GDPR

PROTECŢIA DATELOR
Revistă realizată de RENTROP & STRATON, nr. 1, februarie 2018
DIN SUMAR
3 Principii legate de prelucrarea datelor cu caracter

personal
3 Obligațiile societății in privința prelucrării datelor
3 Consimțământul conform Regulamentului

nr. 679/2016
3 Categorii speciale de date
3 Probleme privind transferarea datelor cu caracter

personal
Abonează-te ACum la
Revista Română de protecţia Datelor
Revista conţine:
l Răspunsuri la întrebări fierbinți ridicate de Regulamentul privind
Protecția Datelor Personale;
l Ultimele noutăți și evoluții cu privire la aplicarea Regulamentului, atât în ceea ce
privește; reglementări și/sau decizii ale Autorității Naționale, cât și în ce privește
evoluțiile la nivel european;
l Soluții practice, oferite de avocați specializați în DATA PROTECTION, de natura
să ajute la implementarea în cadrul organizațiilor a cerințelor legale;
l Sugestii pentru evitarea amenzilor la care sunt expuși operatorii.
Abonament Comandă telefonică:

021.209.45.12
24 de luni
cu reduCere
16% Comandă pe e-mail:
comenzi@rs.ro
Comandă accesând link-ul:

www.revista-dataprotection.manageronline.ro
Revista Română de Protecţia Datelor
Revista română de
În această ediție:
Protecţia Datelor
Editorial: Av. dr. Andrei Săvescu,

✘ Editorial ............................................................... 2
Managing Partner SAVESCU
✘ Principii legate de prelucrarea datelor cu caracter

& ASOCIAȚII, președinte al
SOCIETĂȚII de ȘTIINTE JURIDICE
personal .............................................................. 3
✘ Important – Obligațiile societății in privința prelucrării
Autori: Justinian Cucu,
Adina Popescu, Irina Dumitrecu,
datelor ................................................................. 4
Rodica Mantescu
Manager Departament Editorial: ✘ Consimțământul conform Regulamentului

nr. 679/2016 ........................................................ 5
Răzvan Tănase
Manager produs: Georgiana Istudor
✘ Categorii speciale de date cu character personal...... 6
✘ Atenție! – Probleme privind transferul datelor cu
Director Creație-Producție:
Cristina Straton
Tehnoredactare: Simona Morărescu
caracter personal................................................... 8
✘ Caz practic – procesarea datelor cu caracater
Corectură: Elvira Panaitescu
personal – societăţi comerciale ............................... 9

Redacția: Bdul Națiunile Unite
✘ Știati ca: Informaţii utile pentru clienţi .................. 11

nr. 4, sector 5, București;
Telefon: 021.317.25.87,
✘ Drepturile clienţilor cu privire la datele personale

E-mail: info@rs.ro; Internet:
colectate............................................................. 12
www.rs.ro
Corespondență:
– Dreptul la rectificarea datelor ............................ 12

Ghișeul ext. 3 – O.P. 39,
sector 3, București
– Dreptul la ştergerea datelor

(„dreptul de a fi uitat”) .................................... 12
Publicație editată de:
RENTROP & STRATON
Președinte: George Straton – Dreptul la restricţionarea prelucrării ................... 14

– Dreptul la portabilitatea datelor ......................... 15
Director General: Octavian Breban
© 2018 – RENTROP & STRATON – Dreptul la opoziţie ............................................ 16

✘ Prelucrarea datelor în contextul ocupării unui loc
ISSN 2601 - 4289
ISSN-L 2601 - 4289
de muncă ........................................................... 18
✘ Responsabilul cu protecţia datelor/data protection
Toate drepturile rezervate. Nicio parte
officer................................................................. 21
din această lucrare nu poate fi reprodusă,
arhivată sau transmisă sub nicio formă și
✘ RGDP - Prevederi aplicabile prestatorilor de servicii în

prin niciun fel de mijloace, mecanice sau
electronice, fotocopiere, \nregistrare
domeniul resurselor umane .................................. 24

audio sau video, fără permisiunea \n
scris din partea editorului. Autorii sau
✘ Regulamentul General privind Protecţia Datelor.

editorii nu sunt responsabili pentru nicio
Relaţia angajator – angajat .................................. 29

pierdere provocată vreunei persoane
fizice sau juridice care acționează sau se
abține de la acțiuni ca urmare a citirii ma-
terialelor publicate \n această lucrare.
Februarie 2018 1
Editorial Regulamentul general pentru protecția datelor cu caracter personal

este unul dintre cele mai importante acte normative pentru agenții
economici, în principal din cauza amenzilor foarte mari și foarte ușor
de aplicat.
Textul Regulamentului are un istoric sinuos, din care trebuie în-

vățate sensurile lui politice, economice și juridice.
S-ar putea spune că agenții economici din întreaga Europă sunt

victime colaterale ale unui război fin dintre Uniunea Europeană și
Statele Unite ale Americii, cauzat de faptul că acestea din urmă au
reușit să dețină un quasi-monopol asupra managementului atenției
persoanelor vizate din cele dintâi, prin Google, Facebook, Apple și
alții. Însă, după părerea mea, nu aceasta este cheia de boltă a Regula-
mentului.
Cred că este vorba despre altceva, mult mai înalt și mult mai
curând: ordinea. Regulamentul impune tuturor agenților economici
care au mulți clienți și celor care au mulți salariați, sau și-și, să facă
ordine în procesele pe care le derulează. Agenții economici, dar și
instituțiile, sunt obligate de Regulament să aibă proceduri clare cu
privire la protecția datelor cu caracter personal. Aceste proceduri
sunt, pentru foarte mulți, primele proceduri.
Regulamentul privind protecția datelor cu caracter personal obligă

operatorii să-și facă ordine în ogradă, atât din punct de vedere orga-
nizatoric cât și din punct de vedere tehnic. Dar ordinea este costisi-
toare, ceea ce înseamnă că vor supraviețui Regulamentului doar
agenții economici suficient de puternici.
Regulile impuse de Regulament sunt într-atât de împovărătoare

pentru operatori încât greșeala pândește în fiecare paragraf. Inter-
pretarea corectă și precisă a obligațiilor instituite de Regulament este
foarte importantă pentru respectarea dreptului la protecția datelor cu
caracter personal, unul dintre drepturile fundamentale ale omului rel-
ativ recent.
În plus, și poate chiar mai important, interpretarea corectă și pre-

cisă a obligațiilor este esențială pentru a fi evitat sau măcar semnifica-
tiv diminuat pericolul amenzilor uriașe prevăzute de Regulament,
căci aceste amenzi vor putea constitui o sursă importantă de venituri
pentru statele europene care vor dori asta.
Fără îndoială că această oportunitate va fi exploatată (și) de către

Statul Român, mai cu seamă că respectarea obligațiilor instituite de
Regulament, chiar dacă atrage după sine costuri semnificative, are,
fără nicio îndoială, efecte benefice asupra operatorilor și asupra per-
soanelor vizate,
Av. dr. Andrei Săvescu
2 Februarie 2018
Principii legate de prelucrarea
datelor cu caracter personal

Datele cu caracter personal sunt: nu mai permite identificarea Operatorul
l prelucrate în mod legal, persoanelor vizate, scopurile
este
responsabil
echitabil și transparent față de respective sunt îndeplinite în
de
persoana vizată („legalitate, acest mod.“;
l adecvate, relevante și limitate la
respectarea
echitate și transparență“);
l colectate în scopuri determi-
tuturor
ceea ce este necesar în raport cu
principiilor
nate, explicite și legitime și nu scopurile în care sunt prelucrate
legate de
sunt prelucrate ulterior într-un („reducerea la minimum a
mod incompatibil cu aceste datelor“);
scopuri; prelucrarea ulterioară l exacte și, în cazul în care este
prelucrarea
datelor cu
în scopuri de arhivare în interes necesar, să fie actualizate; trebuie
caracter
public, în scopuri de cercetare să se ia toate măsurile necesare
personal și
științifică sau istorică ori în pentru a se asigura că datele cu
poate
scopuri statistice nu este consi- caracter personal care sunt
demonstra
derată incompatibilă cu sco- inexacte, având în vedere sco-
această
purile inițiale, în conformitate purile pentru care sunt prelu-
cu articolul 89 alineatul (1) din crate, sunt șterse sau rectificate
Regulamentul 679/2016, care fără întârziere („exactitate“);
respectare
„respon-
dispune: „Prelucrarea în sco- l păstrate într-o formă care per-
sabilitate“.
puri de arhivare în interes pu- mite identificarea persoanelor
blic, în scopuri de cercetare vizate pe o perioadă care nu de-
științifică sau istorică ori în pășește perioada necesară în-
scopuri statistice are loc cu deplinirii scopurilor în care
condiția existenței unor garanții sunt prelucrate datele; datele cu
corespunzătoare, în conformi- caracter personal pot fi stocate
tate cu prezentul regulament, pe perioade mai lungi în mă-
pentru drepturile și libertățile sura în care acestea vor fi prelu-
persoanelor vizate. Respectivele crate exclusiv în scopuri de
garanții asigură faptul că au fost arhivare în interes public, în
instituite măsuri tehnice și orga- scopuri de cercetare științifică
nizatorice necesare pentru a se sau istorică ori în scopuri statis-
asigura, în special, respectarea tice, sub rezerva punerii în apli-
principiului reducerii la mini- care a măsurilor de ordin tehnic
mum a datelor. Respectivele și organizatoric adecvate pre-
măsuri pot include pseudo- văzute în Regulament în ve-
nimizarea, cu condiția ca re- derea garantării drepturilor și
spectivele scopuri să fie libertăților persoanei vizate
îndeplinite în acest mod. Atunci („limitări legate de stocare“);
când respectivele scopuri pot fi l prelucrate într-un mod care
îndeplinite printr-o prelucrare asigură securitatea adecvată a
ulterioară care nu permite sau datelor cu caracter personal, in-
Februarie 2018 3
clusiv protecția împotriva pre- l prelucrarea este necesară în

lucrării neautorizate sau ilegale vederea îndeplinirii unei obli-
și împotriva pierderii, a dis- gații legale care îi revine opera-
trugerii sau a deteriorării acci- torului;
dentale, prin luarea de măsuri l prelucrarea este necesară pen-
tehnice sau organizatorice co- tru a proteja interesele vitale ale
respunzătoare („integritate și persoanei vizate sau ale altei
confidențialitate“). persoane fizice;
l prelucrarea este necesară pen-
Condițiile legalității tru îndeplinirea unei sarcini
prelucrării
care servește unui interes public
sau care rezultă din exercitarea
autorității publice cu care este
Prelucrarea este legală numai dacă învestit operatorul;
și în măsura în care se aplică cel puțin l prelucrarea este necesară în sco-
una dintre următoarele condiții: pul intereselor legitime urmărite
l persoana vizată și-a dat con- de operator sau de o parte terță,
simțământul pentru prelucrarea cu excepția cazului în care preva-
datelor sale cu caracter personal lează interesele sau drepturile și
pentru unul sau mai multe libertățile fundamentale ale per-
scopuri specifice; soanei vizate, care necesită prote-
l prelucrarea este necesară pen- jarea datelor cu caracter personal,
tru executarea unui contract la în special atunci când persoana
care persoana vizată este parte vizată este un copil. Excepție: nu
Important
sau pentru a face demersuri la se aplică în cazul prelucrării efec-
cererea persoanei vizate înainte tuate de autorități publice în în-
de încheierea unui contract; deplinirea atribuțiilor lor. n
obligațiile societății in privința prelucrării datelor
Regula este că orice prelucrare de date cu caracter personal poate fi efectuată numai dacă per-
soana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare.
Ca excepţie, consimţământul persoanei vizate NU este cerut în următoarele cazuri:
a) când prelucrarea este necesară în vederea executării unui contract sau antecontract la care
persoana vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea
încheierii unui contract sau antecontract;
b) când prelucrarea este necesară în vederea protejării vieţii, integrităţii fizice sau sănătăţii per-
soanei vizate ori a unei alte persoane ameninţate;
c) când prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale a operatorului;
d) când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes
public sau care vizează exercitarea prerogativelor de autoritate publică cu care este învestit
operatorul sau terţul căruia îi sunt dezvăluite datele;
e) când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau
al terţului căruia îi sunt dezvăluite datele, cu condiţia ca acest interes să nu prejudicieze interesul
sau drepturile şi libertăţile fundamentale ale persoanei vizate;
f) când prelucrarea priveşte date obţinute din documente accesibile publicului, conform legii;
g) când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică,
iar datele rămân anonime pe toată durata prelucrării.
4 Februarie 2018
Consimțământul conform
Regulamentului nr. 679/2016

