Documente Academic
Documente Profesional
Documente Cultură
DIN SUMAR
Revista conţine:
l Răspunsuri la întrebări fierbinți ridicate de Regulamentul privind
Protecția Datelor Personale;
l Ultimele noutăți și evoluții cu privire la aplicarea Regulamentului, atât în ceea ce
privește; reglementări și/sau decizii ale Autorității Naționale, cât și în ce privește
evoluțiile la nivel european;
l Soluții practice, oferite de avocați specializați în DATA PROTECTION, de natura
să ajute la implementarea în cadrul organizațiilor a cerințelor legale;
l Sugestii pentru evitarea amenzilor la care sunt expuși operatorii.
Revista română de
În această ediție:
Protecţia Datelor
personal .............................................................. 3
✘ Important – Obligațiile societății in privința prelucrării
Autori: Justinian Cucu,
Adina Popescu, Irina Dumitrecu,
datelor ................................................................. 4
Rodica Mantescu
colectate............................................................. 12
www.rs.ro
Corespondență:
officer................................................................. 21
din această lucrare nu poate fi reprodusă,
arhivată sau transmisă sub nicio formă și
Februarie 2018 1
Revista Română de Protecţia Datelor
Cred că este vorba despre altceva, mult mai înalt și mult mai
curând: ordinea. Regulamentul impune tuturor agenților economici
care au mulți clienți și celor care au mulți salariați, sau și-și, să facă
ordine în procesele pe care le derulează. Agenții economici, dar și
instituțiile, sunt obligate de Regulament să aibă proceduri clare cu
privire la protecția datelor cu caracter personal. Aceste proceduri
sunt, pentru foarte mulți, primele proceduri.
2 Februarie 2018
Principii legate de prelucrarea
Revista Română de Protecţia Datelor
principiilor
nate, explicite și legitime și nu scopurile în care sunt prelucrate
legate de
sunt prelucrate ulterior într-un („reducerea la minimum a
mod incompatibil cu aceste datelor“);
scopuri; prelucrarea ulterioară l exacte și, în cazul în care este
prelucrarea
datelor cu
în scopuri de arhivare în interes necesar, să fie actualizate; trebuie
caracter
public, în scopuri de cercetare să se ia toate măsurile necesare
personal și
științifică sau istorică ori în pentru a se asigura că datele cu
poate
scopuri statistice nu este consi- caracter personal care sunt
demonstra
derată incompatibilă cu sco- inexacte, având în vedere sco-
această
purile inițiale, în conformitate purile pentru care sunt prelu-
cu articolul 89 alineatul (1) din crate, sunt șterse sau rectificate
Regulamentul 679/2016, care fără întârziere („exactitate“);
respectare
„respon-
dispune: „Prelucrarea în sco- l păstrate într-o formă care per-
sabilitate“.
puri de arhivare în interes pu- mite identificarea persoanelor
blic, în scopuri de cercetare vizate pe o perioadă care nu de-
științifică sau istorică ori în pășește perioada necesară în-
scopuri statistice are loc cu deplinirii scopurilor în care
condiția existenței unor garanții sunt prelucrate datele; datele cu
corespunzătoare, în conformi- caracter personal pot fi stocate
tate cu prezentul regulament, pe perioade mai lungi în mă-
pentru drepturile și libertățile sura în care acestea vor fi prelu-
persoanelor vizate. Respectivele crate exclusiv în scopuri de
garanții asigură faptul că au fost arhivare în interes public, în
instituite măsuri tehnice și orga- scopuri de cercetare științifică
nizatorice necesare pentru a se sau istorică ori în scopuri statis-
asigura, în special, respectarea tice, sub rezerva punerii în apli-
principiului reducerii la mini- care a măsurilor de ordin tehnic
mum a datelor. Respectivele și organizatoric adecvate pre-
măsuri pot include pseudo- văzute în Regulament în ve-
nimizarea, cu condiția ca re- derea garantării drepturilor și
spectivele scopuri să fie libertăților persoanei vizate
îndeplinite în acest mod. Atunci („limitări legate de stocare“);
când respectivele scopuri pot fi l prelucrate într-un mod care
îndeplinite printr-o prelucrare asigură securitatea adecvată a
ulterioară care nu permite sau datelor cu caracter personal, in-
Februarie 2018 3
Revista Română de Protecţia Datelor
Important
sau pentru a face demersuri la se aplică în cazul prelucrării efec-
cererea persoanei vizate înainte tuate de autorități publice în în-
de încheierea unui contract; deplinirea atribuțiilor lor. n
Regula este că orice prelucrare de date cu caracter personal poate fi efectuată numai dacă per-
soana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare.
