GDPR

Noul regulament european privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor
cu caracter personal și privind libera circulație a acestor date („GDPR”) va intra în vigoare la data de
25 mai 2018.

Modificările aduse de GDPR vizează în principal un control sporit al prelucrărilor datelor cu caracter
personal, control exercitat atât de persoanelor fizice vizate cât și de autoritățile de protecția datelor.

Dar cum ne aliniem noilor prevederi și care sunt pașii pe care societățile trebuie să îi implementeze
pentru a asigura conformitatea cu noua reglementare?

ACȚIUNI PENTRU ALINIEREA LA GDPR

Toate societățile procesează datele personale în activitatea lor, fie că aceste date sunt ale, angajaților,
clienților, furnizorilor sau oricăror parteneri contractuali.

GDPR aduce noi obligații însă și sancțiuni mult mai mari față de prevederile anterioare.

Pentru alinierea la noile prevederi in materia de protecția datelor cu caracter personale, am preluat
câteva acțiuni care necesită o atentă implementare.

1. Inventarierea datelor cu caracter personal

Datele cu caracter personal sunt atât datele cu caracter personal care identifică direct o persoană fizică
precum nume, prenume sau adresă de domiciliu dar și orice alte date care permit identificarea indirectă
a acesteia, cum ar fi, în anumite cazuri, numărul de marcă atribuit salariaților.

De asemenea puteți prelucra și date de categorii speciale de date cu caracter personal, precum
confesiunea religioasă, apartenența la sindicate, date biometrice, date pentru identificarea unică a unei
persoane fizice sau date privind sănătatea. În principiu prelucrarea acestor categorii de date este
interzisă.

În primul rând, pentru a implementa noile cerințe în materie de protecția datelor, este necesar să
cunoașteți ce date cu caracter personal prelucrați în activitatea societății.

2. Stabilirea scopurilor în care prelucrați datele cu caracter personal

Fiecare societate prelucrează datele cu caracter personal pentru diferite scopuri.

De exemplu, puteți prelucra datele în scopul derulării contractelor cu clienți/furnizori, în scop de

resurse umane, pentru îndeplinirea obligațiilor legale de plată a taxelor și impozitelor sau în scop de
marketing și publicitate.

Pentru fiecare dintre aceste scopuri asigurați-vă că prelucrați numai datele cu caracter personal strict
necesare.

3. Stabilirea temeiului legal pentru fiecare dintre scopurile de prelucrare

Prelucrarea datelor cu caracter personal pentru fiecare dintre scopurile de mai sus este legală dacă are
unul dintre temeiurile expres identificate în GDPR, cum ar fi (a) persoana vizată și-a dat
consimțământul; (b) datele sunt necesare pentru executarea unui contract la care persoana vizată este
parte; (c) îndeplinirea unei obligații legale a societății sau (d) prelucrarea este necesară în scopul
intereselor legitime ale societății.

Pentru ca prelucrarea să fie legală este suficient dacă aceasta se bazează pe unul dintre temeiurile de
mai sus.

4. Obținerea consimțământului

Pentru prelucrările care au temei consimțământul persoanei vizate este necesar ca acesta să fie dat în
mod liber, pentru fiecare scop în parte.

Nu se poate solicita consimțământul pentru mai multe scopuri. În cazul în care consimțământul
persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea
privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de
celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.

Trebuie să fiți în măsură să demonstrați că persoana vizată și-a dat consimțământul pentru prelucrarea
datelor sale cu caracter personal.

5. Respectarea drepturilor persoanelor vizate

În calitate de operator aveți obligația de a asigura persoanelor vizate exercitarea drepturilor acestora.
Prin urmare aveți în vedere implementarea unor măsuri/ proceduri care să asigure respectarea
drepturilor persoanelor vizate (ex. dreptul de informare și acces la date cu caracter personal, dreptul la
rectificare, dreptul la ștergerea datelor („dreptul de a fi uitat”), dreptul la restricționarea prelucrării,
dreptul la portabilitatea datelor, dreptul la opoziție și procesul decizional individual automatizat).

6. Revizuirea contractelor cu împuterniciții

În cazul în care prelucrarea urmează să fie realizată în numele societății de un terț, aveți obligația de a
recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor
măsuri tehnice și organizatorice adecvate și să asigure protecția drepturilor persoanei vizate.

Prelucrarea de către o persoană împuternicită trebuie reglementată printr-un contract care stabilește
obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și
categoriile de persoane vizate și obligațiile și drepturile societății.

Prin urmare este necesară revizuirea contractelor cu toți împuterniciții pentru a asigura faptul că
aceștia respectă prevederile GDPR.

7. Evidențele activităților de prelucrare

Fiecare societate are obligația de a păstra o evidență a activităților de prelucrare, care cuprinde printre
altele scopurile prelucrării, o descriere a categoriilor de persoane vizate și a categoriilor de date cu
caracter personal, termenele-limită preconizate pentru ștergerea diferitelor categorii de date.