De cele mai multe ori, con- vârsta minorului. În cazul în care au Consimţământul
simţământul persoanei vizate este fost oferite servicii ale societăţii infor- este un element
dat în contextul unei declaraţii scrise maţionale în mod direct unui copil, important în
care se referă şi la alte aspecte. Într-o prelucrarea datelor cu caracter per- prelucrarea
astfel de situaţie este important ca sonal ale unui copil este legală. datelor cu
cererea privind consimţământul să caracter personal
fie prezentată într-o formă care o Dacă copilul are cel puţin vârsta întrucât atunci
diferenţiază în mod clar de celelalte de 16 ani, dacă persoana vizată şi-a când prelucrarea
aspecte, într-o formă inteligibilă şi dat consimţământul pentru prelu- are la bază un
uşor accesibilă, utilizând un limbaj crarea datelor sale cu caracter per- consimţământ,
clar şi simplu. Nicio parte a respec- sonal pentru unul sau mai multe operatorul
tivei declaraţii care constituie o încăl- scopuri specifice. Aşadar, dacă trebuie să fie
care a RGPD nu este obligatorie. copilul are sub vârsta de 16 ani, res- în măsură să
pectiva prelucrare este legală numai demonstreze
Consimţământul poate fi evaluat dacă şi în măsura în care con- că persoana
pentru a se stabili dacă este dat în simţământul respectiv este acordat vizată şi-a dat
mod liber. Pentru aceasta se ţine sau autorizat de titularul răspunderii consimţământul
seama cât mai mult de faptul că, părinteşti asupra copilului. Verifi- pentru
printre altele, executarea unui con- carea acordului dat de către titularul prelucrarea
tract, inclusiv prestarea unui servi- răspunderii părinteşti sau auto- datelor sale cu
ciu, este condiţionată sau nu de rizarea consimţământului cade în caracter
consimţământul cu privire la prelu- sarcina operatorului, acesta trebuind personal.
crarea datelor cu caracter personal să întreprindă toate eforturile rezo-
care nu este necesară pentru exe- nabile pentru verificare, ţinând
cutarea acestui contract. seama de tehnologiile disponibile.
n
De asemenea, trebuie subliniat că
RGPD prevede, de
persoana vizată are dreptul să îşi re-
tragă în orice moment consimţămân-
asemenea, posibilitatea
tul. Retragerea consimţământului nu
ca statele membre
afectează legalitatea prelucrării efec-
să stabilească prin lege

tuate pe baza consimţământului
înainte de retragerea acestuia. Înainte
o vârstă inferioară
de acordarea consimţământului, per-
în aceste scopuri,
soana vizată este informată cu
privire la acest lucru. Retragerea con-
cu condiţia ca
simţământului se face la fel de sim-
acea vârstă inferioară

plu ca acordarea acestuia.
În ceea ce priveşte consimţămân-

să nu fie mai mică
de 13 ani.
tul copiilor minori în legătură cu ser-
viciile societăţii informaţionale,
condiţiile sunt legate în principal de
Februarie 2018 5
Categorii speciale de date
cu caracter personal
Categoriile speciale de date cu ca- curităţii sociale şi protecţiei so-
racter personal a căror prelucrare ciale, în măsura în care acest
este interzisă cuprind: lucru este autorizat de dreptul
Uniunii sau de dreptul intern
l date cu caracter personal care ori de un acord colectiv de
dezvăluie originea rasială sau muncă încheiat în temeiul drep-
etnică, opiniile politice, confe- tului intern care prevede
siunea religioasă sau convinge- garanţii adecvate pentru drep-
rile filozofice sau apartenenţa la turile fundamentale şi interesele
sindicate; persoanei vizate;
l date genetice, de date biome- l prelucrarea este necesară pentru

trice pentru identificarea unică protejarea intereselor vitale ale
a unei persoane fizice, de date persoanei vizate sau ale unei
privind sănătatea sau de date alte persoane fizice, atunci când
privind viaţa sexuală sau ori- persoana vizată se află în inca-
entarea sexuală ale unei per- pacitate fizică sau juridică de
soane fizice. a-şi da consimţământul;
Prelucrarea acestor date cu carac- l prelucrarea este efectuată în

ter personal este interzisă prin art. 9 cadrul activităţilor lor legitime şi
din RGPD. cu garanţii adecvate de către o
fundaţie, o asociaţie sau orice alt
Cu toate acestea, aceasta poate fi organism fără scop lucrativ şi cu
permisă în următoarele situaţii: specific politic, filozofic, religios
l persoana vizată şi-a dat con- sau sindical, cu condiţia ca pre-
simţământul explicit pentru lucrarea să se refere numai la
prelucrarea acestor date cu ca- membrii sau la foştii membri ai
racter personal pentru unul sau organismului respectiv sau la
mai multe scopuri specifice, cu persoane cu care acesta are con-
excepţia cazului în care dreptul tacte permanente în legătură cu
Uniunii sau dreptul intern scopurile sale şi ca datele cu ca-
prevede ca interdicţia menţio- racter personal să nu fie comuni-
nată mai sus să nu poată fi ridicate terţilor fără consimţământul
cată prin consimţământul persoanelor vizate;
persoanei vizate;
l prelucrarea se referă la date cu
l prelucrarea este necesară în caracter personal care sunt fă-
scopul îndeplinirii obligaţiilor şi cute publice în mod manifest de
al exercitării unor drepturi către persoana vizată;
specifice ale operatorului sau ale
persoanei vizate în domeniul l prelucrarea este necesară pentru
ocupării forţei de muncă şi al se- constatarea, exercitarea sau apă-
6 Februarie 2018
rarea unui drept în instanţă sau stabilite de organisme naţionale

ori de câte ori instanţele competente.
acţionează în exerciţiul funcţiei
lor judiciare; l prelucrarea este necesară din
motive de interes public în
l prelucrarea este necesară din domeniul sănătăţii publice, cum
motive de interes public major, ar fi protecţia împotriva
în baza dreptului Uniunii sau a ameninţărilor transfrontaliere
dreptului intern, care este pro- grave la adresa sănătăţii sau
porţional cu obiectivul urmărit, asigurarea de standarde ridicate
respectă esenţa dreptului la pro- de calitate şi siguranţă a asis-
tecţia datelor şi prevede măsuri tenţei medicale şi a medica-
corespunzătoare şi specifice mentelor sau a dispozitivelor
pentru protejarea drepturilor medicale, în temeiul dreptului
fundamentale şi a intereselor Uniunii sau al dreptului intern,
persoanei vizate; care prevede măsuri adecvate şi
specifice pentru protejarea
l prelucrarea este necesară în drepturilor şi libertăţilor per-
scopuri legate de medicina pre- soanei vizate, în special a secre-
ventivă sau a muncii, de evalu- tului profesional; sau
area capacităţii de muncă a
angajatului, de stabilirea unui l prelucrarea este necesară în
diagnostic medical, de scopuri de arhivare în interes
furnizarea de asistenţă medicală public, în scopuri de cercetare
sau socială sau a unui tratament ştiinţifică sau istorică ori în
medical sau de gestionarea sis- scopuri statistice, cu condiţia
temelor şi serviciilor de sănătate existenţei unor garanţii cores-
sau de asistenţă socială, în punzătoare privind respectarea
temeiul dreptului Uniunii sau al principiului reducerii la mini-
dreptului intern sau în temeiul mum a datelor, în baza dreptu-
unui contract încheiat cu un lui Uniunii sau a dreptului
cadru medical şi sub rezerva intern, care este proporţional cu
respectării unor condiţii şi obiectivul urmărit, respectă
garanţii; în acest sens, aceste esenţa dreptului la protecţia
date cu caracter personal pot fi datelor şi prevede măsuri cores-
prelucrate în scopurile menţio- punzătoare şi specifice pentru
nate în cazul în care datele re- protejarea drepturilor funda-
spective sunt prelucrate de către mentale şi a intereselor per-
un profesionist supus obligaţiei soanei vizate.
de păstrare a secretului profe-
sional sau sub responsabilitatea Şi în legătură cu prelucrarea cate-
acestuia, în temeiul dreptului goriilor speciale de date cu caracter
Uniunii sau al dreptului intern personal, RGPD permite statelor
sau în temeiul normelor stabilite membre să menţină sau introducă
de organisme naţionale compe- condiţii suplimentare, inclusiv re-
tente sau de o altă persoană su- stricţii, în ceea ce priveşte prelu-
pusă, de asemenea, unei crarea de date genetice, date
obligaţii de confidenţialitate în biometrice sau date privind sănă-
temeiul dreptului Uniunii sau al tatea.
dreptului intern ori al normelor
Februarie 2018 7
O altă categorie specială de date către operator, operatorul nu are

poate fi considerată cea referitoare la obligaţia de a păstra, obţine sau pre-
condamnări penale şi infracţiuni. lucra informaţii suplimentare pentru
Prelucrarea de date cu caracter per- a identifica persoana vizată în scopul
sonal referitoare la condamnări pe- unic al respectării RGPD.
nale şi infracţiuni sau la măsuri de
securitate conexe în contextul în- Dacă, în aceste cazuri, operatorul
deplinirii condiţiilor de legalitate a poate demonstra că nu este în mă-
prelucrării este reglementată de art. sură să identifice persoana vizată,
10 din RGPD. Prelucrarea se operatorul informează persoana
efectuează numai sub controlul unei vizată în mod corespunzător, în
autorităţi de stat sau atunci când pre- cazul în care este posibil. În astfel de
lucrarea este autorizată de dreptul cazuri, nu sunt aplicabile dreptul de
Uniunii sau de dreptul intern care acces, dreptul la rectificare, dreptul
prevede garanţii adecvate pentru la ştergerea datelor/„de a fi uitat”,
drepturile şi libertăţile persoanelor dreptul la restricţionarea prelucrării,
vizate. Orice registru cuprinzător al obligaţia de notificare privind recti-
condamnărilor penale se ţine numai ficarea şi ştergerea, precum şi drep-
sub controlul unei autorităţi de stat. tul la portabilitatea datelor, cu
excepţia cazului în care persoana
De asemenea, în situaţia în care vizată, în scopul exercitării drep-
scopurile pentru care un operator turilor sale în temeiul respectivelor
prelucrează date cu caracter personal articole, oferă informaţii supli-
ȘtIaȚI CĂ?
nu necesită sau nu mai necesită iden- mentare care permit identificarea sa.
tificarea unei persoane vizate de n
atenție! – probleme privind transferul datelor cu caracter personal
Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit:
a) după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare este nele-
gală, în special a datelor incomplete sau inexacte;
b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă legii
(date anonime = date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi
asociate cu o persoană identificată sau identificabilă); uneori aceasta este o cerinţă imposibilă
(spre exemplu, cabinetele medicale în general nu pot funcţiona cu date personale anonime).
Solicitare scrisă
Pentru exercitarea acestui drept, persoana vizată va înainta operatorului o cerere întocmită în
forma scrisă, datată şi semnată. În cerere, solicitantul poate arăta dacă doreşte ca informaţiile
să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un ser-
viciu de corespondenţă care să asigure că predarea i se va face numai personal.
Răspuns scris
Societatea (operatorul) este obligat(ă) să comunice măsurile luate conform cererii clientului în
termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului
(poştă electronică, serviciu de corespondenţă special).
8 Februarie 2018
Procesarea datelor cu caracater
personal – societăţi comerciale