a) când prelucrarea este necesară în vederea executării unui contract sau antecontract la care
persoana vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea
încheierii unui contract sau antecontract;
b) când prelucrarea este necesară în vederea protejării vieţii, integrităţii fizice sau sănătăţii per-
soanei vizate ori a unei alte persoane ameninţate;
c) când prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale a operatorului;
d) când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes
public sau care vizează exercitarea prerogativelor de autoritate publică cu care este învestit
operatorul sau terţul căruia îi sunt dezvăluite datele;
e) când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau
al terţului căruia îi sunt dezvăluite datele, cu condiţia ca acest interes să nu prejudicieze interesul
sau drepturile şi libertăţile fundamentale ale persoanei vizate;
f) când prelucrarea priveşte date obţinute din documente accesibile publicului, conform legii;
g) când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică,
iar datele rămân anonime pe toată durata prelucrării.
4 Februarie 2018
Consimțământul conform
Revista Română de Protecţia Datelor
RGPD prevede, de
persoana vizată are dreptul să îşi re-
tragă în orice moment consimţămân-
asemenea, posibilitatea
tul. Retragerea consimţământului nu
ca statele membre
afectează legalitatea prelucrării efec-
o vârstă inferioară
de acordarea consimţământului, per-
în aceste scopuri,
soana vizată este informată cu
privire la acest lucru. Retragerea con-
cu condiţia ca
simţământului se face la fel de sim-
Februarie 2018 5
Categorii speciale de date
Revista Română de Protecţia Datelor
cu caracter personal
Categoriile speciale de date cu ca- curităţii sociale şi protecţiei so-
racter personal a căror prelucrare ciale, în măsura în care acest
este interzisă cuprind: lucru este autorizat de dreptul
Uniunii sau de dreptul intern
l date cu caracter personal care ori de un acord colectiv de
dezvăluie originea rasială sau muncă încheiat în temeiul drep-
etnică, opiniile politice, confe- tului intern care prevede
siunea religioasă sau convinge- garanţii adecvate pentru drep-
rile filozofice sau apartenenţa la turile fundamentale şi interesele
sindicate; persoanei vizate;
6 Februarie 2018
Revista Română de Protecţia Datelor
Februarie 2018 7
Revista Română de Protecţia Datelor
ȘtIaȚI CĂ?
nu necesită sau nu mai necesită iden- mentare care permit identificarea sa.
tificarea unei persoane vizate de n
Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit:
a) după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare este nele-
gală, în special a datelor incomplete sau inexacte;
b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă legii
(date anonime = date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi
asociate cu o persoană identificată sau identificabilă); uneori aceasta este o cerinţă imposibilă
(spre exemplu, cabinetele medicale în general nu pot funcţiona cu date personale anonime).
Solicitare scrisă
Pentru exercitarea acestui drept, persoana vizată va înainta operatorului o cerere întocmită în
forma scrisă, datată şi semnată. În cerere, solicitantul poate arăta dacă doreşte ca informaţiile
să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un ser-
viciu de corespondenţă care să asigure că predarea i se va face numai personal.