8. Securitatea datelor cu caracter personal

În calitate de operator de date cu caracter personal aveți obligația să puneți în aplicare măsuri tehnice
și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător.

Metode de securizarea datelor cu caracter personal includ criptarea, capacitatea de a asigura

confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de
prelucrarea, un proces pentru testarea, evaluarea și aprecierea periodică ale eficacității măsurilor
tehnice și organizatorice.

9. Stabilirea procedurii de notificare a autorității de supraveghere în cazul încălcării securității

datelor cu caracter personal

În cazul în care are loc o încălcare a securității datelor cu caracter personal, aveți obligația de a notifica
acest lucru autorității competente, fără întârzieri nejustificate și, dacă este posibil, în termen de cel
mult 72 de ore de la data la care a luat cunoștință de aceasta.

Asigurați-vă că ați implementat o procedură în cadrul societății care să permită în primul rând
identificarea unei astfel de încălcări a securității și ulterior comunicarea în cel mai scurt timp
persoanelor însărcinate cu notificarea încălcării.

Aveți în vedere că pentru identificarea unei încălcări a securității datelor cu caracter personal este
important să instruiți personalul cu privire la prevederile GDPR.

10. Evaluarea impactului asupra protecției datelor cu caracter personal

Având în vedere criterii precum natura, contextul și scopurile prelucrării, în cazul în care un tip de
prelucrare, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice,
aveți obligația de a efectua, înaintea fiecărei prelucrării, o evaluare a impactului acesteia asupra
protecției datelor cu caracter personal.

Evaluarea se impune mai ales în cazul prelucrării pe scară largă a unor categorii speciale de date sau în
cazul evaluării sistematice a aspectelor personale, care se bazează pe prelucrarea automată, și care stă
la baza unor decizii care produc efecte juridice privind persoana fizică.

Prin urmare asigurați-vă că ați implementat o procedură de evaluare a proceselor de prelucrare a

datelor cu caracter personal.

11. Desemnarea responsabilului cu protecția datelor

În cazul în care activitățile principale ale societății constă în operațiuni de prelucrare care, prin natura,
domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor
vizate pe scară largă; sau activitățile principale constau în prelucrarea pe scară largă a unor categorii
speciale de date, aveți obligația de a desemna un responsabil cu protecția datelor.

Responsabilul cu protecția datelor trebuie implicat în toate aspectele ce vizează protecția datelor cu
caracter personal.

NOI SANCȚIUNI

– Amenzi de până la 10.000.000 EUR sau până la 2% din cifra mondială totală anuală
corespunzătoare anului financiar anterior, pentru încălcări privind obligațiile operatorului și
împuternicitului;

– Amenzi de până la 20.000.000 EUR sau până la 4% din cifra mondială totală anuală
corespunzătoare anului financiar anterior, pentru încălcarea principiilor de bază privind prelucrarea
datelor, inclusiv consimțământul, încălcarea drepturilor persoanelor vizate, transferurilor internaționale
de date și nerespectarea măsurilor unei autorități de supraveghere;
UE vrea să își protejeze cetățenii digitali, așa că a creat un regulament nou. Din mai va fi activ și-l vei
recunoaște după acronimul GDPR. Bine, de aici începe treaba: ce e GDPR?

În decembrie 2015, internetul a făcut ceva gălăgie la adresa UE și a unui proiect de lege care acoperă
și vârsta pe care ar trebui s-o aibă adolescenții, ca să nu ceară acordul părinților. Au trecut aproape doi
ani și lumea aproape a uitat de acest proiect, doar că el a mers înainte și din mai 2018 va fi aplicat.

Regulamentul european 679/2016 privind protecția datelor cu caracter personal, prescurtat GDPR
(General Data Protection Regulation), vine să întărească modul în care sunt protejate datele cu caracter
personal ale cetățenilor uniunii europene.

Fie că discutăm doar de stocarea anumitor informații privind persoanele fizice, fie că discutăm de
utilizarea acestora în diverse scopuri (crearea de profiluri, vânzarea bazei de date, monitorizarea
persoanelor), actorii implicați au o serie de drepturi și obligații clar determinate.

Mai recent, odată cu audierea lui Mark Zuckerberg, director și fondator Facebook, GDPR a reapărut în
atenția oamenilor. Șeful Facebook susține că în Europa se va conforma. Totuși, nu vrea să discute prea
mult pe tema asta, că s-ar putea ca legislatorii din Statele Unite ale Americii să vrea implementarea
unei legi similare.

Cum poți înțelege mai ușor GDPR

În primul rând, trebuie să înțelegi concepte ca: „date cu caracter personal”, „prelucrare” și „operator”,
necesare pentru a înțelege efectele GDPR-ului.

Informațiile privind persoana fizică (datele cu caracter personal), care sunt protejate, sunt acele
informații prin care aceasta poate fi identificată. Aici menționez: nume, număr de identificare,
identificator online, date de localizare, originea rasială sau etnică, opiniile politice, confesiunea
religioasă, convingeri filozofice, apartenența la sindicate, orientarea sexuală sau date privind sănătatea.