Autoritatea de
supraveghere
este aplicablă prelucrărilor de date
cu caracter personal efectuate de per-
soane fizice sau juridice, române ori
poate stabili
și alte cazuri
străine, de drept public sau de drept
în care se
privat, indiferent dacă au loc în sec-
poate efectua
torul public sau în sectorul privat.
prelucrarea
acestor date
Cum trebuie să aplice Regulamen- Din perspectiva exemplelor con-
personale
tul GDPR (Regulamentul (UE) crete pot fi enumerați toți angajatorii,
2016/679 al Parlamentului European pentru unii dintre aceștia existând in-
și al Consiliului) o societate care clusiv obligații de raportare către
însă numai
cu condiția
trimite diferite newslettere informa- Autoritatea de supraveghere. Spre
instituirii unor
tive și desfășoară activitate de con- exemplu, instalarea unor sisteme de
garanții
sultanță și contabilitate, din 25 mai supraveghere video la locul de
adecvate
2018? Are obligația pregătirii unui muncă determină o astfel de obli-
pentru
DPO? gație. De asemenea, este subiect al re-
respectarea
glementării orice persoană care
Dacă da, poate fi directorul eco- organizează o evidență a clienților
nomic (5 angajați) DPO? Menționez persoane fizice. drepturilor
persoanelor
că societatea contactează persoane ju-
vizate.
ridice dintr-o bază de date cumpărată, În conformitate cu prevederile art.
în vederea promovării serviciilor sale 8 alin. (1) din Legea nr. 677/2001 pre-
(prin intermediul a 2 operatori call- lucrarea codului numeric personal
center). Ulterior, în urma acceptului sau a altor date cu caracter personal
PJ respectiv, după o perioadă scurtă având o funcție de identificare de
de testare (5-10 zile) se încheie un con- aplicabilitate generală poate fi efec-
tract de prestări servicii. tuată numai dacă persoana vizata
și-a dat în mod expres consimțămân-
Ce alte documente am putea în- tul sau prelucrarea este prevăzută în
tocmi pentru a fi acoperiți de acest mod expres de o dispoziție legală.
Regulament.
Modificarea legislației din dome-
Societatea respectivă are mare niu presupune intrarea în vigoare a
nevoie de niște indicații legate de Regulamentului (UE) 2016/679 și a
GDPR. Directivei (UE) 2016/680. Noile re-
glementări sunt destinate sporirii
Răspuns: protecției persoanelor fizice im-
Sfera de aplicare a legii este de- punând pentru cei care obțin date o
osebit de amplă deoarece art. 2 din mai mare rigoare în obținerea și pre-
Legea nr. 677/2001 pentru protecţia lucrarea acestora. Răspunderea pen-
persoanelor cu privire la prelucrarea tru implementarea dispozițiilor din
datelor cu caracter personal şi libera domeniu revine administratorilor
circulaţie a acestor date dispune că care însă le vor putea pune în apli-
Februarie 2018 9
care prin persoane de specialitate l Privacy by design & Privacy by

care să se asigure, de exemplu, de le- default – două noi principii
galitatea obținerii consimțământului, esenţiale pentru operatorii de
sau de compartimentul informatic date Privacy by design – eşti
care să asigure protectia bazelor de dezvoltator de aplicaţii (care vor
date. Începând cu 25 mai 2018 o parte prelucra şi date personale)? Tre-
dintre aceste responsabilități sunt buie să te asiguri, încă din sta-
stabilite în sarcina responsabilului cu diul dezvoltării, că aplicaţia ta
protecţia datelor. va respecta regulile şi principiile
stabilite de Regulament.
Pentru operatorii de date sunt sta-
bilite o serie de noi obligații și noi l Privacy by default – în cazul în
reguli: care se furnizează o aplicaţie
l One stop shop - pentru opera- care prelucrează date personale
torii de date care îşi desfăşoară este necesară asigurarea că
activităţile în mai multe state setările iniţiale le vor permite
membre UE, autoritatea de utilizatorilor să îşi menţină con-
supraveghere competentă este trolul asupra vieţii lor
cea din statul membru în care private/asupra a ceea ce
operatorul respectiv îşi are sta- postează sau împărtăşesc cu alţi
bilit sediul principal. utilizatori
l Responsabilizarea operatorilor l DPO – data protection officer/

de date - accentul este pus pe responsabilul pentru protecţia
transparenţa faţă de persoana datelor. Numirea unui DPO la
vizată şi responsabilitatea ope- nivelul operatorului de date
ratorului de date faţă de modul reprezintă una dintre măsurile
în care sunt prelucrate datele. prin care se încearcă responsabi-
lizarea operatorilor de date.
l Studiu de impact - în cazul pre- Acesta oferă operatorului con-
lucrărilor de date care presupun sultanţa necesară în vederea res-
un risc ridicat pentru viaţa pri- pectării tuturor obligaţiilor
vată a persoanelor, operatorul acestuia şi asigurării trans-
trebuie să efectueze un Studiu parenţei necesare faţă de per-
de Impact asupra vieţii private. soanele vizate.
Rezultatul unui astfel de studiu
îi va permite să identifice riscuri Noile sancțiuni pentru neres-
specifice şi să adopte măsuri pectarea obligațiilor ce revin opera-
care să împiedice apariţia/pro- torilor și celorlalte persoane
ducerea acestor situaţii. implicate sunt deosebit de aspre în
noul Regulament. Față de maximul
l Transferul datelor în afara UE – existent în prezent de 50.000 lei din
pentru transferul datelor în Legea nr. 677/2001, se pot aplica
afara Uniunii, Regulamentul in- amenzi administrative de până la
troduce instrumente noi, pe 20 000 000 EUR sau, în cazul unei în-
lângă cele consacrate deja: BCR, treprinderi, de până la 4 % din cifra
clauze contractuale standard şi de afaceri mondială totală anuală
Decizii ale Comisiei Europene corespunzătoare exerciţiului finan-
privind un nivel adecvat de pro- ciar anterior, luânduse în calcul cea
tecţie. mai mare valoare.
10 Februarie 2018
Desemnarea unui responsabil cu

protecţia datelor este obligatorie din
Așadar, considerăm că,

25 mai 2018, raportat la dispoziţiile
art. 37 - 39 din Regulamentul general
privind protecţia datelor aprobat pe baza dispozițiilor legale
aplicabile la această data,
prin regulamentul menționat mai
în cazul prezentat
sus, în cazul în care operatorul sau
nu este necesară
persoana împuternicită de operator:
l este o autoritate publică sau un desemnarea unui DPO.

organism public, cu excepţia in-
Trebuie subliniat că
prevederile cuprinse în noul
stanţelor în exercitarea funcţiei
Regulament sunt incluse

lor jurisdicţionale;
l desfășoară o activitate princi- la nivel general în legislația

pală care conduce la realizarea internă însă vor fi necesare,
până la intrarea în
unei monitorizări constante și
vigoare, reglementări
sistematice pe scară largă a per-
proprii care să stabilească

soanelor;
l desfășoară o activitate princi- limite în sfera

pală care constă în prelucrarea obligațiilor concrete
ale operatorilor de date.
pe scară largă de date sensibile
Până la această dată

(cum ar fi: date privind originea
vor fi aplicabile dispozițiile

rasială sau etnică, convingerile
Legii nr. 677/2001.

religioase, apartenenţa sindi-
cală, date genetice, biometrice,
privind starea de sănătate) sau
referitoare la condamnări pe-
ȘtIaȚI CĂ?
nale și infracţiuni.
În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizată, operatorul
este obligat să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului
în care această persoană posedă deja informaţiile respective:
a) identitatea operatorului (societăţii) şi a reprezentantului acestuia, dacă este cazul;
b) scopul în care se face prelucrarea datelor;
c) informaţii suplimentare, precum:
l destinatarii sau categoriile de destinatari ai datelor;

l dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le
furniza;
l existenţa drepturilor prevăzute prin lege pentru persoana vizată, în special a dreptului de
acces, de intervenţie asupra datelor şi de opoziţie;
l condiţiile în care pot fi exercitate drepturile de mai sus;
d) orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de suprave-
ghere, ţinând seama de specificul prelucrării.
Februarie 2018 11
Drepturile clienţilor cu privire la
datele personale colectate

Dreptul la
rectificarea datelor
fără întârzieri nejustificate în cazul în
care se aplică unul dintre urmă-
toarele motive:
Persoana vizată are dreptul, în
l datele cu caracter personal nu
baza art. 16 din RGPD, de a obţine de
mai sunt necesare pentru în-
la operator, fără întârzieri nejustifi-
deplinirea scopurilor pentru
cate, rectificarea datelor cu caracter
care au fost colectate sau prelu-
personal inexacte care o privesc.
crate;
Ţinându-se seama de scopurile în
care au fost prelucrate datele, per-
l persoana vizată îşi retrage con-
soana vizată are dreptul de a obţine
simţământul pe baza căruia are
completarea datelor cu caracter per-
loc prelucrarea şi nu există
sonal care sunt incomplete, inclusiv
niciun alt temei juridic pentru
prin furnizarea unei declaraţii supli-
prelucrarea;
mentare.
l persoana vizată se opune prelu-
Operatorul comunică fiecărui des-
crării prin exercitarea dreptului
tinatar căruia i-au fost divulgate
său la opoziţie şi nu există mo-
datele cu caracter personal orice rec-
tive legitime care să prevaleze în
tificare sau ştergere a datelor cu ca-
ceea ce priveşte prelucrarea sau
racter personal sau restricţionare a
persoana vizată se opune prelu-
prelucrării efectuate în conformitate
crării când prelucrarea datelor
cu dreptul la rectificare, cu dreptul la
cu caracter personal are drept
ştergere şi dreptul la restricţionarea
scop marketingul direct;
prelucrării, cu excepţia cazului în
care acest lucru se dovedeşte imposi-
l datele cu caracter personal au
bil sau presupune eforturi dispro-
fost prelucrate ilegal;
porţionate. Operatorul informează
persoana vizată cu privire la desti-
l datele cu caracter personal tre-
natarii respectivi dacă persoana
buie şterse pentru respectarea
vizată solicită acest lucru.
unei obligaţii legale care revine
Dreptul la ştergerea datelor

operatorului în temeiul dreptu-
(„dreptul de a fi uitat”)
lui Uniunii sau al dreptului in-
tern sub incidenţa căruia se află
operatorul;
Persoana vizată are dreptul, în
baza art. 17 din RGPD, de a obţine l datele cu caracter personal au
din partea operatorului ştergerea fost colectate în legătură cu
datelor cu caracter personal care o oferirea de servicii ale societăţii
privesc, fără întârzieri nejustificate, informaţionale minorilor cu
iar operatorul are obligaţia de a vârsta sub 16 ani. Acesta este un
şterge datele cu caracter personal drept nou reglementat începând
12 Februarie 2018
cu data de 25 mai 2018 de socială, în temeiul dreptului Uniunii

