Sunteți pe pagina 1din 32

GDPR

SCURT GHID PENTRU


IMPLEMENTARE

AV. RUXANDRA SAVA


CE ESTE GDPR?

GDPR = Regulamentul (UE) 2016/679 al Parlamentului


European și al Consiliului din 27 aprilie 2016 privind
protecţia persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și privind libera circulaţie a
acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor)

GDPR a fost adoptat la data de 27 aprilie 2016, a intrat în


vigoare pe 24 mai 2016 și se va aplica direct începând cu 25
mai 2018.

S-a acordat un termen de 2 ani pentru ca entitățile să aibă


timp să se alinieze reglementărilor.

GDPR se va aplica direct


în Romania incepand cu
25 mai 2018
DEFINITII

date cu caracter personal = orice informatii cu privire


la o persoana fizica identificata sau identificabila 

operator = entitatea care stabileste scopul si


mijloacele prelucrarii datelor

împuternicit = entitatea care prelucrează datele în


numele operatorului

persoana vizata = orice persoană fizică

prelucrare  = orice operatiune asupra datelor


personale (cum ar fi colectarea, înregistrarea,
organizarea, structurarea, stocarea,
consultarea etc)
CE SUNT DATELE CU
CARACTER PERSONAL?

Exemple:

nume, prenume, telefon


e-mail venit 
adresa, CNP, serie si numar
CI 

date biometrice  imagine adresa IP date medicale

orice alte
informatii cu
privire la o
persoana fizica
identificata sau
identificabila 
ORICE informație. Domeniul
este atât de vast încât nu va
exista niciodată vreo lista
exhaustivă a datelor cu
caracter personal.

Datele trebuie să se refere la persoanele


fizice în viață. Regulamentul nu se aplică și
datelor privitoare la persoanele decedate.

Ce se intampla dacă avem date care nu se


refera la o persoana fizica deja
identificată? Sunt ele date personale?

Pot fi. Daca exista mijloace care pot


conduce catre identificarea persoanei.
Aceste mijloace trebuie sa tina cont atat de
tehnologia actuala, cât și de cea care va fi
(în mod rezonabil) dezvoltată în viitor.
CE SUNT DATELE CU
CARACTER PERSONAL
SPECIALE?

originea rasiala sau etnica


datele medicale
date genetice, biometrice
pentru identificarea
unică a unei persoane
fizice

datele cu privire la viata sexuala

date privitoare la fapte penale


sau contraventii

convingerile politice, religioase,


filozofice 

Datele speciale pot fi prelucrate


doar în conditii foarte stricte
OPERATOR SAU IMPUTERNICIT?

operator imputernicit
NU este un raport de
munca

relatie contractuala
externalizata (exemple:
agentii de marketing,
contabili, avocati,
furnizori de servicii IT,
furnizori de servicii de are acces la datele
stabileste scopul si
monitorizare video ) personale ale
mijloacele prelucrarii
operatorului, dar le
prelucreaza doar in
numele si conform
instructiunilor
e obligat sa contracteze operatorului
doar cu imputernicitii
care au garantii de
confidentialitate si
este subordonat
securitate
operatorului si are
obligatia de a nu se abate
de la instructiuni

are majoritatea
obligatiilor impuse de
are obligatii precum: a se
Regulament
asigura de securitate, a
nu contracta cu un alt
Pentru incalcarea
subimputernicit fara
obligatiilor, acordul operatorului, a
imputernicitul poate fi raporta un incident de
amendat de securitate
PRINCIPIILE PRELUCRĂRII

Legalitate, echitate și transparență


Datele sunt prelucrate în mod
legal, echitabil și transparent
faţă de persoana vizată

Limitare la scop
datele sunt colectate în scopuri
determinate, explicite și legitime
și nu sunt prelucrate ulterior
într-un mod incompatibil cu
aceste scopuri

reducerea la minimum a datelor


datele sunt adecvate,
relevante și limitate la
ceea ce este necesar în
raport cu scopurile în care
sunt prelucrate 
exactitate

datele sunt exacte și, în


cazul în care este necesar,
sunt actualizate

limitări legate de stocare

datele nu trebuie păstrate


mai mult decât e necesar

securitate si confidentialitate

datele sunt prelucrate într-


un mod care asigură
securitatea adecvată

Cele sase principii de mai sus trebuie


respectate simultan!