Sunt considerate date cu caracter personal și acele elemente specifice care ne deosebesc de ceilalți
membri ai societății. Sau cele care doar ne încadrează în anumite categorii. Aici intră elemente cum ar
fi un timbru deosebit al vocii, un tatuaj, o tunsoare, utilizarea unui anume tip de salut, nivelul
veniturilor sau anumite preferințe culturale.

Prin prelucrarea datelor cu caracter personal se înțelege orice operațiune efectuată asupra acestora. Iar
aici intră colectarea, stocarea, reorganizarea, consultarea, modificarea, utilizarea sau transmiterea, dar
și ștergerea sau distrugerea. Crearea de profiluri, pentru a evalua anumite aspecte personale (cum ar fi
performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele,
comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia) reprezintă tot
o operațiune de prelucrare.

Operatorul de date cu caracter personal este acea persoană care stabilește scopurile și mijloacele prin
care se vor prelucra datele cu caracter personal. Acesta poate fi o persoană juridică, o autoritate
publică dar și o persoană fizică, atât timp cât prelucrarea datelor cu caracter personal se realizează în
scop comercial.

De exemplu, orice persoană fizică care deține un site sau un blog, și utilizează informațiile colectate,
privind persoanele fizice care accesează site-ul, în scopul obținerii de venituri (cum ar fi oferirea de
reclame targetate, pentru care este plătit de cel care afișează reclamele) este considerat un operator de
date cu caracter personal, cu toate implicații aferente.
Ce drepturi au persoanele fizice în cazul GDPR
Actorul principal, cel a cărui protecție se asigură prin acest GDPR, este cetățeanul Uniunii Europene.
Ori de câte ori acestuia i se solicită informații de genul celor menționate mai sus sau le furnizează de
bună voie, trebuie să cunoască că dispune de o multitudine de drepturi.

Regula o reprezintă dreptul persoanei fizice de a nu-i fi prelucrate datele cu caracter personal, decât
dacă își dă consimțământul expres. Însă, dacă prelucrarea datelor cu caracter personal este necesară
pentru încheierea unui contract cu operatorul (achiziția online de bunuri) sau pentru ca operatorul să-și
îndeplinească o obligație legală (înregistrarea unui contract de muncă), obținerea consimțământului
persoanei fizice nu mai este necesar.

Chiar este solicitat sau nu consimțământul persoanei fizice, anterior prelucrării datelor cu caracter
personal, aceasta are dreptul să fie informată cu privire la următoarele aspecte: identitatea operatorului,
scopul și temeiul legal al prelucrării datelor cu caracter personal, cine este beneficiarul respectivelor
date, dacă acestea vor fi transferate într-un stat din afara UE, perioada de timp pentru care vor fi
prelucrate datele, dacă vor fi create profiluri sau nu, precum și drepturile descrise în continuare.

Dacă scopul pentru care au fost prelucrate datele a fost atins (închizi o adresă de mail) sau prelucrarea
nu a fost efectuată în mod legal (nu s-a solicitat consimțământul când era obligatoriu), persoana fizică
are dreptul să ceară ștergerea datelor sale cu caracter personal.

Se poate solicita și restricționarea prelucrării datelor pentru o perioadă de timp, atunci când se contestă
exactitatea acestora, până la momentul remedierii neconcordanțelor de către operator.

Dreptul la portabilitatea datelor permite persoanei fizice să solicite operatorului transmiterea acestor
date către un alt operator de date cu caracter personal. Totodată, o persoană fizică se poate opune
oricărei prelucrări automate, ce implică crearea de profiluri.

În cazul în care o persoană fizică observă o încălcare a drepturilor sale, se poate adresa Autorității
Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru sancționarea operatorului.

Ce obligații au operatorii sub GDPR

Informarea corespunzătoare a persoanelor fizice, precum și obținerea consimțământului acestora,
atunci când este cazul, reprezintă principalele obligații ale operatorilor, corelativ cu drepturile
persoanelor fizice.

Orice operator trebuie să verifice dacă persoana fizică, a cărei date cu caracter personal le prelucrează,
are peste 16 ani.

În cazul în care discutăm de un minor sub 16 ani, este necesar acordul părinților pentru a putea fi
prelucrate datele cu caracter personal ale acestuia.

Dacă operatorului i se solicită să confirme că prelucrează sau nu date cu caracter personal ale unei
persoane fizice anume, acesta are obligația de a da un răspuns persoanei fizice respective, indiferent de
câte solicitări de acest fel primește.

Operatorul trebuie să-și informeze angajații și colaboratorii implicați în prelucrarea de date cu caracter
personal, asupra drepturilor și obligațiilor stipulate de GDPR. De asemenea, în funcție de activitatea
acestuia și importanța datelor cu caracter personal prelucrate, poate fi necesară și implementarea unor
măsuri tehnice pentru securizarea datelor cu caracter personal (acces restricționat pe bază de parole,
dublat de schimbarea periodică a parolelor, utilizare firewall-uri, criptarea bazelor de date).