RGPD. sau al dreptului intern sau în temeiul
unui contract încheiat cu un cadru
În cazul în care operatorul a făcut medical şi sub rezerva respectării
publice datele cu caracter personal şi condiţiilor şi garanţiilor;
este obligat să le şteargă în baza
dreptului exercitat conform mo- b. prelucrarea este necesară din
tivelor de mai sus, operatorul, ţinând motive de interes public în domeniul
seama de tehnologia disponibilă şi sănătăţii publice, cum ar fi protecţia
de costul implementării, ia măsuri împotriva ameninţărilor transfronta-
rezonabile, inclusiv măsuri tehnice, liere grave la adresa sănătăţii sau
pentru a informa operatorii care pre- asigurarea de standarde ridicate de
lucrează datele cu caracter personal calitate şi siguranţă a asistenţei me-
că persoana vizată a solicitat şter- dicale şi a medicamentelor sau a dis-
gerea de către aceşti operatori a pozitivelor medicale, în temeiul
oricăror linkuri către datele respec- dreptului Uniunii sau al dreptului
tive sau a oricăror copii sau repro- intern, care prevede măsuri adecvate
duceri ale acestor date cu caracter şi specifice pentru protejarea drep-
personal. turilor şi libertăţilor persoanei vizate,
în special a secretului profesional;
Ştergerea nu va fi însă posibilă în
măsura în care prelucrarea este nece- c. în cazul în care datele respective
sară: sunt prelucrate de către un profe-
sionist supus obligaţiei de păstrare a
l pentru exercitarea dreptului la secretului profesional sau sub res-
liberă exprimare şi la informare; ponsabilitatea acestuia, în temeiul
dreptului Uniunii sau al dreptului
l pentru respectarea unei obligaţii intern sau în temeiul normelor sta-
legale care prevede prelucrarea bilite de organisme naţionale compe-
în temeiul dreptului Uniunii sau tente sau de o altă persoană supusă,
al dreptului intern care se aplică de asemenea, unei obligaţii de confi-
operatorului sau pentru în- denţialitate în temeiul dreptului Uni-
deplinirea unei sarcini executate unii sau al dreptului intern ori al
în interes public sau în cadrul normelor stabilite de organisme
exercitării unei autorităţi oficiale naţionale competente;
cu care este învestit operatorul;
l în scopuri de arhivare în interes
l din motive de interes public în public, în scopuri de cercetare
domeniul sănătăţii publice, pen- ştiinţifică sau istorică ori în
tru: scopuri statistice, în măsura în
care dreptul de ştergere este
a. prelucrarea este necesară în susceptibil să facă imposibilă
scopuri legate de medicina preven- sau să afecteze în mod grav re-
tivă sau a muncii, de evaluarea ca- alizarea obiectivelor prelucrării
pacităţii de muncă a angajatului, de respective; această prelucrare
stabilirea unui diagnostic medical, de are loc, în conformitate cu arti-
furnizarea de asistenţă medicală sau colul 89 alineatul (1) din RGPD,
socială sau a unui tratament medical cu condiţia existenţei unor
sau de gestionarea sistemelor şi ser- garanţii corespunzătoare, în
viciilor de sănătate sau de asistenţă conformitate cu RGPD, pentru
Februarie 2018 13
drepturile şi libertăţile per- l prelucrarea este ilegală, iar per-

soanelor vizate. soana vizată se opune ştergerii
datelor cu caracter personal, so-
l pentru constatarea, exercitarea licitând în schimb res-
sau apărarea unui drept în in- tricţionarea utilizării lor;
stanţă.
l operatorul nu mai are nevoie de
datele cu caracter personal în
Aşadar RGPD permite
scopul prelucrării, dar persoana
păstrarea în continuare a
vizată i le solicită pentru con-
datelor cu caracter
statarea, exercitarea sau
personal în cazul
apărarea unui drept în instanţă;
sau
în care aceasta este
necesară în scopurile enu-
l persoana vizată s-a opus prelu-
merate mai sus.

crării în virtutea dreptului la
opziţie, pentru intervalul de
timp în care se verifică dacă
drepturile legitime ale opera-
Operatorul comunică fiecărui des- torului prevalează asupra celor
tinatar căruia i-au fost divulgate ale persoanei vizate.
datele cu caracter personal orice rec-
tificare sau ştergere a datelor cu ca- Singurele situaţii în care astfel de
racter personal sau restricţionare a date cu caracter personal pot fi pre-
prelucrării efectuate în conformitate lucrate în cazul prelucrarea a fost re-
cu dreptul la rectificare, cu dreptul la stricţionată în temeiul dreptului la
ştergere şi dreptul la restricţionarea restricţionarea prelucrării, cu ex-
prelucrării, cu excepţia cazului în cepţia stocării, sunt următoarele:
care acest lucru se dovedeşte imposi-
bil sau presupune eforturi dispro- l numai cu consimţământul per-
porţionate. soanei vizate; sau
Operatorul informează persoana
vizată cu privire la destinatarii res- l pentru constatarea, exercitarea
pectivi dacă persoana vizată solicită sau apărarea unui drept în in-
acest lucru. stanţă; sau
Dreptul la restricţionarea l pentru protecţia drepturilor

prelucrării
unei alte persoane fizice sau ju-
ridice; sau
Persoana vizată are dreptul, în l din motive de interes public im-
temeiul art. 18 din RGPD, de a obţine portant al Uniunii sau al unui
din partea operatorului res- stat membru.
tricţionarea prelucrării în cazul în
care se aplică unul din următoarele O persoană vizată care a obţinut
cazuri: restricţionarea prelucrării este infor-
mată de către operator înainte de
l persoana vizată contestă exacti- ridicarea restricţiei de prelucrare.
tatea datelor, pentru o perioadă Operatorul comunică fiecărui desti-
care îi permite operatorului să natar căruia i-au fost divulgate datele
verifice exactitatea datelor; cu caracter personal orice rectificare
14 Februarie 2018
sau ştergere a datelor cu caracter per- i-au fost furnizate datele cu caracter
sonal sau restricţionare a prelucrării personal, în cazul în care:
efectuate în conformitate cu dreptul
la rectificare, cu dreptul la ştergere şi l prelucrarea se bazează pe con-
dreptul la restricţionarea prelucrării, simţământ persoanei vizate sau
cu excepţia cazului în care acest lucru pe un contract la care persoana
se dovedeşte imposibil sau pre- este parte;
supune eforturi disproporţionate.
Operatorul informează persoana Un exemplu luat în considearare de
vizată cu privire la destinatarii res- autorităţi vizează titlurile cărților achi-
pectivi dacă persoana vizată solicită ziționate de către o persoană fizică din-
acest lucru. tr-o librărie online sau melodiile
Dreptul la portabilitatea
ascultate prin intermediul unui servi-
ciu de streaming de muzică care sunt
datelor
exemple de date cu caracter personal,
care întră, în general, sub incidența
scopului portabilității datelor, deoare-
Art. 20 din RGPD introduce un ce acestea sunt prelucrate pe baza de-
nou drept la portabilitatea datelor, rulării unui contract la care persoana
creând posibilitatea opţiunii pentru vizată este parte. RGPD nu stabilește
transmiterea de date la un alt operator un drept general la portabilitatea date-
şi implicit oferind persoanelor vizate lor pentru situațiile în care prelucrarea
libertate de alegere. Acest drept per- datelor cu caracter personal nu se
mite persoanelor vizate să primească bazează pe consimțământ sau contract.
datele cu caracter personal pe care
le-au furnizat operatorului într-un De exemplu, nu există nicio obli-
format structurat, utilizat în mod gație pentru instituțiile financiare să
curent și care poate fi citit automat și răspundă unei cereri de portabilitate
să transmită respectivele date altui a datelor cu privire la datele cu ca-
operator, fără obstacole. racter personal prelucrate ca parte a
obligației de a preveni și detecta
Persoanele fizice care fac uz de spălarea banilor și alte infracțiuni fi-
dreptul de acces sunt în prezent con- nanciare; în egală măsură, portabili-
strânse de formatul ales de opera- tatea datelor nu acoperă datele de
torul de date atunci când furnizează contact profesionale prelucrate în
informațiile solicitate. Dreptul la cadrul unei afaceri pentru relațiile de
portabilitatea datelor se aplică sub afaceri în situațiile în care prelu-
rezerva unor anumitor condiții, spri- crarea nu se bazează nici pe con-
jină alegerea, controlul şi respon- simțământul persoanei vizate, nici pe
sabilitatea utilizatorului. contractul la care persoana vizată
este parte. În cazul datelor anga-
În virtutea acestui drept, persoana jaților, pentru a putea aplica dreptul
vizată are dreptul de a primi datele la portabilitatea datelor este necesară
cu caracter personal care o privesc şi existenţa unui contract la care per-
pe care le-a furnizat operatorului soana vizată este parte, care are drept
într-un format structurat, utilizat în obiect prelucrarea de date. În multe
mod curent şi care poate fi citit au- cazuri, consimțământul nu va fi con-
tomat şi are dreptul de a transmite siderat ca fiind liber exprimat în acest
aceste date altui operator, fără obsta- context ca urmare a dezechilibrului
cole din partea operatorului căruia de putere între angajator și angajat.
Februarie 2018 15
Unele prelucrări de resurse uma- datelor completează dreptul de

ne au drept temei legal interesul le- acces.
gitim sau sunt necesare pentru
respectarea obligațiilor legale speci- O specificitate a portabilității
fice în domeniul ocupării forței de datelor constă în faptul că aceasta
muncă. În practică, dreptul la porta- oferă o modalitate ușoară pentru per-
bilitatea datelor în contextul re- soanele vizate de a gestiona și reuti-
surselor umane se va referi, fără liza ele însele datele cu caracter
îndoială, la unele operațiuni de pre- personal. În acest sens, datele ar tre-
lucrare (cum ar fi serviciile de plată bui primite într-un format structurat,
și compensare, recrutare internă), utilizat în mod curent și care poate fi
dar, în multe alte situații, va fi nevoie citit automat, astfel cum precizează
de o abordare de la caz la caz pentru şi art. 20 din RGPD.
a verifica dacă sunt îndeplinite toate
condițiile aplicabile dreptului la Un exemplu îl poate reprezenta
portabilitatea datelor. preluarea listei actuale de melodii
(sau un istoric al melodiilor ascultate)
l prelucrarea este efectuată prin de la un serviciu de muzică, pentru a
mijloace automate. Pe cale de afla de câte ori a ascultat anumite
consecinţă portabilitatea nu melodii sau pentru a verifica ce mu-
acoperă documentele pe hârtie. zică dorește să cumpere sau să asculte
pe o altă platformă. Un alt exemplu se
Elementele principale ale portabi- poate referi la o persoana vizată care
lităţii datelor cuprind următoarele doreşte să îşi recupereze lista sa de
elemente care desprind din însăşi contacte din aplicația webmail, spre
textul art. 20 din RGPD: exemplu, pentru a construi o listă de
nuntă sau pentru a obține informații
l un drept al persoanei vizate de despre achiziții folosind diferite car-
a primi date; duri de loialitate sau pentru a evalua
amprenta de carbon. În aceste situații,
l dreptul de a transmite date cu prelucarea efectuată de persoana
caracte personal de la un opera- vizată poate întra sub incidența acti-
tor de date la altul; vităților domestice, atunci când toate
prelucrările sunt efectuate numai sub
l controlul; controlul persoanei vizate, sau poate
fi efectuată de o altă parte, pe seama
l portabilitatea datelor faţă de alte persoanei vizate.
drepturi ale persoanei vizate.
În acest ultim caz, cealaltă parte ar
În primul rând, portabilitatea trebui considerată ca fiind operator,
datelor este un drept al persoanei chiar dacă e doar în scop de stocare a
vizate de a primi date cu caracter datelor, și trebuie să respecte principi-
personal care o privesc prelucrate de ile și obligațiile stabilite în RGPD. În
un operator de date și de a stoca re- exercitarea dreptului său la portabili-
spectivele date pentru uz personal tatea datelor, persoana vizată are drep-
ulterior. O astfel de stocare poate fi tul ca datele cu caracter personal să fie
pe un dispozitiv privat sau într-un transmise direct de la un operator la
mediu de stocare virtual privat, fără altul acolo unde acest lucru este fezabil
a transmite neapărat datele unui alt din punct de vedere tehnic. Impor-
operator. În acest sent, portabilitatea tantă este de asemenea sintagma „fără
16 Februarie 2018
obstacole” care generează efecte în Dreptul la opoziţie