Răspuns scris
Societatea (operatorul) este obligat(ă) să comunice măsurile luate conform cererii clientului în
termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului
(poştă electronică, serviciu de corespondenţă special).
8 Februarie 2018
Procesarea datelor cu caracater
Revista Română de Protecţia Datelor
în care se
privat, indiferent dacă au loc în sec-
poate efectua
torul public sau în sectorul privat.
prelucrarea
acestor date
Cum trebuie să aplice Regulamen- Din perspectiva exemplelor con-
personale
tul GDPR (Regulamentul (UE) crete pot fi enumerați toți angajatorii,
2016/679 al Parlamentului European pentru unii dintre aceștia existând in-
și al Consiliului) o societate care clusiv obligații de raportare către
însă numai
cu condiția
trimite diferite newslettere informa- Autoritatea de supraveghere. Spre
instituirii unor
tive și desfășoară activitate de con- exemplu, instalarea unor sisteme de
garanții
sultanță și contabilitate, din 25 mai supraveghere video la locul de
adecvate
2018? Are obligația pregătirii unui muncă determină o astfel de obli-
pentru
DPO? gație. De asemenea, este subiect al re-
respectarea
glementării orice persoană care
Dacă da, poate fi directorul eco- organizează o evidență a clienților
nomic (5 angajați) DPO? Menționez persoane fizice. drepturilor
persoanelor
că societatea contactează persoane ju-
vizate.
ridice dintr-o bază de date cumpărată, În conformitate cu prevederile art.
în vederea promovării serviciilor sale 8 alin. (1) din Legea nr. 677/2001 pre-
(prin intermediul a 2 operatori call- lucrarea codului numeric personal
center). Ulterior, în urma acceptului sau a altor date cu caracter personal
PJ respectiv, după o perioadă scurtă având o funcție de identificare de
de testare (5-10 zile) se încheie un con- aplicabilitate generală poate fi efec-
tract de prestări servicii. tuată numai dacă persoana vizata
și-a dat în mod expres consimțămân-
Ce alte documente am putea în- tul sau prelucrarea este prevăzută în
tocmi pentru a fi acoperiți de acest mod expres de o dispoziție legală.
Regulament.
Modificarea legislației din dome-
Societatea respectivă are mare niu presupune intrarea în vigoare a
nevoie de niște indicații legate de Regulamentului (UE) 2016/679 și a
GDPR. Directivei (UE) 2016/680. Noile re-
glementări sunt destinate sporirii
Răspuns: protecției persoanelor fizice im-
Sfera de aplicare a legii este de- punând pentru cei care obțin date o
osebit de amplă deoarece art. 2 din mai mare rigoare în obținerea și pre-
Legea nr. 677/2001 pentru protecţia lucrarea acestora. Răspunderea pen-
persoanelor cu privire la prelucrarea tru implementarea dispozițiilor din
datelor cu caracter personal şi libera domeniu revine administratorilor
circulaţie a acestor date dispune că care însă le vor putea pune în apli-
Februarie 2018 9
Revista Română de Protecţia Datelor
10 Februarie 2018
Revista Română de Protecţia Datelor
în cazul prezentat
sus, în cazul în care operatorul sau
nu este necesară
persoana împuternicită de operator:
vigoare, reglementări
sistematice pe scară largă a per-
În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizată, operatorul
este obligat să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului
în care această persoană posedă deja informaţiile respective:
a) identitatea operatorului (societăţii) şi a reprezentantului acestuia, dacă este cazul;
b) scopul în care se face prelucrarea datelor;
c) informaţii suplimentare, precum:
d) orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de suprave-
ghere, ţinând seama de specificul prelucrării.
