In art 5 din Regulament sunt mentionate urmatoarele principii
(1) Legalitate, echitate și transparență Datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent față de
persoana vizată
(2) limitări legate de scop adica sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod
incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau
istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1)
(3) reducerea la minimum a datelor -date adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt
prelucrate
(4) exactitate-date exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se
asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau
rectificate fără întârziere
(5) limitări legate de stocare- date păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu
depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe
perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de
cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a
măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și
libertăților persoanei vizate
(6) integritate și confidențialitate date prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal,
inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin
luarea de măsuri tehnice sau organizatorice corespunzătoare
(7) responsabilitate -Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare .

CARE SUNT DREPTURILE PERSOANELOR VIZATE

GDPR aduce elemente de noutate introducând drepturi noi pentru persoanele vizate și consolidează unele dintre drepturile care
existau deja în legislația europeană. Astfel, persoanele fizice vizate de prelucrarea datelor cu caracter personal au următoarele
drepturi generale:

1.Dreptul de a fi informat
2.Dreptul de acces
3.Dreptul la rectificare
4.Dreptul de ștergere
5.Dreptul de a restricționa procesarea
6.Dreptul la portabilitatea datelor
7.Dreptul la obiecții
8.Drepturi legate de luarea de decizii automatizate și de profilare
PRINCIPALELE 20 OBLIGAȚII PE CARE GDPR LE IMPUNE COMPANIILOR
1. Constientizarea persoanelor cu putere de decizie si a angajatilor cheie asupra schumbarilor intervenite in legislatia privind
protecția datelor personale. Companiile au obligația să se informeze din timp despre aceste prevederi, să înceapă
demersurile și chiar să informeze clienții despre noile implementări
2. Stabilirea fermă și unitară a ariei de cuprindere si continutului privind informații care au caracter personal. Fiecare firmă
are libertatea, dar și sarcina, de a-și standardiza propriul formular de date personale, formular care trebuie să țină cont de
faptul ca noua Ordonanță definește ca fiind date personale orice informații care poate duce, direct sau indirect, la
identificarea acelei persoane.
3. Inventarierea informațiilor cu caracter personal deja stocate Cu cât compania este mai mare sau are o vechime mai mare
în câmpul de activitate, cu atât va fi mai dificilă inventarierea acestor informații și stabilirea surselor din care ele provin, mai
ales daca totul se desfășoară online.În cazul firmelor care își desfășoară activitatea online, va exista o acțiune afirmativă cum
ar fi bifarea unei căsuțe sau orice altă acțiune care marchează ferm acordarea dreptului de a colecta informațiile cu caracter
personal. Astfel, anunțurile de genul “Navigarea pe acest site presupune acordul dumneavoastră de a…” sunt în afara
Ordonanței, ele putând fi sancționate.
4. Prelucrarea datelor cu buna credinta si in limita scopului declaratGDPR vine sa sanctioneze acest comportament abuziv al
unor companii, proclamand buna credinta ca si principiu al prelucrarii datelor personale
5. Transparenta si portabilitatea datelor. Fiecare companie care prelucreaza date cu caracter personal are obligatia de a tine o
evidenta a prelucrarilor si de a putea pune la dispozitia autoritatilor si a persoanelor vizate intregul flux al prelucrarii. Ba mai
mult, companiile au obligatia sa colecteze datele intr-un sistem organizat ca, in cazul in care li se solicita, sa poata oferi
fisierul cu date personale persoanei vizate, in vederea transferului (portarii) catre un alt operator
6. .Informarea corespunzătoare a clienților despre modul în care aceste informații vor fi utilizate.Ordonanța permite clienților
să revoce orice informație din trecut. De aceea firmele trebuie să fie pregătite să justifice sursa acelor informații și, eventual,
să obțină noul acord din partea clienților pentru a păstra datele respective.
7. Verificarea procedurilor in vederea respectarii tuturor drepturilor individuale mentionaate in Regulament
Trebuie să criptați datele prelucrate. Acest lucru este esențial atunci când vine vorba de protecția datelor. Potrivit Comisiei
Europene, dacă procesați date, trebuie să respectați reguli speciale pentru a asigura confidențialitatea datelor clienților dvs.,
cum ar fi: pseudonimizarea, criptarea, confidențialitatea etc.Trebuie să vă asigurați că clienții dvs. își pot retrage
consimțământul pentru utilizarea și prelucrarea datelor. Potrivit comisiei UE, ar trebui să fie la fel de ușor să retrageți
consimțământul precum l-ați acordat
8. Protecția datelor prin aplicarea principiului “Privacy by design”. Orice firmă sau companie care colectează informații cu
caracter personal despre clienții ei, va avea obligația și sarcina să păstreze și să asigure confidențialitatea acestora. Orice
abatere intrând sub incidenta Ordonanței și putând fii sancționată cu amenzi mari.
9. Privacy by design & Privacy by default -două noi principii esenţiale pentru operatorii de date
Privacy by design - eşti dezvoltator de aplicaţii (care vor prelucra şi date personale)? Trebuie să te asiguri,încă din stadiul
dezvoltării, că aplicaţia ta va respecta regulile şi principiile stabilite de Regulament