ceea ce priveşte formatul datelor trans-
mise implicând o compatibilitate între Dreptul la opoziţie este un drept
operatori pentru a putea îndeplini care se regăseşte şi în prezent printre
condiţia de fezabilitate din punct de drepturile persoanei vizate, fiind re-
vedere tenic, în ceea ce priveşte taxele glementat de art. 15 din Legea nr.
percepute pentru furnizarea datelor, 677/2001. Începând cu 25 mai 2018,
timpii necesari de transmitere. în orice moment, persoana vizată are
dreptul de a se opune, din motive
Obstacol poate fi aşadar caracteri- legate de situaţia particulară în care
zat ca orice obstacol legal, tehnic sau se află, prelucrării pentru în-
financiar introdus de operator pen- deplinirea unei sarcini care serveşte
tru a restrânge sau a încetini accesul, unui interes public sau care rezultă
transmiterea sau reutilizarea de către din exercitarea autorităţii publice cu
persoana vizată sau un alt operator. care este învestit operatorul sau pen-
Exercitarea dreptului la portabili- tru îndeplinirea unei sarcini care
tatea datelor nu aduce atingere drep- serveşte unui interes public sau care
tului la ştergerea datelor. rezultă din exercitarea autorităţii
Portabilitatea datelor nu declanșează publice cu care este învestit opera-
automat ștergerea datelor din sis- torul sau pe baza consimţământului
temele operatorului și nu afectează a datelor cu caracter personal care o
perioada inițială de păstrare aplica- privesc, inclusiv creării de profiluri
bilă datelor care au fost transmise. pe baza respectivelor dispoziţii.
Respectivul drept nu se aplică pre- Din acest moment, operatorul nu

lucrării necesare pentru îndeplinirea mai prelucrează datele cu caracter
unei sarcini executate în interes pu- personal, cu excepţia cazului în care
blic sau în cadrul exercitării unei au- operatorul demonstrează că are mo-
torităţi oficiale cu care este învestit tive legitime şi imperioase care justi-
operatorul. fică prelucrarea şi care prevalează
De asemenea, în cazul în care per- asupra intereselor, drepturilor şi li-
soana vizată dorește să-și bertăţilor persoanei vizate sau că
exercite dreptul său la ștergerea scopul este constatarea, exercitarea
datelor („dreptul de a fi uitat“ în con- sau apărarea unui drept în instanţă.
formitate cu art. 17 din RGPD),
portabilitatea datelor nu poate fi uti-
lizată de către un operator de date ca Atunci când prelucrarea datelor cu caracter per-
o modalitate de a întârzia sau de a re-
fuza o astfel de ștergere. În situația în
sonal are drept scop marketingul direct, persoana
care o persoană vizată constată că vizată are dreptul de a se opune în orice moment
datele cu caracter personal solicitate prelucrării în acest scop a datelor cu caracter per-
potrivit dreptului la portabilitatea sonal care o privesc, inclusiv creării de profiluri, în
datelor nu răspund pe deplin cererii măsura în care este legată de marketingul direct. În
sale, orice solicitare suplimentară de cazul în care persoana vizată se opune prelucrării
date cu caracter personal potrivit în scopul marketingului direct, datele cu caracter
dreptului de acces ar trebui să fie pe
deplin respectată, în conformitate cu
personal nu mai sunt prelucrate în acest scop. Drep-
art. 15 din RGPD. Dreptul la porta- tul trebuie adus în mod explicit în atenţia persoanei
bilitatea datelor nu aduce atingere vizate şi este prezentat în mod clar şi separat de
drepturilor şi libertăţilor altora. orice alte informaţii.
Februarie 2018 17
Prelucrarea datelor în contextul
ocupării unui loc de muncă

Având în vedere numărul mare de raporturi de muncă și volumul impre-
sionant de informații culese pe întreg procesul de la culegerea de infor-
mații preliminare din CV-uri, informații suplimentare necesare încheierii
contractului de muncă, dar și alte date culese de către departamentul
de resurse umane, atât legislația întemeiată pe dispozițiile Legii
nr. 677/2001 cât și Regulamentului general privind protecţia datelor
nr. 679 din 27 aprilie 2016 instituie dispoziții speciale aplicabile în ceea
ce privește prelucrarea datelor personale în circumstanțele ocupării
locurilor de muncă.
Astfel, spre exemplu în cadrul date (art. 13), dreptul de inter-

procesului de recrutare, datele per- venție asupra datelor (art. 14),
sonale colectate trebuie să fie limitate dreptul de opoziție (art. 15),
la informațiile necesare în vederea dreptul de a nu fi supus unei de-
evaluării potențialului profesional al cizii individuale (art. 17) și drep-
candidatului și a măsurii în care tul de a se adresa justiției (art.
acesta este potrivit pentru postul 18);
pentru care se recrutează. În sistemul
actual, în conformitate cu prevederile l asigurarea confidențialității și
art. 5 din Legea nr. 677/2001 de la securității datelor prelucrate
regula necesității consimțământului (art. 19 si art. 20).
se derogă potrivit alin. (2) lit. c) din
cadrul aceluiași articol când prelu- În confomitate cu soluția Au-
crarea este necesară în vederea în- torității Naționale de Supraveghere a
deplinirii unei obligaţii legale a Prelucrării Datelor cu Caracter Per-
operatorului. În aceste condiții datele sonal Operatorii sunt scutiți de obli-
necesare a fi incluse, spre exemplu, gația de notificare către Autoritatea
în Registrul general de evidență a de supraveghere numai pentru pre-
salariaților REVISAL aprobat prin lucrarea datelor angajaților în vede-
H.G. nr. 500/2011 nu vor face obiec- rea îndeplinirii unor obligații legale,
tul consimțământului salariaților. conform prevederilor Deciziei nr.
Așadar, operatorii care prelucrează 200/2015 emisă de președintele
datele angajaților conform Hotărârii ANSPDCP privind cazurile în care
de Guvern nr. 500/2011 au, în prin- nu este necesară notificarea prelu-
cipal, urmatoarele obligații: crării unor date cu caracter personal.
l respectarea drepturilor per- În același timp, trebuie subliniat că

soanei vizate: dreptul la infor- operatorii care prelucrează datele cu
mare (art. 12 din Legea nr. caracter personal ale angajaților în
677/2001), dreptul de acces la scopul stabilit de Hotărârea de Gu-
18 Februarie 2018
vern nr. 500/2011 au obligația de a l prelucrarea datelor cu caracter

notifica Autoritatea de supraveghere personal prin mijloace electro-
cu privire la celelalte prelucrări de nice, având ca scop monito-
date cu caracter personal efectuate de rizarea şi/sau evaluarea unor
societățile respective, ce nu se în- aspecte de personalitate, pre-
cadrează în situațiile de excepție de cum competenţa profesională,
la obligația notificării, stabilite de credibilitatea, comportamentul
Autoritatea de Supraveghere prin sau alte asemenea aspecte;
Decizia nr. 200/2015, cum ar fi pre-
lucrările de date personale efectuate l prelucrarea datelor cu caracter
în scop de: selecție și plasare forță de personal prin mijloace electro-
muncă, tranzacții imobiliare, servicii nice în cadrul unor sisteme de
hoteliere și de turism, monitoriza- evidenţă având ca scop adopta-
rea/securitatea persoanelor, spațiilor rea unor decizii automate indi-
și sau bunurilor publice/private viduale în legătură cu analizarea
(supraveghere video), servicii de solvabilităţii, a situaţiei econom-
asigurări și reasigurări, marketing di- ico-financiare, a faptelor suscep-
rect și altele. Prevederile art. 1 din tibile de a atrage răspunderea
Decizia nr. 200/2015 a ANSPDCP disciplinară, contravenţională
statuează obligativitatea notificării sau penală a persoanelor fizice,
Autorității atunci când are loc: de către entităţi de drept privat;
l prelucrarea datelor cu caracter l prelucrarea datelor cu caracter

personal legate de originea personal ale minorilor efectuată
rasială sau etnică, de convinge- în cadrul activităţilor de marke-
rile politice, religioase, filozofice ting direct;
ori de natură similară, de
apartenenţa sindicală, precum şi l prelucrarea datelor cu caracter
a datelor privind starea de sănă- personal ale minorilor efectuată
tate şi viaţa sexuală; prin intermediul internetului
sau al mesageriei electronice;
l prelucrarea datelor genetice şi
biometrice; l prelucrarea datelor cu caracter
personal prevăzute la lit. a),
l prelucrarea datelor care permit, referitoare la propriii membri,
direct sau indirect, localizarea efectuată de asociaţii, fundaţii
geografică a persoanelor fizice sau orice alte organizaţii fără
prin mijloace de comunicaţii scop patrimonial exclusiv în
electronice; vederea realizării specificului
activităţii organizaţiei, în mă-
l prelucrarea datelor cu caracter sura în care datele sunt
personal referitoare la să- dezvăluite unor terţi fără con-
vârşirea de infracţiuni de către simţământul persoanei vizate.
persoana vizată ori la con-
damnări penale, măsuri de si- În situaţiile enumerate mai sus no-
guranţă sau sancţiuni tificarea nu este necesară atunci când
administrative ori contra- prelucrarea este prevăzută de lege.
venţionale aplicate persoanei Cu privire la legislația nouă, RGPD
vizate, efectuată de către entităţi statuează principiul potrivit căruia
de drept privat; prin lege sau prin acorduri colective,
Februarie 2018 19
statele membre pot prevedea norme vor trebui să includă măsuri cores-
mai detaliate pentru a asigura pro- punzătoare şi specifice pentru
tecţia drepturilor şi a libertăţilor cu garantarea demnităţii umane, a in-
privire la prelucrarea datelor cu ca- tereselor legitime şi a drepturilor
racter personal ale angajaţilor în con- fundamentale ale persoanelor vizate,
textul ocupării unui loc de muncă, în în special în ceea ce priveşte trans-
special în scopul recrutării, al în- parenţa prelucrării, transferul de
deplinirii clauzelor contractului de date cu caracter personal în cadrul
muncă, inclusiv descărcarea de unui grup de întreprinderi sau al
obligaţiile stabilite prin lege sau prin unui grup de întreprinderi implicate
acorduri colective, al gestionării, într-o activitate economică comună şi
planificării şi organizării muncii, al sistemele de monitorizare la locul de
egalităţii şi diversităţii la locul de muncă.
muncă, al asigurării sănătăţii şi secu-
rităţii la locul de muncă, al protejării Dată fiind importanța acestui
proprietăţii angajatorului sau a clien- domeniu este instituită obligația
tului, precum şi în scopul exercitării fiecărui stat membru de a informa
şi beneficierii, în mod individual sau Comisia cu privire la dispoziţiile de
colectiv, de drepturile şi beneficiile drept intern pe care le adoptă în
legate de ocuparea unui loc de scopul protecției drepturilor şi a li-
muncă, precum şi pentru încetarea bertăţilor cu privire la prelucrarea
raporturilor de muncă. datelor cu caracter personal ale anga-
jaţilor până la 25 mai 2018, precum şi,
Aceste norme ce vor fi adoptate în fără întârziere, cu privire la orice
procesul de implementare a RGPD modificare ulterioară a acestora. n
Sunt operator de date cu caracter personal?
Operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de
drept privat care stabileşte scopul şi mijloacele prelucrării. Aceasta înseamnă că operatorul a
decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace
automate, precum şi prin alte mijloace decât cele automate. De asemenea, persoana fizică sau
juridică poate fi desemnată ca operator printr-un act normativ sau în baza unui act normativ
care determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o
prelucrare să intre sub incidenţa prevederilor Legii nr. 677/2001 este necesar ca ea să se des-
făşoare în cadrul unui sistem de evidenţă. Prin sistem de evidenţă se înţelege o bază de date,
structurată potrivit unor criterii, criterii pe baza cărora datele pot fi accesate (de exemplu, pe
criteriul alfabetic).
20 Februarie 2018
Responsabilul cu protecţia
datelor/data protection officer

În anumite situaţii, în vederea îndrumării modului în care sunt ges-
tionate datele cu caracter personal în cadrul unui operator sau al
unei persoane împuternicite de operator, este necesară o persoană
care să exercite o misiune de informare, de consiliere și de control
în plan intern: responsabilul cu protecţia datelor.
Desemnarea responsabilului
cu protecţia datelor
nează un responsabil cu protecţia
datelor ori de câte ori:
l prelucrarea este efectuată de o