Citește și

Dacă un operator are mai mult de 250 de angajați sau prelucrează în mod curent date cu caracter
personal (cum ar fi băncile, asigurătorii, prestatorii de servicii de telefonie etc.) are obligația să
întocmească o evidență, atât scrisă, cât și electronică, a prelucrărilor de date cu caracter personal
efectuate.

În ipoteza în care se va observa o încălcare a măsurilor de securitate luate (copierea bazei de date
persoane neautorizate, atacuri cibernectice etc) operatorul trebuie să anunțe cât mai rapid Autoritatea
Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cât și persoanele fizice afectate.

Nu este permisă păstrarea datelor cu caracter personal, după îndeplinirea scopului și duratei pentru
care au fost prelucrate. Prin excepție, acest lucru este permis doar pentru arhivarea în interes public,
cercetare științifică sau istorică, ori pentru scopuri statistice.

ce înseamnă noile reglementări GDPR pentru

tine și afacerea ta?

Ce înseamnă GDPR si ce face?

Uniunea Europeana (UE) a schimbat regulile privind protecția datelor. Schimbările sunt acum reguli si
vor intra in vigoare in UE începând cu 25 Mai 2018. Noile reguli se numesc GDPR – General Data
Protection Regulation si aplica atât in sectorul public cat si la afacerile mici si mijlocii.

Aceste schimbări vor afecta felul in care funcționează firmele. In acest document am alcătuit o mica
introducere in GDPR, in special cum afectează lucrul la birou.

Ce este protecția datelor?

In UE exista o serie de legi pentru colectarea si procesarea datelor cu caracter personal. Oricine
colectează sau procesează date personale trebuie sa protejeze si sa se asigure ca sunt in concordanta cu
o serie de reglementari legale. GDPR este un upgrade la aceste reglementari.

Aceste reguli se aplica datelor electronice si fizice?

GDPR se va aplica atât datelor electronice (precum email-uri sau baze de date) cat si documentelor
fizice (cu câteva excepții). Asta înseamnă ca avem responsabilități inclusiv cu documentele fizice, pe
care trebuie sa le păstram in siguranța si sa le distrugem in siguranță atunci când nu mai este nevoie de
ele.
Ce amenzi există pentru nerespectarea reglementărilor?

Sub noile reglementari, instituțiile responsabile cu implementarea lor pot impune amenzi de
maxim 20 milioane Euro sau 4% din cifra de afaceri. Nu toate amenzile vor atinge pragul maxim, o
amenda oricât ar fi valoarea ei nu este o opțiune pentru companii.

Companiile vor fi nevoite sa facă mai mult?

Organizațiile vor avea mai multe responsabilități si obligații. Concret, firmele vor fi nevoite sa
implementeze masuri tehnice si organizaționale pentru a se asigura ca datele prelucrate sunt in
concordanta cu noile reglementari. Firmele vor fi nevoite sa evalueze nivelul potrivit de securitate si sa
considere riscul pe care îl prezinta in prelucrarea datelor, in special prin accidente sau distrugerea
nepotrivita. Vor trebui sa poată arata măsurile pe care le-au luat in direcția noilor reglementari. O parte
foarte importanta este verificarea cui i se trimit si prin ce programe trec datele personale – Ex. Email,
Server, Terți.

Exista exemple de cazuri unde s-au întâmplat accidente referitoare la protecția datelor?

Recent, in UK, instituția responsabila cu protecția datelor (Information Commissioner’s Officer, a

amendate o instituție publica cu 100.000 de lire pentru ca nu a implementat masurile necesare de
securitate sa protejeze pierderea accidentala si distrugerea datelor. Documente care conțineau date cu
caracter personal a peste 100 de oameni (adulți si copii aflați in circumstanțe vulnerabile) au fost
găsite după ce instituția amendata si-a mutat sediul lăsând in urma documente care conținea informații
sensibile.

In Olanda, câțiva operatori de transport public au fost amendați pentru ca țineau date tranzacționale
mai mult decât era necesar. Operatorilor le-au fost inițial opțiunea de a șterge sau de a anonimiza
datele. Aceștia au decis sa le anonimizeze, însă pentru un operator anonimizarea nu a fost
implementata corect, astfel primind o amenda de 125.000 Euro.

In Spania au fost mai multe amenzi date de către instituția responsabila cu protecția datelor.
Documente care conțineau date cu caracter personal erau aruncate in coșuri de gunoi sau la pubele
publice. In cel puțin un caz, documentele erau distruse doar partial, dar in cele mai multe cazuri
documentele nu erau distruse deloc.

Va trebui sa prioritizezi protecția datelor in tot ce fac?

Securitatea datelor trebuie sa fie in toate procesele companiei. Afacerile vor fi nevoite sa se asigure ca
se procesează doar datele personale care chiar trebuie procesate.

Ca rezultat, câteva întrebări pe care sa le punem:

 Am nevoie de aceasta informație cu caracter personal?

 Am nevoie sa procesez aceasta informație cu caracter personal?
 Cei care au acces la aceasta informație ar trebui sa aibă acces?
 Informațiile sunt expirate?
Va fi necesar un consimțământ pentru prelucrarea datelor?