Privacy by default - furnizezi o aplicaţie care prelucrează date personale? Trebuie să te asiguri că setările iniţiale le vor permite
utilizatorilor să îşi menţină controlul asupra vieţii lor private / asupra a ceea ce postează sau împărtăşesc cu alţi utilizatori
10. Evaluarea de Impact a protectiei datelor-(DPIA)- Data Protection Impact Assessments Cunoasterea si aplicarea codurilor de
conduita si a ghidurilor elaborate de Grupul de lucru in baza Art.29
11. Revizuirea notificarilor deja efectuate firmele au obligația de a rescrie acordurile de folosire a datelor cu caracter personal
într-un limbaj cat mai simplu si mai accesibil, astfel încât acesta să fie înțeles de oricine, fără dubii și posibilități de
interpretare.
12. Consimțământul cu privire la colectarea și prelucrarea datelorTrebuie să implementați în compania dvs. principiul
minimizării datelor, ceea ce înseamnă că trebuie să colectați doar datele care sunt absolut necesare despre fiecare client
conform legislației.Trebuie să obțineți permisiunea expresă a clientului dvs. de a colecta și de a folosi datele. Când este vorba
de acordul persoanei vizate, Comisia UE este foarte strictă.Nu colectați mai multe date decât este necesar. De multe ori,
datele furnizate de persoanele fizice sunt folosite cu scop diferit față de cel propus si uneori, nu sunt folosite deloc. O astfel
de procedură stufoasă, poate să atragă după sine răspundere contravențională.
13. Introducerea opțiunii de retragere a acordului – chiar dacă utilizatorul site-ului sau clientul, și-a dat acordul pentru stocarea
informațiilor cu caracter personal, el trebuie să aibă și posibilitatea de a-și retrage acest acord. Astfel, companiile au obligația
de a lua în considerare și conceperea unui formular de retragere a acordului.
14. Gestionarea breșelor de securitate Trebuie să implementați un plan de notificare privind încălcarea datelor. În cazul unei
încălcări a datelor, dacă sunteți operator de date, aveți 72 de ore la dispoziție să notificați autoritatea de supraveghere. Va
trebui să comunicați informații specifice, cum ar fi natura încălcării datelor cu caracter personal, numele persoanelor vizate,
consecințele acestei încălcări a datelor și acțiunile dvs. de remediere a acesteia.
15. Protecția copiilor.Trebuie pus in aplicare un sistem de verificare a varstei indivizilor si a obtinerii consimtamantului parintilor
sau tutorilor.
16. Nivelul ridicat de raspundere. In cazul in care li se atrage raspunderea, companiile nu vor beneficia de prezumtia de
nevinovatie, fiind nevoite sa aduca probe pentru a demonstra faptul ca au respectat prevederile GDPR. Simpla respectare a
acestuia nu va fi luata in considerare intotdeauna, astfel ca, tinand o evidenta stricta a operatiunilor de procesare si a
logisticii aferente, companiile vor trebui sa isi preconstituie probe pentru o evenutala bresa de securitate sau un eventual
control.
17. . Obligatia de distrugere / anonimizare a datelor la incetarea prelucrarii. Foarte multi operatori pastreaza in prezent datele
cu caracter personal colectate, chiar dupa incetarea operatiunilor la care au fost necesare, stocandu-le intr-un fisier fizic sau
in format electronic parolat. Odata cu aplicarea GDPR, operatiunile de distrugere sau anonimizare vor trebui sa fie efective,
 astfel incat datele personale sa nu mai fie accesibile nici operatorului, ca si cand nu ar fi fost colectate niciodata("dreptul de a
fi uitat")
18. Furnizori și colaboratori terți implicați în colectarea și prelucrarea datelor În contextul Regulamentului, noțiunea de terț se
definește ca o persoană fizică sau juridică, autoritate publică, agenție sau un organism, alta decât persoana vizată sau
procesatorul, aflată sub directa autoritate a operatorului sau a procesatorului, autorizate să proceseze date cu caracter
personal. Datorită utilizării pe scară largă a serviciilor externalizate, una dintre cele mai exigente sarcini în pregătirea GDPR
este evaluarea riscurilor din partea terților. Operatorii de date sunt responsabili pentru acțiunile întreprinse de procesatorii
lor, deci este important să identificați toți procesatorii relevanți, să înțelegeți ce date sunt stocate și procesate de aceștia, cât
de bine protejează fiecare procesator datele și progresele înregistrate de aceștia pentru a deveni conformi cu GDPR
Proprietarii de site-uri si cei care găzduiesc domenii au datoria să se informeze dacă cei care le-au oferit infrastructura au
început demersurile de adaptare la noile prevederi și fac modificările necesare. Astfel, ar trebui să întrebe: unde se află data-
center-ul, unde sunt stocate datele – în UE sau în afara ei, ce măsuri de siguranță și protecție au implementat pentru datele
pe care ei le colectează?
19. Responsabilul cu protecția datelor – DPO- Toate instituțiile publice precum și majoritatea companiilor private vor avea
obligativitatea de a numi un DPO începând cu data de 25 mai 2018. Ofițerul responsabil pentru protecția datelor cu caracter
personal sau DPO-ul, poate fi un angajat din cadrul organigramei sau poate fi contractat extern.Înainte de a lua o hotărâre
privitoare la DPO trebuie să fiți atenți la specificațiile acestui post. În primul rând responsabilul cu protecția datelor trebuie
să fie independent. Acesta nu poate fi sancționat nici concediat pentru îndeplinirea atribuțiilor sale. Este necesar să aibă
acces la toate operațiunile de prelucrare a datelor până la cel mai înalt nivel al conducerii.
20. Gestionarea domeiului international.Daca organizatia opereaza in mai mult de 1 Stat Membru (procesare trans-frontaliera)
trebuie determinata principala autoritate de supraveghere a datelor.