Desemnarea unui responsabil cu autoritate sau un organism pu-
protecţia datelor este obligatorie din blic, cu excepţia instanţelor care
25 mai 2018, raportat la dispoziţiile acţionează în exerciţiul funcţiei
art. 37 - 39 din RGPD, în cazul în care lor jurisdicţionale;
operatorul sau persoana împu-
RGPD nu defineşte
ternicită de operator:
l este o autoritate publică sau un autoritatea sau organismul

public, acestea fiind cele
organism public, cu excepţia in-
stabilite prin dreptul

stanţelor în exercitarea funcţiei
intern, în conformitate
lor jurisdicţionale;
l desfășoară o activitate princi- cu legislaţia naţională

pală care conduce la realizarea
aplicabilă.
unei monitorizări constante și
sistematice pe scară largă a per-
soanelor;
l activităţile principale ale opera-
l desfășoară o activitate princi- torului sau ale persoanei împuterni-
pală care constă în prelucrarea cite de operator constau în operaţiuni
pe scară largă de date sensibile de prelucrare care, prin natura, do-
(cum ar fi: date privind originea meniul de aplicare şi/sau scopurile
rasială sau etnică, convingerile lor, necesită o monitorizare periodică
religioase, apartenenţa sindi- şi sistematică a persoanelor vizate pe
cală, date genetice, biometrice, scară largă;
privind starea de sănătate) sau
referitoare la condamnări pe- Deşi RGPD nu oferă o definiţie a
nale și infracţiuni. prelucrării pe scară largă, auto-
rităţilor cuprind următoarele aspecte
Aşadar, operatorul şi persoana care trebuie luate în considerare când
împuternicită de operator desem- o astfel de prelucrare are loc:
Februarie 2018 21
– numărul persoanelor vizate ori un – activități de marketing bazate pe

număr exact ori un procent din date;
populația relevantă; – profilare și scoring în scopul
– volumul datelor și/sau gama de evaluării riscurilor (de exemplu,
elemente diferite de date în curs în scopul de credit scoring,
de prelucrare; stabilirea primelor de asigurare,
– durata sau permanența activității de prevenire a fraudelor, detec-
de prelucrare a datelor; tarea spălării banilor);
– suprafața geografică a activității – urmărirea locației, spre exemplu,
de prelucrare. prin aplicații mobile;
– programe de loialitate;
Exemple de prelucrări pe scară – publicitate comportamentală;
largă includ: – monitorizarea datelor de sănătate
ale persoanelor din aplicaţiile
– prelucrarea datelor pacienților în specializate prin intermediul
activitatea regulată a unui spital; dispozitivelor portabile (telefoane,
– prelucrarea datelor de călătorie a tablete);
unei persoane fizice ce utilizează – televiziune cu circuit închis din
sistemul de transport public (spre cadrul hotelurilor sau resorturilor.
exemplu, urmărire cu ajutorul
cardurilor de călătorie); Periodicitate este interpretată astfel:
– prelucrarea în timp real a datelor
de geolocalizare a clienților unei – în curs de desfășurare sau care
rețele internaționale de fast-food apare la anumite intervale într-o
în scopuri statistice de către o anumită perioadă;
persoană împuternicită de – recurente sau repetate la perioade
operator, specializată în furni- fixe;
zarea serviciilor de acest tip; – constante sau care au loc periodic.
– prelucrarea datelor clienților în
activitatea regulată a unei Caracterul „sistematic” înseamnă:
companii de asigurări sau a unei
bănci prelucrarea datelor per- – apărut conform sistemului;
sonale de către un motor de – prearanjat, organizat sau metodic;
căutare în scop de publicitate- – luând loc ca parte a unui plan
comportamentală; general de colectare a datelor;
– prelucrarea datelor (conținut, tra- – efectuat ca parte a unei strategii.
fic, localizare) de către furnizorii
de telefonie sau servicii de l activităţile principale ale operato-
Internet. rului sau ale persoanei împuter-
nicite de operator constau în
Exemple de activități care pot prelucrarea pe scară largă a unor
constitui o monitorizare periodică și categorii speciale de date sau a
sistematică a persoanelor vizate pot fi unor date cu caracter personal
reprezentate de următoarele activităţi: privind condamnări penale şi in-
fracţiuni.
– operarea unei rețele de tele-
comunicații; Un grup de întreprinderi poate nu-
– furnizarea de servicii de mi un responsabil cu protecţia datelor
telecomunicații; unic, cu condiţia ca responsabilul cu
– e-mail de direcționare repetată; protecţia datelor să fie uşor accesibil
22 Februarie 2018
din fiecare întreprindere. Aşadar, mai permită să își îndeplinească sarcinile,

multe entităţi pot numi un acelaşi precum:
responsabil, însă art. 37 alin. (2) din
RGPD impune accesibilitatea l experiență în legislația și practicile
responsabilului asigurată prin de protecție a datelor la nivel na-
disponibilitatea datelor sale de contact țional și european, precum și cu-
(telefon sau alte mijloace sigure de noașterea prevederilor RGPD;
comunciare), în primul rând, sau
disponibilitatea fizică a l cunoaşterea operațiunilor de pre-
responsabilului. lucrare efectuate;
Accesibilitatea vizează şi limbajul l cunoaşterea tehnologiilor de in-

de comunicare cu persoanele vizate și formații și de securitate a datelor;
de cooperare cu autoritățile de
supraveghere implicate. l cunoașterea sectorului economic
al societăţii;
În cazul în care operatorul sau
persoana împuternicită de operator l abilitatea de a promova protecția
este o autoritate publică sau un datelor în cadrul organizației.
organism public, poate fi desemnat un
responsabil cu protecţia datelor unic Responsabilul cu protecţia datelor
pentru mai multe autorităţi sau poate fi un membru al personalului
organisme, luând în considerare operatorului sau persoanei împuter-
structura organizatorică şi dimen- nicite de operator sau poate să îşi
siunea acestora. îndeplinească sarcinile în baza unui
contract de servicii.
În alte cazuri, operatorul sau Responsabilul cu protecţia datelor
persoana împuternicită de operator ori poate fi angajat al operatorului sau al
asociaţiile şi alte organisme care persoanei împuternicite de operator
reprezintă categorii de operatori sau sau își poate îndeplini sarcinile în baza
de persoane împuternicite de operatori unui contract de prestări servicii. În
pot desemna sau, acolo unde dreptul acest caz, activitatea responsabilului
Uniunii sau dreptul intern solicită poate fi exercitată în mod individual
acest lucru, desemnează un sau în cadrul unei echipe, dar sub
responsabil cu protecţia datelor. responsabilitatea unei singure per-
Responsabilul cu protecţia datelor soane desemnate ca persoană de
poate să acţioneze în favoarea unor contact principală și „persoană
astfel de asociaţii şi alte organisme care responsabilă” pentru client.
reprezintă operatori sau persoane
împuternicite de operatori. Operatorul sau persoana împu-
ternicită de operator publică datele de
Responsabilul cu protecţia datelor contact ale responsabilului cu protecţia
este desemnat pe baza calităţilor datelor şi le comunică autorităţii de
profesionale şi, în special, a supraveghere. Este de recomandat să
cunoştinţelor de specialitate în dreptul existe o repartizare clară a sarcinilor în
şi practicile din domeniul protecţiei cadrul echipei responsabilului cu
datelor, precum şi pe baza capacităţii protecţia datelor și desemnarea unei
de a îndeplini sarcinile ce-i revin în singure persoane ca persoană de
această calitate. El va trebui să deţină contact principală și persoană
cunoştinţe şi expertiză care să îi „responsabilă” pentru fiecare client.
Februarie 2018 23
Regulamentul General privind

Protecţia Datelor. Prevederi
aplicabile prestatorilor de servicii
în domeniul resurselor umane
Întrebare: Regulamentul trebuie aplicat de
Suntem o societate care desfăşoară toate entităţile care prelucrează date
activitate de prestări servicii resurse cu caracter personal.
umane (administrare, salarizare,
contracte colective de muncă, regu- Referitor la situaţia dumnea-
lamente interne, fişe de post, relaţiivoastră, de prestator de servicii în
cu instituţiile statului: Şomaj, Pensii,
domeniul resurselor umane, Regu-
Sănătate). Serviciu externalizat lamentul conţine anumite prevederi
pentru alte societăţi cu diverse specifice – art. 28. Astfel, terţul
obiecte de activitate. Având în prestator trebuie să respecte urmă-
vedere obligaţiile legislative, cu toarele reguli:
privire la prelucrarea datelor cu – prelucrează datele cu caracter
caracter personal, care urmează să personal numai pe baza unor
intre în vigoare începând cu mai instrucţiuni documentate din
2018, avem rugămintea de a ne partea angajatorului;
răspunde la următoarele întrebări: 1. – persoanele autorizate din partea
Societatea noastră este obligată să prestatorului de servicii de RU
implementeze cerinţele impuse de să prelucreze datele cu caracter
regulament? 2. Cui trebuie să ne personal s-au angajat să respecte
adresăm? 3. Care sunt paşii pe care confidenţialitatea sau au o
trebuie să-i urmăm? 4. Ce documente obligaţie statutară adecvată de
se întocmesc? – are implementate măsuri de
asigurare a securităţii prelucrării
Răspuns: datelor personale;
Regulamentul (UE) 2016/679 al – nu subcontractează o altă en-
Parlamentului European şi al titate în vederea prestării
Consiliului din 27 aprilie 2016 serviciilor încredinţate de an-
privind protecţia persoanelor fizice gajator, fără a primi în prealabil
în ceea ce priveşte prelucrarea o autorizaţie scrisă, în acest sens,
datelor cu caracter personal şi din partea angajatorului;
privind libera circulaţie a acestor – şterge sau returnează anga-
date şi de abrogare a directivei jatorului toate datele cu caracter
95/46/CE (regulamentul general personal după încetarea furni-
privind protecţia datelor) stabileşte zării serviciilor legate de
noile reguli aplicabile în privinţa prelucrare şi elimină copiile
protecţiei datelor personale la nivel existente (la solicitarea
european. angajatorului);
24 Februarie 2018
– une la dispoziţia angajatorului le-am identificat noi în Regulament,

toate informaţiile necesare referitoare la relaţia angajator-
pentru a demonstra respectarea angajat din perspectiva prelucrării
obligaţiilor sale, permite datelor personale, elemente care pot
desfăşurarea auditurilor, fi relevante şi pentru societatea
inclusiv a inspecţiilor efectuate dumneavoastră.
de angajator sau alt auditor Astfel, în ceea ce priveşte relaţia
mandatat şi contribuie la angajator-angajat din perspectiva
acestea; prelucrării datelor personale este
evident că angajatorul deţine şi
Apreciem că aceste elemente pot prelucrează datele personale ale
face obiectul unor clauze ale angajaţilor obţinute atât în procesul
contractului de prestări servicii prin de recrutare, angajare, executare şi
care angajatorul a externalizat către încetare contract individual de
terţul prestator serviciile de resurse muncă, cât şi în procesul de
umane/salarizare. Conform art. 28 monitorizare a activităţii angajaţilor,
din Regulament, acest contract de utilizarea calculatorului/internetului
prestări servicii trebuie întocmit în la locul de muncă, utilizarea auto-
formă scrisă. tuturismelor de serviciu.
Totodată, trebuie să vă asiguraţi Angajatorul prelucrează datele

că personalul dumneavoastră care personale ale angajaţilor cu
prelucrează datele clienţilor respectă respectarea principiilor prevăzute la
obligaţia de confidenţialitate. Acest art.5 din Regulament, respectiv:
aspect poate fi abordat printr-o – datele sunt prelucrate în mod
clauză în contractul individual de legal, echitabil şi transparent faţă
muncă sau printr-un alt document de persoana vizată;
semnat de salariat prin care se obligă – datele sunt colectate în scopuri
să respecte confidenţialitatea asupra determinate, explicite şi legitime
datelor pe care le prelucrează. şi nu sunt prelucrate ulterior
într-un mod incompatibil cu
De asemenea, apreciem că este aceste scopuri („limitări legate
necesar a se elabora proceduri de de scop”); prelucrarea ulterioară
lucru cu privire la prelucrarea în scopuri de arhivare în interes
datelor cu caracter personal prin care public, în scopuri de cercetare
să se stabilească persoanele care ştiinţifică sau istorică ori în
realizează operaţiuni de prelucrare a scopuri statistice nu este
datelor, condiţiile în care îşi considerată incompatibilă cu
desfăşoară activitatea, să asigure scopurile iniţiale;
securitatea bazelor de date – datele colectate sunt adecvate,
electronice împotriva accesului relevante şi limitate la ceea ce
neautorizat (atât din exteriorul este necesar în raport cu
societăţii, cât şi din interiorul scopurile în care sunt prelucrate
acesteia), să asigure păstrarea şi („reducerea la minimum a
arhivarea corectă a dosarelor datelor”);
conţinând date personale. – datele sunt exacte şi, în cazul în
care este necesar, datele să fie
Având în vedere serviciile pe care actualizate; trebuie să se ia toate
le prestaţi pentru angajatori, măsurile necesare pentru a se
prezentăm mai jos elementele pe care asigura că datele cu caracter
Februarie 2018 25
personal care sunt inexacte, Excepţii de la această interdicţie