In general trebuie sa existe un motiv legitim pentru procesarea datelor cu caracter personal. Daca
consimțământul este obligatoriu începând cu noile reglementari, acesta va fi necesar sa fie dat printr-o
acțiune activa (ex. bifarea unei căsuțe) si nu una pasiva (ex. inactivitate la o informarea oferita).
Companiile vor fi nevoite sa poată demonstra procesul prin care consimțământul a fost dat. Trebuie sa
ne asiguram ca procesul colectării datelor este unul conform reglementarilor.

Exista drepturi noi?

O serie de noi drepturi au fost introduse:

 Dreptul de a fi uitat – Permite persoanelor sa solicite ștergerea informațiilor cu caracter

personal.
 Dreptul la portabilitate – Permite oamenilor sa solicite ca informațiile lor sa fie păstrate într-un
format comun care poate fi transferat.
 Dreptul la obiecție – Permite oamenilor sa obiecteze la categorisirea lor in scopuri de
promovare într-o acțiune de marketing direct.

Ce se întâmpla cu persoanele care solicita sa vadă datele despre ei?

Dreptul persoanelor de a își vedea datele, tehnic se numește Subject Access Requests (SAR), continuă
sub noile reguli. Acest proces permite oricui sa exercite dreptul de a obține acces la informațiile
deținute despre ei. Sub noile reguli SAR, trebuie răspuns in termen de o luna de la primirea solicitării.
Iar posibilitatea firmelor de a solicita o suma de bani pentru a răspunde la aceasta solicitare a fost
scoasa. A fost o creșterea signifianta in numărul de solicitări SAR – Când acestea se vor face gratis va
avea loc o creștere si mai mare. Ținând cont de creșterea comunicării prin email si aplicații cloud,
SAR s-ar putea sa coste si mai mult ținând cont de complexitatea datelor care se solicita.

O parte esențială pentru viitorul oricărei organizații va fi implementarea unui proces care sa răspundă
solicitărilor SAR.

Voi avea nevoie de un Ofițer pentru protecția datelor?

Posibil. Sub noile reglementari GDPR autoritățile publice trebuie sa aloce un ofițer al protecției datelor
(Data Protection Office – DPO). In unele circumstanțe un DPO va trebui numit si pentru companiile
din Romania. Este necesar o consultanta legala pentru a identifica daca compania ta va avea nevoie de
aceasta noua poziție in firma. Privind numărul mare de reglementari, este totuși recomandat pana si
pentru companiile mici si mijlocii sa aloce un DPO care sa preia responsabilitatea implementării
tuturor acestor noi reguli.

Va trebui sa raportez erori in sistemul de date?

Asigurarea ca datele sunt in siguranța este una din cele mai importante reguli.
Ce înseamnă o eroare in sistemul de date poate include multe situații, precum distrugerea, pierderea,
alterare sau folosirea neautorizata a datelor cu caracter personal.

Aceste erori vor trebui raportate (împreuna cu masurile luate pentru a minimiza eroarea) către
instituția responsabilă cu protecția datelor in termen de 72 de ore de la luarea la cunoștința a erorii.

Oameni care pot fi afectați trebuie înștiințați (aici nu este dat un termen limita) când se ia la cunoștința
de eroare. Există însă si aici excepții pentru când se raportează si când nu, de aceea recomandăm
consultanță legală în această cauza.

Exista compensații?

Ca regulă generală, oricine are de suferit pe urma unor erori din cauza datelor personale care nu au fost
păstrate in siguranța de către operator va putea cere despăgubiri. Afacerile vor fi nevoite sa facă
maximul posibil pentru a minimiza pagubele care pot fi provocate in urma a astfel de erori.

Va fi nevoie sa se facă o evaluare a impactului privind prelucrarea datelor personale?

Sub noile reguli aceasta evaluare se numește Data Protection Impact Assessments (DPIAs). Unde
operațiunile care procesează date (in mod particular cele folosind noi tehnologii) sunt cu risc ridicat
pentru drepturile si libertățile oamenilor. O evaluare a impactului este necesar in prelucrarea
operațiunilor înainte ca operațiunile să se poată desfășura.

DPIAs vor deveni comune si vor fi foarte utile pentru afaceri in adresarea atât problemelor de
siguranța datelor prelucrate cu risc ridicat cat si de minimizarea riscurilor in caz de folosirea
nejustificata sau greșită a datelor cu caracter personal.

S-a schimbat ceva privind transferul de date in tarile din lumea a 3a?

Nu chiar. Anumite legi privind transferul de date din tarile membre UE către tarile din lumea a 3a
(incluzând SUA) rămân la fel in urma adoptării GDPR, incluzând necesitatea ca datele transferate pot
avea loc doar sub nivelul adecvat de protecție dat de tarile participante. Sub noile reguli, acest regim
doar a devenit mai detaliat.

Ce trebuie făcut acum?