CÂND ESTE NECESARĂ PĂSTRAREA EVIDENȚEI ACTIVITĂȚILOR DE PRELUCRARE?

-când firma are peste 250 de angajați

-când prelucrarea implică un risc pentru persoana vizata
-când prelucrarea nu este ocazională
-se prelucrează categorii speciale de date

ÎNȘTIINȚAREA ANGAJAȚILOR

Informați și instruiți angajații privind colectarea și prelucrarea datelor cu caracter personal, conform GDPR. Toți cei care au acces la
date personale trebuie să fie conștienți de riscurile care pot apărea și trebuie să fie pregătiți să preîntâmpine abuzurile.

OFIȚERUL PENTRU PROTECȚIA DATELOR

Responsabilul cu protecția datelor sau DPO (așa cum este numit în Regulamentul UE 2016/679), devine un ”actor-cheie” în noul
sistem de protecție a datelor. Toate instituțiile publice precum și majoritatea companiilor private vor avea obligativitatea de a numi
un DPO începând cu data de 25 mai 2018.

Ofițerul responsabil pentru protecția datelor cu caracter personal sau DPO-ul, poate fi intern (angajat din cadrul organigramei) sau
poate fi contractat extern (SRL, PFA, avocat) și trebuie să aibă cunoștințe de specialitate și experiență în domeniul protecției datelor
5
cu caracter personal.
Pentru asigurarea unei aplicări unitare a Regulamentului General privind Protecția Datelor, Grupul de Lucru Art. 29 de pe lângă
Comisia Europeană a emis Ghidul privind Responsabilul cu protecția datelor (DPO), accesibil la secțiunea specială dedicată
Regulamentului General privind Protecția Datelor, la adresa http://www.dataprotection.ro/servlet/ViewDocument?id=1384,
accesibilă pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

I. Cazurile în care este obligatorie desemnarea unui responsabil cu protecția datelor

1. Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în
exercițiul funcției lor jurisdicționale
2. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de
prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă
3. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară
largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și
infracțiuni

Ce înseamnă ”Activități principale”?

Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la
prelucrările de date cu caracter personal efectuate.
La ce se referă „Monitorizarea periodică și sistematică”?

5
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – Comunicare privind ”Responsabilul cu protecția
datelor cu caracter personal”
 Aceasta presupune toate formele de urmărire și profilare pe Internet, inclusiv în scop de publicitate comportamentală, nefiind însă
restrictionată în mediul online.
Sintagma ”periodică și sistematică” presupune o activitate continuă și recurentă, care implică prelucrări de date.
Ce presupune prelucrarea ”Pe scară largă”?
Pentru a se stabili dacă o prelucrare este pe scară largă trebuie ținut cont de 4 criterii:

 numărul persoanelor vizate – un număr exact ori un procent din populația relevantă;
 volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
 durata sau permanența activității de prelucrare a datelor;
 suprafața geografică a activității de prelucrare.

Ce înseamnă ”Categorii speciale de date”?

Categoriile speciale sunt acele date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea
religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru
identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei
persoane fizice.
Exemple de situații care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

 gestionarea unei rețele de telecomunicații;

 profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui credit, stabilirea primelor de asigurare,
de prevenire a fraudelor, detectarea spălării banilor);
 urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare);
 desfășurarea de programe de loialitate;
 monitorizarea stării de sănătate prin intermediul dispozitivelor portabile;
 televiziune cu circuit închis - CCTV;
 prelucrarea datelor pacienților de către un spital;
 prelucrarea datelor datelor de conținut, locație, trafic de către furnizorii de servicii de internet;
 prelucrarea datelor personale de către companii de asigurări;
 publicitate comportamentală.

Când nu este necesară desemnarea unui responsabil cu protecţia datelor?

- atunci când nu se prelucrează pe scară largă date cu caracter personal.
Spre exemplu:

 prelucrarea datelor pacientului de către un cabinet medical individual;

 prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un cabinet individual de avocatură.

De reținut !
Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă
numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu
caracter personal.

II. Cine poate îndeplini funcția de responsabil cu protecția datelor?

Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabilește ca responsabilul cu protecția datelor să fie ”desemnat pe baza
calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi
pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”
Responsabilul cu protecția datelor

1. în domeniul public,
2. în domeniul privat, raportat la situațiile prevăzute expres de art. 37 RGDP

Responsabilul cu protecția datelor poate fi angajat al operatorului/persoanei împuternicite de operator sau poate să-și
îndeplinească sarcinile pe baza unui contract de prestări servicii.
În domeniul public, poate fi desemnat pentru mai multe autorități sau instituții publice, luând în considerare structura
organizatorică și dimensiunea acestora

Calități și competențe:
Trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt necesare anumite calități personale (ex: integritate și etica
profesională), cunoștințe, dar și o anumită poziție în cadrul organizației.
Trebuie să aibă anumite calități profesionale, astfel:

 experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere adecvată a
RGPD;
  nivelul necesar de cunoștințe în domeniul protecției datelor în funcție de operațiunile de prelucrare a datelor efectuate și
de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
 să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a
datelor prelucrate de operator;
 în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor trebuie să dețină, de asemenea, cunoștințe
privind reglementările legale referitoare la organizarea și funcționarea acestora, precum și a procedurilor interne
administrative ce vizează desfășurarea activității.

Principala preocupare a responsabilului cu protecția datelor trebuie să fie respectarea Regulamentului General privind Protecția
Datelor și a reglementărilor naționale incidente.
Este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul
Uniunii sau cu dreptul intern.
Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este
obligat să:

 publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email
alocată special).
 comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter
Personal.

Responsabilului cu protecția datelor îi este permis să aibă și alte funcții.