având în vedere scopurile sunt prevăzute în mai multe situaţii,
pentru care sunt prelucrate, sunt inclusiv în situaţii legate de calitatea
şterse sau rectificate fără angajat/angajator:
întârziere („exactitate”);
– datele sunt păstrate într-o formă – Când persoana şi-a exprimat
care permite identificarea consimţământul explicit pentru
persoanelor vizate pe o perioadă prelucrarea acestor date cu
care nu depăşeşte perioada caracter personal;
necesară îndeplinirii scopurilor – Când prelucrarea este necesară
în care sunt prelucrate datele; în scopul îndeplinirii obligaţiilor
datele cu caracter personal pot fi şi al exercitării unor drepturi
stocate pe perioade mai lungi în specifice ale operatorului sau ale
măsura în care acestea vor fi persoanei vizate în domeniul
prelucrate exclusiv în scopuri de ocupării forţei de muncă şi al
arhivare în interes public, în securităţii sociale şi protecţiei
scopuri de cercetare ştiinţifică sociale;
sau istorică ori în scopuri – Când prelucrarea este necesară
statistice, sub rezerva punerii în în scopuri legate de medicină
aplicare a măsurilor de ordin preventivă sau a muncii, de
tehnic şi organizatoric adecvate evaluarea capacităţii de muncă a
prevăzute în regulament în angajatului.
vederea garantării drepturilor şi
libertăţilor persoanei vizate În contextul Regulamentului
(„limitări legate de stocare”); apreciem că angajatorul ar trebui să
– datele sunt prelucrate într-un mod ia anumite măsuri în ceea ce priveşte
care asigură securitatea adecvată datele personale ale angajaţilor, în
a datelor cu caracter personal, vederea respectării principiilor
inclusiv protecţia împotriva privind prelucrarea acestor date,
prelucrării neautorizate sau enumerate mai sus:
ilegale şi împotriva pierderii, a
distrugerii sau a deteriorării 1. Să analizeze ce fel de date
accidentale, prin luarea de măsuri personale ale angajaţilor deţine şi
tehnice sau organizatorice prelucrează precum şi relevanța
corespunzătoare („integritate şi acestora din perspectiva relaţiilor de
confidenţialitate”). muncă;
La art. 9 din Regulament se 2. Să analizeze care dintre aceste

precizează că se interzice prelucrarea date sunt solicitate prin
de date cu caracter personal care reglementările existente în domeniul
dezvăluie originea rasială sau etnică, muncii, securităţii sociale şi protecţiei
opiniile politice, confesiunea sociale; este vorba de date care
religioasă sau convingerile filozofice practic sunt solicitate de diferite
sau apartenenţa la sindicate şi instituţii legate de evidența muncii,
prelucrarea de date genetice, de date de acordarea unor prestaţii sociale
biometrice pentru identificarea unică sau de asigurări sociale (REVISAL,
a unei persoane fizice, de date salarizare, diferite adeverinţe
privind sănătatea sau de date conţinând date privind angajatul pe
privind viaţa sexuală sau orientarea care este obligat angajatorul să le
sexuală ale unei persoane fizice. elibereze);
26 Februarie 2018
3. Să analizeze care dintre aceste salarizare); Să asigure resurse pentru

date personale nu sunt solicitate prin perfecţionarea profesională a acestor
legislaţie, dar sunt necesare pentru persoane în domeniul protecţiei
organizarea muncii, a activităţii la datelor personale;
locul de muncă; în cazul colectării şi
prelucrării acestor date, apreciem că 7. În situaţia în care, spre exemplu,
angajatorul ar trebui să solicite angajatorul externalizează serviciile
consimţământul salariatului; de resurse umane şi salarizare către
Consimţământul ar trebui acordat un terţ prestator să se asigure că
printr-o acţiune neechivocă care să acesta respectă prevederile art. 28 din
constituie o manifestare liber Regulament:
exprimată, specifică, în cunoştinţă de
cauză şi clară a acordului persoanei – prelucrează datele cu caracter
vizate pentru prelucrarea datelor personal numai pe baza unor
sale cu caracter personal, ca de instrucţiuni documentate din
exemplu o declaraţie făcută în scris, partea angajatorului
inclusiv în format electronic; – se asigură că persoanele
autorizate (din partea
4. Să ia măsuri pentru asigurarea prestatorului de servicii de RU)
protecţiei datelor personale ale să prelucreze datele cu caracter
salariaţilor: să asigure securitatea personal s-au angajat să respecte
bazelor de date electronice împotriva confidenţialitatea sau au o
accesului neautorizat (atât din obligaţie statutară adecvată de
exteriorul societăţii, cât şi din confidenţialitate;
interiorul acesteia), să asigure – are implementate măsuri de
păstrarea şi arhivarea corectă a asigurare a securităţii prelucrării
dosarelor conţinând date personale datelor personale;
ale angajaţilor; – nu subcontractează o altă
entitate în vederea prestării
5. În urma acestor analize, să serviciilor încredinţate de
elaboreze proceduri specifice cu angajator, fără a primi în
privire la gestionarea datelor prealabil o autorizaţie scrisă, în
personale: cum se face aceasta, cine acest sens, din partea
şi în ce condiţii este autorizat să angajatorului;
colecteze şi să prelucreze date – şterge sau returnează
personale, şi/sau să introducă în angajatorului toate datele cu
Regulamentul intern al societăţii caracter personal după încetarea
prevederi referitoare la protecţia furnizării serviciilor legate de
datelor personale, inclusiv legate de prelucrare şi elimină copiile
sancţiuni disciplinare aplicabile în existente (la solicitarea
cazul încălcării dreptului salariaţilor angajatorului);
la protecţia datelor personale; – pune la dispoziţia angajatorului
toate informaţiile necesare pen-
6. Să stabilească includerea de tru a demonstra respectarea
clauze de confidenţialitate în obligaţiilor sale, permite des-
contractele individuale de muncă ale făşurarea auditurilor, inclusiv a
persoanelor autorizate să colecteze şi inspecţiilor, efectuate de anga-
să prelucreze date personale (de jator sau alt auditor mandatat şi
regulă pentru personalul din contribuie la acestea;
departamentele de resurse umane şi
Februarie 2018 27
Apreciem că aceste elemente pot face operează numai în condiţiile

obiectul unor clauze ale contractului mentionale la alin.(5) al art. 30.
de prestări servicii prin care
angajatorul a externalizat către terţul
În România, instituţia
prestator serviciile de resurse
umane/salarizare.
responsabilă în acest
domeniu este Autoritatea
8. Să organizeze evidența
Naţională de Supraveghere
prelucrărilor în conformitate cu
a Prelucrării Datelor
prevederile art. 30 din Regulament.
cu Caracter Personal.
La acest articol există o derogare
pentru întreprinderile cu mai puţin
de 250 de angajaţi în ceea ce priveşte
păstrarea evidențelor, însă aceasta
Când sunt obligat să notific prelucrările de date efectuate?
Conform Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date, modificată şi completată, operatorii de date
trebuie să notifice prelucrările pe care le efectuează la Autoritatea Naţională de Supraveghere
a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) în situaţiile prevăzute de Decizia
nr. 200/2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru
care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii.
28 Februarie 2018
Regulamentul General privind
Protecţia Datelor.
Relaţia angajator – angajat
Întrebare: mai multe elemente specifice, proprii
identităţii sale fizice, fiziologice,
În condiţiile în care o societate (X) genetice, psihice, economice, cultu-
deţine doar datele personale ale sa- rale sau sociale.
lariaţilor (Revisal) şi datele
acţionarilor, ce repercusiuni (obli- Prelucrarea datelor înseamnă
gaţii) va avea Regulamentul General orice operaţiune sau set de
Privind Protecţia Datelor Personale operaţiuni efectuate asupra datelor
(GDPR) asupra societăţii în cauză, cu caracter personal sau asupra
aplicabil din 25 mai 2018? seturilor de date cu caracter
personal, cu sau fără utilizarea de
Răspuns: mijloace automatizate, cum ar fi
colectarea, înregistrarea, organizarea,
Regulamentul (UE) 2016/679 al structurarea, stocarea, adaptarea sau
Parlamentului European şi al modificarea, extragerea, consultarea,
Consiliului din 27 aprilie 2016 utilizarea, divulgarea prin trans-
privind protecţia persoanelor fizice mitere, diseminarea sau punerea la
în ceea ce priveşte prelucrarea dispoziţie în orice alt mod, alinierea
datelor cu caracter personal şi sau combinarea, restricţionarea,
privind libera circulaţie a acestor ştergerea sau distrugerea.
date şi de abrogare a directivei
95/46/CE (regulamentul general În ceea ce priveşte relaţia
privind protecţia datelor) stabileşte angajator-angajat din perspectiva
noile reguli aplicabile în privinţa prelucrării datelor personale este
protecţiei datelor personale la nivel evident că angajatorul deţine şi
european. prelucrează datele personale ale
angajaţilor obţinute atât în procesul
Conform Regulamentului (Art.4 – de recrutare, angajare, executare şi
Definiţii), „date cu caracter personal” încetare contract individual de
înseamnă orice informaţii privind o muncă, cât şi în procesul de
persoană fizică identificată sau monitorizare a activităţii angajaţilor,
identificabilă („persoana vizată”); o utilizarea calculatorului/internetului
persoană fizică identificabilă este o la locul de muncă, utilizarea
persoană care poate fi identificată, autotuturismelor de serviciu.
direct sau indirect, în special prin
referire la un element de identificare, Angajatorul prelucrează datele
cum ar fi un nume, un număr de personale ale angajaţilor cu
identificare, date de localizare, un respectarea principiilor prevăzute la
identificator online, sau la unul sau art. 5 din Regulament, respectiv:
Februarie 2018 29
– datele sunt prelucrate în mod – datele sunt prelucrate într-un mod