Februarie 2018 11
Drepturile clienţilor cu privire la
Revista Română de Protecţia Datelor
(„dreptul de a fi uitat”)
lui Uniunii sau al dreptului in-
tern sub incidenţa căruia se află
operatorul;
Persoana vizată are dreptul, în
baza art. 17 din RGPD, de a obţine l datele cu caracter personal au
din partea operatorului ştergerea fost colectate în legătură cu
datelor cu caracter personal care o oferirea de servicii ale societăţii
privesc, fără întârzieri nejustificate, informaţionale minorilor cu
iar operatorul are obligaţia de a vârsta sub 16 ani. Acesta este un
şterge datele cu caracter personal drept nou reglementat începând
12 Februarie 2018
Revista Română de Protecţia Datelor
Februarie 2018 13
Revista Română de Protecţia Datelor
păstrarea în continuare a
vizată i le solicită pentru con-
datelor cu caracter
statarea, exercitarea sau
personal în cazul
apărarea unui drept în instanţă;
sau
în care aceasta este
necesară în scopurile enu-
l persoana vizată s-a opus prelu-
14 Februarie 2018
Revista Română de Protecţia Datelor
sau ştergere a datelor cu caracter per- i-au fost furnizate datele cu caracter
sonal sau restricţionare a prelucrării personal, în cazul în care:
efectuate în conformitate cu dreptul
la rectificare, cu dreptul la ştergere şi l prelucrarea se bazează pe con-
dreptul la restricţionarea prelucrării, simţământ persoanei vizate sau
cu excepţia cazului în care acest lucru pe un contract la care persoana
se dovedeşte imposibil sau pre- este parte;
supune eforturi disproporţionate.
Operatorul informează persoana Un exemplu luat în considearare de
vizată cu privire la destinatarii res- autorităţi vizează titlurile cărților achi-
pectivi dacă persoana vizată solicită ziționate de către o persoană fizică din-
acest lucru. tr-o librărie online sau melodiile
Dreptul la portabilitatea
ascultate prin intermediul unui servi-
ciu de streaming de muzică care sunt
datelor
exemple de date cu caracter personal,
care întră, în general, sub incidența
scopului portabilității datelor, deoare-
Art. 20 din RGPD introduce un ce acestea sunt prelucrate pe baza de-
nou drept la portabilitatea datelor, rulării unui contract la care persoana
creând posibilitatea opţiunii pentru vizată este parte. RGPD nu stabilește
transmiterea de date la un alt operator un drept general la portabilitatea date-
şi implicit oferind persoanelor vizate lor pentru situațiile în care prelucrarea
libertate de alegere. Acest drept per- datelor cu caracter personal nu se
mite persoanelor vizate să primească bazează pe consimțământ sau contract.
datele cu caracter personal pe care
le-au furnizat operatorului într-un De exemplu, nu există nicio obli-
format structurat, utilizat în mod gație pentru instituțiile financiare să
curent și care poate fi citit automat și răspundă unei cereri de portabilitate
să transmită respectivele date altui a datelor cu privire la datele cu ca-
operator, fără obstacole. racter personal prelucrate ca parte a
obligației de a preveni și detecta
Persoanele fizice care fac uz de spălarea banilor și alte infracțiuni fi-
dreptul de acces sunt în prezent con- nanciare; în egală măsură, portabili-
strânse de formatul ales de opera- tatea datelor nu acoperă datele de
torul de date atunci când furnizează contact profesionale prelucrate în
informațiile solicitate. Dreptul la cadrul unei afaceri pentru relațiile de
portabilitatea datelor se aplică sub afaceri în situațiile în care prelu-
rezerva unor anumitor condiții, spri- crarea nu se bazează nici pe con-
jină alegerea, controlul şi respon- simțământul persoanei vizate, nici pe
sabilitatea utilizatorului. contractul la care persoana vizată
este parte. În cazul datelor anga-
În virtutea acestui drept, persoana jaților, pentru a putea aplica dreptul
vizată are dreptul de a primi datele la portabilitatea datelor este necesară
cu caracter personal care o privesc şi existenţa unui contract la care per-
pe care le-a furnizat operatorului soana vizată este parte, care are drept
într-un format structurat, utilizat în obiect prelucrarea de date. În multe
mod curent şi care poate fi citit au- cazuri, consimțământul nu va fi con-
tomat şi are dreptul de a transmite siderat ca fiind liber exprimat în acest
aceste date altui operator, fără obsta- context ca urmare a dezechilibrului
cole din partea operatorului căruia de putere între angajator și angajat.