1. Pune la punct un proces de evaluare a impactului procesării datelor cu caracter personal –

Inventariere si traseul datelor împreuna cu zonele de risc.
2. Revizuirea contractelor cu partenerii – Vom avea nevoie de ajutorul partenerilor pentru a pune
la punct un raport de securitate, așadar noile contracte va trebui sa aibă paragrafe referitoare
stric la prelucrarea datelor.
3. Trebuie făcut un Update la sistemul de gestiune si constituite documente detaliate privind
masurile luate pentru păstrare in siguranță a datelor care să poată fi prezentate într-un control.
4. Revizuirea aspectelor practice incluzând modalitatea de păstrare a datelor folosite de către
companie.
5. Un plan de distrugere sau ștergere a datelor de care nu ai nevoie.
6. Sa ne asiguram ca aspectele noi precum consimțământul explicit, dreptul de a fi uitat,
portabilitatea datelor si dreptul la obiecție sunt incluse în clauzele și procedurile companiei.
7. Procedurează un plan de notificare a instituțiilor responsabile in cazul erorilor care pot apărea
in prelucrarea datelor.
8. Numește o persoană responsabilă Data Protection Officer
9. Informarea si Reinformarea angajaților și tuturor persoanelor din companie care intra in
contact cu date si documente sensibile.
10. Stabilește si ia parte la audituri care te vor ajuta sa identifici si sa rectifici diverse probleme ce
pot apărea.
GDPR: Protecția datelor în relația angajat – angajator

Regulamentul General privind Protecția Datelor (GDPR) care se va aplica începând cu 25 mai
2018 vizează toate prelucrările de date cu caracter personal, inclusiv datele personale ale
angajaților, cu contract de muncă sau freelanceri, prelucrate de angajatori.

de Ruxandra Pîrlan, Avocat bpv Grigorescu Ștefănică

Aceste prelucrări decurg firesc din relația de muncă, deoarece angajatorul trebuie să poată identifica în
mod corect angajatul, să îi poată vira salariul într-un cont bancar, să îl înscrie în Revisal, să
monitorizeze activitatea și folosirea echipamentelor de lucru, iar toate aceste acțiuni presupun
prelucrarea de date personale. Dintre aceste categorii de prelucrări unele sunt obligatorii și necesare,
pe când altele sunt dispensabile, realizate în scopul creșterii productivității, eficienței sau în alte
scopuri stabilite de fiecare angajator în parte și ar putea fi considerate excesive, deci nelegale.

Ce acțiuni sunt considerate prelucrări ale datelor personale ale angajatului?

Conform GDPR, prelucrarea de date cu caracter personal include orice operațiune efectuată asupra
datelor personale. Cele mai frecvent întâlnite exemple de prelucrare a datelor includ: păstrarea în
arhiva fizică sau electronică a societății a contractelor de muncă, înregistrarea video folosind CCTV,
geolocalizarea, percheziționarea corporală sau interogarea angajaților, monitorizarea folosirii
internetului, emailului sau a activității de pe un calculator, inclusiv a folosirii rețelelor sociale (e.g.
Facebook, Instagram, LinkedIn, YouTube etc.).

Toate aceste prelucrări sunt un subiect sensibil nu doar prin prisma GDPR, ci și prin prisma
prevederilor Convenției Europene a Drepturilor Omului, care susține că angajatul are dreptul la
intimitate și viață privată chiar și la locul de muncă, indiferent de înțelegerea existentă între acesta și
angajator.

Când se pot prelucra datele personale ale angajaților?

a) Executarea contractului

Când datele angajatului sunt necesare pentru executarea efectivă a contractului de muncă, compania va
putea prelucra acele date personale și doar pe acelea folosind acest temei. Exemplu: va putea solicita
angajatului datele sale de identificare necesare pentru încheierea contractului, precum și datele bancare
necesare pentru virarea salariului, însă va fi greu de justificat solicitarea de informații despre membrii
familiei, cum ar fi nume, prenume, locurile de muncă trecute și actual, deși nu imposibil.

b) Respectarea unor obligații legale

Dacă există obligații legale (i.e. rezultate dintr-o lege sau ordin al unei autorități publice) pe care
compania le are în calitate de angajator, cum ar fi: transmiterea datelor angajaților în scopul protecției
muncii sau asigurărilor sociale, transmiterea către autoritățile fiscale, prelucrarea în scopuri legate de
medicina muncii, evaluarea capacității de muncă a angajatului, compania are un temei legal pentru
prelucrarea datelor necesare pentru îndeplinirea acestor obligații. Orice alte date personale colectate în
mod suplimentar ar putea fi considerate excesive, atrăgând riscul aplicării unei amenzi.

c) Consimțământ
Prelucrarea datelor personale ale angajaților pe baza consimțământului a devenit blamată de-a lungul
ultimilor ani, chiar dinainte de adoptarea GDPR, prin diversele documente oficiale ce au fost publicate
la nivelul UE. Argumentul principal este că angajatul se află într-o relație de subordonare, de
dependență economică față de angajator, ceea ce pune sub semnul întrebării posibilitatea sa de a-și
manifesta voința în mod liber. Angajatul s-ar putea simți constrâns să consimtă la prelucrări ale datelor
sale solicitate de angajator, de teamă sau din dorința de a nu suferi consecințe nefavorabile la locul de
muncă. Din această cauză, un consimțământ exprimat de angajat pentru prelucrarea datelor sale, de
exemplu în contextul monitorizării, ar putea fi considerat nevalabil.