legal, echitabil şi transparent faţă care asigura securitatea adecvată
de persoana vizată; a datelor cu caracter personal,
– datele sunt colectate în scopuri inclusiv protecţia împotriva
determinate, explicite şi legitime prelucrării neautorizate sau
şi nu sunt prelucrate ulterior ilegale şi împotriva pierderii, a
într-un mod incompatibil cu distrugerii sau a deteriorării
aceste scopuri („limitări legate accidentale, prin luarea de măsuri
de scop”); prelucrarea ulterioară tehnice sau organizatorice
în scopuri de arhivare în interes corespunzătoare („integritate şi
public, în scopuri de cercetare confidenţialitate”).
ştiinţifică sau istorică ori în
scopuri statistice nu este La art. 9 din Regulament se
considerată incompatibilă cu precizează că se interzice prelucrarea
scopurile iniţiale; de date cu caracter personal care
– datele colectate sunt adecvate, re- dezvăluie originea rasială sau etnică,
levante şi limitate la ceea ce este opiniile politice, confesiunea
necesar în raport cu scopurile în religioasă sau convingerile filozofice
care sunt prelucrate („reducerea la sau apartenenţă la sindicate şi
minimum a datelor”); prelucrarea de date genetice, de date
– datele sunt exacte şi, în cazul în biometrice pentru identificarea unică
care este necesar, datele să fie a unei persoane fizice, de date
actualizate; trebuie să se ia toate privind sănătatea sau de date
măsurile necesare pentru a se privind viaţa sexuală sau orientarea
asigura că datele cu caracter sexuală ale unei persoane fizice.
personal care sunt inexacte,
având în vedere scopurile Excepţii de la această interdicţie
pentru care sunt prelucrate, sunt sunt prevăzute în mai multe situaţii,
şterse sau rectificate fără inclusiv în situaţii legate de calitatea
întârziere („exactitate”); angajat/angajator:
– datele sunt păstrate într-o formă
care permite identificarea – Când persoana şi-a exprimat
persoanelor vizate pe o perioadă consimţământul explicit pentru
care nu depăşeşte perioada prelucrarea acestor date cu
necesară îndeplinirii scopurilor caracter personal;
în care sunt prelucrate datele;
datele cu caracter personal pot fi – Când prelucrarea este necesară
stocate pe perioade mai lungi în în scopul îndeplinirii obligaţiilor
măsura în care acestea vor fi şi al exercitării unor drepturi
prelucrate exclusiv în scopuri de specifice ale operatorului sau ale
arhivare în interes public, în persoanei vizate în domeniul
scopuri de cercetare ştiinţifică ocupării forţei de muncă şi al
sau istorică ori în scopuri securităţii sociale şi protecţiei
statistice, sub rezerva punerii în sociale;
aplicare a măsurilor de ordin
tehnic şi organizatoric adecvate – Când prelucrarea este necesară
prevăzute în regulament în în scopuri legate de medicină
vederea garantării drepturilor şi preventivă sau a muncii, de
libertăţilor persoanei vizate evaluarea capacităţii de muncă a
(„limitări legate de stocare”); angajatului.
30 Februarie 2018
În contextul Regulamentului accesului neautorizat (atât din

apreciem că angajatorul ar trebui să exteriorul societăţii, cât şi din
ia anumite măsuri în ceea ce priveşte interioarul acesteia), să asigure
datele personale ale angajaţilor, în păstrarea şi arhivarea corectă a
vederea respectării principiilor dosarelor conţinând date personale
privind prelucrarea acestor date, ale angajaţilor;
enumerate mai sus:
5. În urma acestor analize, să ela-
1. Să analizeze ce fel de date boreze proceduri specifice cu privire
personale ale angajaţilor deţine şi la gestionarea datelor personale: cum
prelucrează precum şi relevanta se face aceasta, cine şi în ce condiţii
acestora din perspectiva relaţiilor de este autorizat să colecteze şi să
muncă; prelucreze date personale, şi/sau să
introducă în Regulamentul intern al
2. Să analizeze care dintre aceste societăţii prevederi referitoare la
date sunt solicitate prin regle- protecţia datelor personale, inclusiv
mentările existente în domeniul legate de sancţiuni disciplinare
muncii, securităţii sociale şi pro- aplicabile în cazul încălcării drep-
tecţiei sociale; este vorba de date care tului salariaţilor la protecţia datelor
practic sunt solicitate de diferite personale;
instituţii legate de evidenta muncii,
de acordarea unor prestaţii sociale 6. Să stabilească includerea de
sau de asigurări sociale (REVISAL, clauze de confidenţialitate în
salarizare, diferite adeverinţe con- contractele individuale de muncă ale
ţinând date privind angajatul pe care persoanelor autorizate să colecteze şi
este obligat angajatorul să le să prelucreze date personale (de
elibereze); regulă pentru personalul din de-
partamentele de resurse umane şi
3. Să analizeze care dintre aceste salarizare); să asigure resurse pentru
date personale nu sunt solicitate prin perfecţionarea profesională a a
legislaţie, dar sunt necesare pentru acestor persoane în domeniul pro-
organizarea muncii, a activităţii la tecţiei datelor personale;
locul de muncă; în cazul colectării şi
prelucrării acestor date, apreciem că 7. În situaţia în care, spre exemplu,
angajatorul ar trebui să solicite angajatorul externalizează serviciile
consimţământul salariatului; con- de resurse umane şi salarizare către
simţământul ar trebui acordat un terţ prestator să se asigure că
printr-o acţiune neechivocă care să acesta respecta prevederile art.28 din
constituie o manifestare liber ex- Regulament:
primată, specifică, în cunoştinţă de
cauză şi clară a acordului persoanei – prelucrează datele cu caracter
vizate pentru prelucrarea datelor personal numai pe baza unor
sale cu caracter personal, ca de instrucţiuni documentate din
exemplu o declaraţie făcută în scris, partea angajatorului;
inclusiv în format electronic;
– se asigura că persoanele auto-
4. Să ia măsuri pentru asigurarea rizate (din partea prestatorului
protecţiei datelor personale ale de servicii de RU) să prelucreze
salariaţilor: să asigure securitatea datele cu caracter personal s-au
bazelor de date electronice împotriva angajat să respecte confiden-
Februarie 2018 31
ţialitatea sau au o obligaţie unui loc de muncă din Regulament

statutară adecvată de confi- se prevede că:
denţialitate;
„(1) Prin lege sau prin acorduri
– are implementate măsuri de colective, statele membre pot
asigurare a securităţii prelucrării prevedea norme mai detaliate pentru
datelor personale; a asigura protecţia drepturilor şi a
libertăţilor cu privire la prelucrarea
– nu subcontracteaza o altă entita- datelor cu caracter personal ale
te în vederea prestării serviciilor angajaţilor în contextul ocupării unui
încredinţate de angajator, fără a loc de muncă, în special în scopul
primi în prealabil o autorizaţie recrutării, al îndeplinirii clauzelor
scrisă, în acest sens, din partea contractului de muncă, inclusiv
angajatorului; descărcarea de obligaţiile stabilite
prin lege sau prin acorduri colective,
– şterge sau returnează angajato- al gestionarii, planificării şi
rului toate datele cu caracter organizării muncii, al egalităţii şi
personal după încetarea furnizării diversităţii la locul de muncă, al
serviciilor legate de prelucrare şi asigurării sănătăţii şi securităţii la
elimina copiile existente (la locul de muncă, al protejării
solicitarea angajatorului); proprietăţii angajatorului sau a
clientului, precum şi în scopul
– pune la dispoziţia angajatorului exercitării şi beneficierii, în mod
toate informaţiile necesare pen- individual sau colectiv, de drepturile
tru a demonstra respectarea şi beneficiile legate de ocuparea unui
obligaţiilor sale, permite des- loc de muncă, precum şi pentru
făşurarea auditurilor, inclusiv a încetarea raporturilor de muncă.
inspecţiilor, efectuate de an-
gajator sau alt auditor mandatat (2) Aceste norme includ măsuri
şi contribuie la acestea; corespunzătoare şi specifice pentru
garantarea demnităţii umane, a
Apreciem că aceste elemente pot intereselor legitime şi a drepturilor
face obiectul unor clauze ale fundamentale ale persoanelor vizate,
contractului de prestări servicii prin în special în ceea ce priveşte
care angajatorul a externalizat către transparenta prelucrării, transferul
terţul prestator serviciile de resurse de date cu caracter personal în cadrul
umane/salarizare. unui grup de întreprinderi sau al
unui grup de întreprinderi implicate
8. Să organizeze evidenţa prelu- într-o activitate economică comună şi
crărilor în conformitate cu sistemele de monitorizare la locul de
prevederile art. 30 din Regulament. muncă.”
La acest articol există o derogare
pentru întreprinderile cu mai puţin Având în vedere acest articol
de 250 de angajaţi în ceea ce priveşte specific din Regulament, exista
păstrarea evidentelor, însă aceasta posibilitatea ca în perioada
operează numai în condiţiile următoare să apară norme legale
mentionale la alin. (5) al art. 30. referitoare la protecţia datelor cu
caracter personal, norme specifice
Mai precizăm că la articolul 88 - pentru angajator şi angajat.
Prelucrarea în contextul ocupării
32 Februarie 2018
Trimiteţi sugestii și recomandări
referitoare la conţinutul revistei pe
adresa de e-mail:
dataprotection@rs.ro
– Ce îmi oferă revista după data de 25 mai?
– După data de 25 mai 2018, revista va oferi răspunsuri la întrebări con-

crete privind probleme ivite în implementarea regulilor de protecție a
datelor cu caracter personal, precum și elemente din activitatea practică a
controalelor realizate de Autoritate.
Această lucrare poate ﬁ vizualizată și online
www.rspro.ro
Vă mulţumim pentru fidelitatea

faţă de produsele
RENTROP & STRATON!
Nu uitaţi că puteţi consulta

acest produs și online, accesând
www.rspro.ro
Trebuie doar să vă logaţi folosind codul dvs. de client
(tehnologia folosită ne permite să actualizăm

produsele noastre din platforma RSPro)
Notă: Codul de client îl regăsiţi

pe factura produsului sau îl puteţi afla
sunând la 021 209 45 45 – Serviciul Clienţi.
www.rs.ro
© RENTROP & STRATON
GDR001

GDPR

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

GDPR

Încărcat de

Drepturi de autor:

Formate disponibile

PROTECŢIA DATELOR

Revistă realizată de RENTROP & STRATON, nr. 1, februarie 2018

3 Principii legate de prelucrarea datelor cu caracter

3 Obligațiile societății in privința prelucrării datelor

3 Consimțământul conform Regulamentului

3 Categorii speciale de date

3 Probleme privind transferarea datelor cu caracter

Abonament Comandă telefonică:

Comandă accesând link-ul:

Editorial: Av. dr. Andrei Săvescu,

✘ Principii legate de prelucrarea datelor cu caracter

Manager Departament Editorial: ✘ Consimțământul conform Regulamentului

personal – societăţi comerciale ............................... 9

✘ Știati ca: Informaţii utile pentru clienţi .................. 11

✘ Drepturile clienţilor cu privire la datele personale

– Dreptul la rectificarea datelor ............................ 12

– Dreptul la ştergerea datelor

Președinte: George Straton – Dreptul la restricţionarea prelucrării ................... 14

© 2018 – RENTROP & STRATON – Dreptul la opoziţie ............................................ 16

✘ RGDP - Prevederi aplicabile prestatorilor de servicii în

domeniul resurselor umane .................................. 24

✘ Regulamentul General privind Protecţia Datelor.

Relaţia angajator – angajat .................................. 29

Editorial Regulamentul general pentru protecția datelor cu caracter personal

Textul Regulamentului are un istoric sinuos, din care trebuie în-

S-ar putea spune că agenții economici din întreaga Europă sunt

Regulamentul privind protecția datelor cu caracter personal obligă

Regulile impuse de Regulament sunt într-atât de împovărătoare

În plus, și poate chiar mai important, interpretarea corectă și pre-

Fără îndoială că această oportunitate va fi exploatată (și) de către

Av. dr. Andrei Săvescu

datelor cu caracter personal

clusiv protecția împotriva pre- l prelucrarea este necesară în

obligațiile societății in privința prelucrării datelor

Ca excepţie, consimţământul persoanei vizate NU este cerut în următoarele cazuri:

Regulamentului nr. 679/2016

să stabilească prin lege

acea vârstă inferioară

În ceea ce priveşte consimţămân-

l date genetice, de date biome- l prelucrarea este necesară pentru

Prelucrarea acestor date cu carac- l prelucrarea este efectuată în

rarea unui drept în instanţă sau stabilite de organisme naţionale

O altă categorie specială de date către operator, operatorul nu are

atenție! – probleme privind transferul datelor cu caracter personal

personal – societăţi comerciale

care prin persoane de specialitate l Privacy by design & Privacy by

l Responsabilizarea operatorilor l DPO – data protection officer/

Desemnarea unui responsabil cu

Așadar, considerăm că,

l este o autoritate publică sau un desemnarea unui DPO.

Regulament sunt incluse

l desfășoară o activitate princi- la nivel general în legislația

proprii care să stabilească

l desfășoară o activitate princi- limite în sfera

Până la această dată

vor fi aplicabile dispozițiile

Legii nr. 677/2001.

l destinatarii sau categoriile de destinatari ai datelor;

datele personale colectate

Dreptul la ştergerea datelor

cu data de 25 mai 2018 de socială, în temeiul dreptului Uniunii

drepturile şi libertăţile per- l prelucrarea este ilegală, iar per-

merate mai sus.