Februarie 2018 15
Revista Română de Protecţia Datelor
16 Februarie 2018
Revista Română de Protecţia Datelor
Februarie 2018 17
Prelucrarea datelor în contextul
Revista Română de Protecţia Datelor
18 Februarie 2018
Revista Română de Protecţia Datelor
Februarie 2018 19
Revista Română de Protecţia Datelor
statele membre pot prevedea norme vor trebui să includă măsuri cores-
mai detaliate pentru a asigura pro- punzătoare şi specifice pentru
tecţia drepturilor şi a libertăţilor cu garantarea demnităţii umane, a in-
privire la prelucrarea datelor cu ca- tereselor legitime şi a drepturilor
racter personal ale angajaţilor în con- fundamentale ale persoanelor vizate,
textul ocupării unui loc de muncă, în în special în ceea ce priveşte trans-
special în scopul recrutării, al în- parenţa prelucrării, transferul de
deplinirii clauzelor contractului de date cu caracter personal în cadrul
muncă, inclusiv descărcarea de unui grup de întreprinderi sau al
obligaţiile stabilite prin lege sau prin unui grup de întreprinderi implicate
acorduri colective, al gestionării, într-o activitate economică comună şi
planificării şi organizării muncii, al sistemele de monitorizare la locul de
egalităţii şi diversităţii la locul de muncă.
muncă, al asigurării sănătăţii şi secu-
rităţii la locul de muncă, al protejării Dată fiind importanța acestui
proprietăţii angajatorului sau a clien- domeniu este instituită obligația
tului, precum şi în scopul exercitării fiecărui stat membru de a informa
şi beneficierii, în mod individual sau Comisia cu privire la dispoziţiile de
colectiv, de drepturile şi beneficiile drept intern pe care le adoptă în
legate de ocuparea unui loc de scopul protecției drepturilor şi a li-
muncă, precum şi pentru încetarea bertăţilor cu privire la prelucrarea
raporturilor de muncă. datelor cu caracter personal ale anga-
jaţilor până la 25 mai 2018, precum şi,
Aceste norme ce vor fi adoptate în fără întârziere, cu privire la orice
procesul de implementare a RGPD modificare ulterioară a acestora. n
Operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de
drept privat care stabileşte scopul şi mijloacele prelucrării. Aceasta înseamnă că operatorul a
decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace
automate, precum şi prin alte mijloace decât cele automate. De asemenea, persoana fizică sau
juridică poate fi desemnată ca operator printr-un act normativ sau în baza unui act normativ
care determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o
prelucrare să intre sub incidenţa prevederilor Legii nr. 677/2001 este necesar ca ea să se des-
făşoare în cadrul unui sistem de evidenţă. Prin sistem de evidenţă se înţelege o bază de date,
structurată potrivit unor criterii, criterii pe baza cărora datele pot fi accesate (de exemplu, pe
criteriul alfabetic).
20 Februarie 2018
Responsabilul cu protecţia
Revista Română de Protecţia Datelor
Desemnarea responsabilului
cu protecţia datelor
nează un responsabil cu protecţia
datelor ori de câte ori:
RGPD nu defineşte
ternicită de operator:
intern, în conformitate
lor jurisdicţionale;
Februarie 2018 21
Revista Română de Protecţia Datelor
22 Februarie 2018
Revista Română de Protecţia Datelor
Februarie 2018 23
Revista Română de Protecţia Datelor
24 Februarie 2018
Revista Română de Protecţia Datelor
Februarie 2018 25
Revista Română de Protecţia Datelor
26 Februarie 2018
Revista Română de Protecţia Datelor
Februarie 2018 27
Revista Română de Protecţia Datelor
În România, instituţia
prestator serviciile de resurse
umane/salarizare.
responsabilă în acest
domeniu este Autoritatea
8. Să organizeze evidența
Naţională de Supraveghere
prelucrărilor în conformitate cu
a Prelucrării Datelor
prevederile art. 30 din Regulament.
cu Caracter Personal.