Acestuia îi pot fi încredințate și alte sarcini și atribuții, cu condiția ca acestea să nu dea naștere unor conflicte de interese (de ex:
nu poate fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing,
șeful departamentului de resurse umane sau șeful departamentului IT).
Responsabilul pentru protecția datelor nu poate fi demis sau sancționat de operator sau persoana împuternicită de operator
pentru îndeplinirea sarcinilor sale.
De exemplu, responsabilul nu poate fi demis pentru oferirea unui sfat conform sacinilor sale.
Un responsabil cu protecția datelor ar putea fi totuși demis, în mod legal, din alte motive decât cele privind îndeplinirea sarcinilor
sale în această calitate.
De exemplu, responsabilul poate fi demis în caz de furt, hărțuire ori o abatere gravă similară.

III. Sarcinile responsabilului cu protecția datelor

 de a informa şi consilia operatorul, sau persoana împuternicită de operator, precum şi angajaţii care se ocupă de
prelucrările de date;
 de a monitoriza respectarea Regulamentului, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la
protecţia datelor;
 de a consilia operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza
executarea acesteia;
 de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;

de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.

CINE SUPERVIZEAZĂ GDPR ÎN ROMÂNIA

În România, organismul care coordonează problemele legate de securitatea datelor personale este Autoritatea Națională de
Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).site-ul Autorității: http://www.dataprotection.ro/
Proximitatea faţă de persoana vizată -autoritatea de supraveghere din statul membru în care se află persoana vizată acţionează ca
punct de contact atunci când operatorul reclamat este stabilit într-un alt stat
Cooperare consolidată între autorităţile de supraveghere - în cazul prelucrărilor de date transnaţionale (cele care privesc persoane
din mai multe state membre UE), Regulamentul oferă autorităţii de supraveghere din statul tău competenţe pentru a se asigura,
alături de autorităţile din celelalte state implicate, că datele tale sunt prelucrate conform regulilor şi principiilor stabilite de acesta

SANCȚIUNI

Amenzi de până la 10.000.000 EUR sau până la 2% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru
încălcări privind obligațiile operatorului și împuternicitului
Amenzi de până la 20.000.000 EUR sau până la 4% din cifra mondială totală anuală corespunzătoare anului financiar anterior, pentru
încălcarea principiilor de bază privind prelucrarea datelor, inclusiv consimțământul, încălcarea drepturilor persoanelor vizate,
transferurilor internaționale de date și nerespectarea măsurilor unei autorități de supraveghere
AMENDA E DE 2% DIN CIFRA DE AFACERI
Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală
totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea
de supraveghere constată încălcarea articolelor cu privire la:

1.Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
2.Obligațiile corpului de certificare conforme cu Articolele 42 și 43
3.Obligațiile corpului de monitorizare aferente Articolelor: 41 (Alineat 4)
Mai exact, această penalitate se va aplica pentru încălcarea prevederilor articolelor:
8: Consimțământul copilului
11: Prelucrarea care nu necesită identificare
25: Protecția datelor prin design și implicit
26: Controlori comuni
27: Reprezentanți ai controlorilor care nu sunt stabiliți în UE
26, 29 și 30: Prelucrarea
31: Cooperarea cu autoritatea de supraveghere
32: Securitatea datelor
33: Notificarea încălcărilor autorității de supraveghere
34: Comunicarea încălcărilor la persoanele vizate
35: Evaluarea impactului protecției datelor
36: Consultare prealabilă
37, 38 și 39: Protecția datelor
41 (4): Monitorizarea codurilor de conduită aprobate
42: Certificare
43: Organisme de certificare
AMENDA E DE 4% DIN CIFRA DE AFACERI?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală
totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de
încălcare:

1.Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
2.Drepturile subiecților aferente Articolelor de la 12 la 22;
3.Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.
Mai exact, această penalitate se va aplica pentru încălcarea prevederilor articolelor:

5: Principii privind prelucrarea datelor cu caracter personal;

6: Legalizarea procesării;
7: Condiții pentru consimțământ;
9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
12 – 22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
44 – 49: Transferuri către țări terțe;
58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
58 (2): Comenzi / limitări privind prelucrarea sau suspendare

GHIDURI ALE GRUPULUI DE LUCRU ART. 29 – REGULAMENTUL GENERAL PRIVIND PROTECȚIA DATELOR (RGDP)

Ghiduri finale ale Grupului de Lucru Art. 29

În cadrul Plenarei din luna aprilie 2017 a Grupului de Lucru Art. 29, s-au finalizat și adoptat trei ghiduri destinate asigurării unei
aplicări unitare, începând din data de 25 mai 2018, a Regulamentului General privind Protecția Datelor.
Astfel, în urma consultării publice demarate în luna decembrie a anului trecut și a analizării propunerilor primite, s-au adoptat :