În cazul consimțământului, este necesară o analiză amănunțită a situației respective pentru asigurarea
respectării tuturor cerințelor pe care GDPR le impune în aceste cazuri. Printre aceste cerințe se numără
și oferirea unor drepturi suplimentare angajatului, față de cazul prelucrării datelor pentru executarea
contractului sau îndeplinirea unei obligații legale, cum ar fi dreptul la retragerea consimțământului în
orice moment. Dacă angajatul își retrage consimțământul, angajatorul este obligat să înceteze imediat
prelucrarea datelor și, eventual, să le șteargă, dacă ele nu sunt asociate altor prelucrări bazate pe un alt
temei justificat.

d) Interes legitim

Interesul legitim al angajatorului poate fi folosit ca temei pentru prelucrarea datelor, dacă nu aduce o
ingerință nepermisă în viața privată a angajatului. Însă, anterior implementării unor măsuri întemeiate
pe interes legitim, societatea trebuie să realizeze un test al proporționalității prin care să evalueze în ce
măsură scopurile sale prevalează sau nu asupra vieții private a angajatului și dacă nu cumva există alte
metode prin care să își culeagă informațiile necesare, fără să intervină în viața privată a angajaților săi.

Monitorizarea activității angajaților

După cum am amintit anterior, monitorizarea angajaților nu se poate face în baza consimțământului
acestora. În schimb, se poate face pe baza interesului legitim al angajatorului, dacă nu aduce o
ingerință nepermisă în viața privată a angajatului. În toate cazurile, angajatorul trebuie să informeze în
detaliu despre modul de desfășurare a monitorizării, încă dinainte de începerea acesteia.

De remarcat faptul că prin comparație cu CCTV-urile care sunt ușor de observat, progresul tehnologic
face posibilă monitorizarea prin servicii online sau aplicații mobile într-un mod neintuitiv pentru
angajat și e posibil ca acesta să nu știe și să nu poată deduce că este monitorizat. Aceste situații sunt cu
atât mai frecvente în contextul în care angajații lucrează de acasă sau din deplasare sau atunci când
folosesc propriile dispozitive pentru desfășurarea activității profesionale. În timp ce acest tip de
monitorizare ajută angajatorul să aibă un oarecare control asupra informațiilor ce aparțin companiei și
asupra activității angajatului, ea poate avea uneori un caracter excesiv și disproporționat în raport cu
viața privată a persoanei.

Monitorizarea documentelor și comunicațiilor personale

Trebuie evitată monitorizarea nediscriminatorie a informațiilor din email, rețele sociale, informații de
localizare, preferințe personale etc, prin minimizarea colectării datelor personale ce sunt stocate în
dispozitivele personale doar la cele necesare, orientate doar spre zonele de risc identificate de societate
și raportate la activitatea societății.

Ca regulă generală, documentele și comunicațiile personale nu ar trebui monitorizate, la fel nici

anumite zone sensibile (e.g. spațiile de recreere, spațiile cu destinație religioasă, grupurile sanitare,
utilizarea camerei web pentru a înregistra activitatea angajatului ce lucrează la domiciliu,
geolocalizarea nu ar trebui să monitorizeze continuu în cazul în care mașina este la dispoziția
angajatului 24/24, ci doar în timpul programului de lucru). Este recomandat să se apeleze la verificarea
prin sondare la anumite intervale de timp în cadrul programului de lucru în locul verificării prin
înregistrare continuă.

Având în vedere principiile introduse în GDPR de privacy by design și privacy by default, care
presupun că încă din momentul conceperii și proiectării procesele de prelucrare a datelor personale
trebuie să aibă în vedere prelucrarea conformă GDPR, companiile trebuie să se asigure că dispozitivele
pe care le dau angajaților sunt concepute și setate în mod implicit astfel încât să colecteze un minim de
date cu caracter personal.

Monitorizarea prin dispozitive telematice

În cazul particular al dispozitivelor telematice (telematics), ce pot prelucra informații detaliate despre
flota de vehicule a companiei cum ar fi: poziția și localizarea, condițiile în care este utilizat vehiculul
(e.g. turație motor, temperatură carlingă), inclusiv comportamentul șoferului (e.g. accelerație excesivă,
frânare bruscă, rulare în condiții medii), companiile ar putea susține că utilizarea unor astfel de
dispozitive au avantaje economice semnificative (e.g. cresc productivitatea și performanța, reduc
riscurile de accident). Cu toate acestea, o monitorizare continuă nediscriminatorie a șoferului va fi
considerată excesivă. O posibilă soluție de reducere a riscului asupra vieții sale private ar fi
introducerea posibilității de a opri anumite funcționalități pe o perioadă limitată sau înlocuirea acestora
cu soluții neintruzive, inclinând astfel balanța în favoarea interesului legitim al angajatorului.