La acest articol există o derogare
pentru întreprinderile cu mai puţin
de 250 de angajaţi în ceea ce priveşte
păstrarea evidențelor, însă aceasta
Conform Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date, modificată şi completată, operatorii de date
trebuie să notifice prelucrările pe care le efectuează la Autoritatea Naţională de Supraveghere
a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) în situaţiile prevăzute de Decizia
nr. 200/2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru
care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii.
28 Februarie 2018
Regulamentul General privind
Revista Română de Protecţia Datelor
Protecţia Datelor.
Relaţia angajator – angajat
Întrebare: mai multe elemente specifice, proprii
identităţii sale fizice, fiziologice,
În condiţiile în care o societate (X) genetice, psihice, economice, cultu-
deţine doar datele personale ale sa- rale sau sociale.
lariaţilor (Revisal) şi datele
acţionarilor, ce repercusiuni (obli- Prelucrarea datelor înseamnă
gaţii) va avea Regulamentul General orice operaţiune sau set de
Privind Protecţia Datelor Personale operaţiuni efectuate asupra datelor
(GDPR) asupra societăţii în cauză, cu caracter personal sau asupra
aplicabil din 25 mai 2018? seturilor de date cu caracter
personal, cu sau fără utilizarea de
Răspuns: mijloace automatizate, cum ar fi
colectarea, înregistrarea, organizarea,
Regulamentul (UE) 2016/679 al structurarea, stocarea, adaptarea sau
Parlamentului European şi al modificarea, extragerea, consultarea,
Consiliului din 27 aprilie 2016 utilizarea, divulgarea prin trans-
privind protecţia persoanelor fizice mitere, diseminarea sau punerea la
în ceea ce priveşte prelucrarea dispoziţie în orice alt mod, alinierea
datelor cu caracter personal şi sau combinarea, restricţionarea,
privind libera circulaţie a acestor ştergerea sau distrugerea.
date şi de abrogare a directivei
95/46/CE (regulamentul general În ceea ce priveşte relaţia
privind protecţia datelor) stabileşte angajator-angajat din perspectiva
noile reguli aplicabile în privinţa prelucrării datelor personale este
protecţiei datelor personale la nivel evident că angajatorul deţine şi
european. prelucrează datele personale ale
angajaţilor obţinute atât în procesul
Conform Regulamentului (Art.4 – de recrutare, angajare, executare şi
Definiţii), „date cu caracter personal” încetare contract individual de
înseamnă orice informaţii privind o muncă, cât şi în procesul de
persoană fizică identificată sau monitorizare a activităţii angajaţilor,
identificabilă („persoana vizată”); o utilizarea calculatorului/internetului
persoană fizică identificabilă este o la locul de muncă, utilizarea
persoană care poate fi identificată, autotuturismelor de serviciu.
direct sau indirect, în special prin
referire la un element de identificare, Angajatorul prelucrează datele
cum ar fi un nume, un număr de personale ale angajaţilor cu
identificare, date de localizare, un respectarea principiilor prevăzute la
identificator online, sau la unul sau art. 5 din Regulament, respectiv:
Februarie 2018 29
Revista Română de Protecţia Datelor
30 Februarie 2018
Revista Română de Protecţia Datelor
Februarie 2018 31
Revista Română de Protecţia Datelor
32 Februarie 2018
Trimiteţi sugestii și recomandări
referitoare la conţinutul revistei pe
adresa de e-mail:
dataprotection@rs.ro
www.rspro.ro
www.rs.ro
© RENTROP & STRATON
GDR001