 Ghidul privind dreptul la portabilitatea datelor,

 Ghidul privind responsabilul pentru protecția datelor (DPO),
 Ghidul privind identificarea autorității de supraveghere lider a unui operator sau împuternicit

De asemenea, menționăm că, în cursul acestei Plenare, s-a adoptat Opinia nr. 1/2017 privind propunerea de Regulament a
Comisiei Europene referitor la comunicațiile electronice – Regulament ePrivacy.
În aceeași Plenară a fost adoptată și o Declaratie a Grupului de Lucru Art. 29 privind revizuirea Regulamentului 45/2001 privind
protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către institutiile și organele comunitare și privind
libera circulatie a acestor date.

 Ghidul privind evaluarea de impact al Grupului de Lucru art. 29 - variantă preliminară

Ghid final al Grupului de Lucru Articolul 29

 În cadrul Plenarei din luna octombrie 2017 a Grupului de Lucru Art. 29, în vederea asigurării unei aplicări armonizate a
Regulamentului General privind Protecția Datelor începând cu data de 25 mai 2018, a fost adoptată forma finală a Ghidului privind
Evaluarea de impact asupra protecției datelor.
Tot în cadrul Plenarei din luna octombrie 2017, au fost adoptate 2 ghiduri disponibile spre consultare publică și trimiteri de
propuneri până la data de 28 noiembrie 2017:
- Ghidul privind notificarea încălcărilor de securitate
- Ghidul privind deciziile automate individuale și profilare
Ghiduri ale Grupului de Lucru Art. 29 – Regulamentul General privind Protecția Datelor (RGDP)

În cadrul Plenarei din luna noiembrie 2017 a Grupului de Lucru Articolul 29, în vederea asigurării unei aplicări armonizate a
Regulamentului General privind Protecția Datelor începând cu data de 25 mai 2018, au fost adoptate două ghiduri disponibile spre
consultare publică și trimiteri de propuneri până la data de 23 ianuarie 2017:

 Ghidul privind consimțământul

 Ghidul privind transparența

CONCLUZII
RGPD este conceput pentru a crea oportunități de afaceri și a stimula inovarea printr-o serie de măsuri,
inclusiv:
*un set unic de norme la nivelul UE – se estimează că existența unei legi unice la nivelul UE cu privire la protecția datelor va duce la
economisirea a 2,3 miliarde EUR pe an;
*desemnarea unui responsabil cu protecția datelor de către autoritățile publice și întreprinderile care prelucrează date pe scară largă;
*ghișeu unic – întreprinderile trebuie să interacționeze cu o singură autoritate de supraveghere (în țara UE în care își au sediul
principal);
*norme UE pentru întreprinderile din afara UE – întreprinderile care își au sediul în afara UE trebuie să aplice aceleași norme când
oferă servicii sau bunuri sau când monitorizează comportamentul persoanelor fizice în cadrul UE;
*norme favorabile inovării – o garanție că produsele și serviciile încorporează măsuri de protecție a datelor încă din prima etapă de
dezvoltare (protecția implicită a datelor începând cu momentul conceperii); tehnici de protejare a vieții private precum
pseudoanonimizarea și criptarea
*eliminarea notificărilor – noile norme privind protecția datelor vor elimina majoritatea obligațiilor de notificare și costurile asociate
acestora. Unul dintre obiectivele regulamentului privind protecția datelor este de a îndepărta obstacolele din calea liberei circulații a
datelor cu caracter personal în cadrul UE. Acest lucru va facilita dezvoltarea întreprinderilor;
*evaluări ale impactului – întreprinderile vor avea obligația de a efectua evaluări ale impactului în cazul în care prelucrarea datelor
poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice;
*păstrarea evidențelor – IMM-urile nu sunt obligate să păstreze evidențe ale activităților de prelucrare, cu excepția cazurilor în care
prelucrarea are loc cu regularitate și este susceptibilă de a genera un risc pentru drepturile și libertățile persoanelor ale căror date se
prelucrează.Comisia Europeană trebuie să transmită un raport privind evaluarea și revizuirea regulamentului până la 25.5. 2020.