O problemă importantă se pune în cazul în care asigurătorul ales de angajator pentru asigurarea flotei
de vehicule obligă angajatorul, prin contract, să instaleze dispozitive telematice cu funcționare 24/7
pentru calculul primei de asigurare. În această situație, angajatorul trebuie să analizeze dacă aceste
condiții impuse de asigurător îl expun sau nu unor riscuri în ce privește prelucrarea datelor, deoarece
contractul încheiat cu asigurătorul nu va putea fi invocat ca motiv pentru o prelucrare excesivă a
datelor personale.

Dreptul angajatului de a se opune

Subliniem faptul că orice monitorizare, indiferent de temei și modalitate de desfășurare, trebuie să fie
complet transparentă față de angajat. De asemenea, angajatul are dreptul de a se opune unei astfel de
prelucrări în cazul în care monitorizarea este întemeiată pe interes legitim. În acest caz, angajatorul va
trebui să demonstreze că interesul său legitim prevalează dreptului angajatului la viață privată.

Prelucrarea datelor cu caracter personal în contextul recrutărilor

Datele personale colectate în contextul recrutărilor ar trebui șterse, de regulă, imediat ce procesul de
recrutare s-a finalizat și este clar că persoanele în cauză nu vor fi angajate, dacă nu s-a specificat către
persoana vizată o altă perioadă de stocare, stabilită în mod justificat.

Cu toate acestea, angajatorul ar putea justifica un interes legitim pentru păstrarea unor astfel de date
până la procesele următoare de recrutare, însă oportunitatea acestui interes trebuie evaluată în mod
real. Potențialul angajat trebuie informat extensiv în acest sens, inclusiv cu privire la durata de stocare
a datelor sale, care trebuie să fie o durată rezonabilă și cu privire la dreptul de a se opune prelucrării.

De asemenea, documentarea activității conturilor de pe diverse rețele sociale aparținând unui potențial
angajat ar putea fi justificată printr-un interes legitim. Însă atunci când această monitorizare continuă
și după angajare, ea va ridica riscuri importante pentru angajator.

Transferul datelor personale ale angajaților către alte state

GDPR are în vedere faptul că societățile care fac parte dintr-un grup pot avea un interes legitim de a
transmite date cu caracter personal ale angajaților în cadrul grupului de întreprinderi în scopuri
administrative interne. Acest transfer se poate realiză fără o autorizare prealabilă atunci când datele
personale sunt transferate în interiorul UE.

Atunci când transferul datelor se face către un stat din afara UE, regulile rămân neschimbate. Astfel,
pe baza Regulilor Corporatiste Obligatorii (Binding Corporate Rules – BCR) care sunt menționate
expres în GDPR se poate realiza acest transfer către un stat terț ce nu a fost evaluat și aprobat de
Comisie ca oferind un nivel adecvat de protecție. Alte modalități conforme de transfer a datelor
angajaților către state terțe sunt: clauzele standard de protecție adoptate de Comisie, codurile de
conduită însoțite de angajamente obligatorii și executorii sau mecanismele de certificare însoțite de
angajamente obligatorii și executorii.

Păstrarea evidențelor si controlul autorității de supraveghere

Societățile cu peste 250 angajați vor avea obligația de păstrare a evidențelor activităților de prelucrare
a datelor personale, în scris/ electronic. Aceeași obligație o vor avea și companiile cu mai puțin de 250
de angajați dacă prelucrările pe care le efectuează sunt susceptibile „să genereze un risc pentru
drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include
categorii speciale de date, sau date cu caracter personal referitoare la condamnări penale și
infracțiuni”.

Verificarea conformității cu prevederile GDPR va fi efectuată de Autoritatea Națională de

Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În momentul unui control al
autorității, compania va fi unica responsabilă să demonstreze că respectă prevederile legale, iar pentru
a face acest lucru, va trebui să documenteze toate activitățile de prelucrare și să aibă implementate
politici și proceduri de prelucrare a datelor cu caracter personal. Amenzile maxime ce pot fi aplicate în
cazul descoperirii neregulilor sunt de EUR 20 milioane sau 4% din cifra de afaceri globală a societății.

În data de 5 septembrie 2017 a fost supus dezbaterii publice proiectul de lege pentru modificarea și
completarea legii de înființare, organizare și funcționare ANSPDCP, precum și pentru abrogarea
actualei legi ce reglementa prelucrarea datelor cu caracter personal (Legea nr. 677/2001). Urmează a fi
stabilit astfel cadrul de desfășurare a activității ANSPDCP și atribuțiile acesteia în contextul GDPR.

Concluzii

Este important de reținut că indiferent de prelucrările pentru care optează angajatorii, trebuie
identificat în mod corect temeiul de prelucrare a datelor și trebuie respectate drepturile angajatului în
legătură cu prelucrarea, respectiv dreptul de a fi informat, dreptul de acces la date, dreptul de
rectificare a datelor, dreptul de a solicita ștergerea datelor, în funcție de situația particulară a fiecărei
prelucrări.