Nerespectarea lor poate conduce la


amenzi de până la 20.000.000 euro
sau 4% din cifra de afaceri.
TEMEIURILE PRELUCRĂRII

Prelucrarea este legală doar dacă este necesară


pentru:

încheierea sau executarea unui contract

persoana vizata si-a dat consimtamantul

îndeplinirea unei obligații legale

atingerea intereselor legitime urmărite de operator


sau de un terţ

îndeplinirea unei sarcini care servește unui


interes public sau care rezultă din exercitarea
autorităţii publice cu care este învestit
operatorul

pentru a proteja interesele vitale ale persoanei


vizate sau ale altei persoane fizice
Trebuie sa existe ce putin un temei 
de mai sus astfel incat prelucrarea
sa fie legală!

Spre deosebire de reglementarea


anterioara, unde consimtamantul era
regula, GDPR aduce toate temeiurile pe
pozitie de egalitate. 

Nu are niciun rost sa obtii consimtamantul


persoanei atata timp cat prelucrarea ta
are alt temei, ca executare unui contract,
indeplinirea unei obligatii legale sau chiar
un interes legitim.
Dar dacă ești obligat să obții
consimțământul...

Consimtământul
trebuie să fie:

dat in mod liber - alegere reala

specific, pentru fiecare scop


in parte

informat asupra tuturor detaliilor


prelucrării

lipsit de ambiguitate
Operatorul trebuie sa poata face dovada ca a
obtinut un consimtamant valabil

In situatia unui dezechilibru de putere, de exemplu


angajat-angajator, consimtamantul nu este valabil
decat in mod exceptional

Inainte de obtinerea consimtamantului, persoanei


trebuie sa i se furnizeze, intr-un limbaj simplu si clar:
identitatea operatorului, scopurile prelucrarii,
tipurile de date colectate, existenta dreptului de
retragere si, daca e cazul, informatii despre profilare
si decizii automate

Retragerea consimtamantului poate fi facuta


oricand si la fel de simplu ca acordarea lui

Tăcerea, inacțiunea sau căsuțele pre-bifate nu


valoreaza consimtamant
Pentru datele sensibile, consimtamantul
trebuie sa fie explicit (declaratie scrisa,
semnatura electronica, verificare in doi
factori prin e-mail/ sms etc)

Pentru copiii sub 16 ani,


consimtamantul trebuie dat de
reprezentantul legal (de obicei,
parintele)

În unele situații consimțământul este


obligatoriu

marketing prin mijloace


electronice cookies

date sensibile decizii automate


Daca se doreste recurgerea la
interesul legitim pentru prelucrare,
trebuie ca interesul sa existe si sa
prevaleze asupra drepturilor
persoanei vizate
INFORMAREA PERSOANEI VIZATE

Indiferent de temeiul prelucrarii,


persoana vizata trebuie sa fie
informata asupra:

identitatea si datele de contact ale operatorului si,


daca e cazul, ale responsabilulul cu protectia datelor

obligatia de furnizare a datelor + consecintele


nerespectarii

dreptul de depune o plangere in fata Autoritatii


dreptul de a se adresa justitiei

daca se recurge la profilare sau decizii automate


scopurile pentru care se prelucreaza datele

destinatarii sau categoriile de destinatari

daca se transfera date catre state non- UE -


mijloacele de protectie

perioada de stocare sau criteriile utilizate pentru


determinarea perioadei
Ce drepturi are persoana vizată?

dreptul la informare

persoana vizata are dreptul de a fi


informata asupra tuturor aspectelor
enumerate anterior 

dreptul de acces

persoana vizata are dreptul de a


obține din partea operatorului o
confirmare că se prelucrează sau nu
date cu caracter personal care o
privesc și, în caz afirmativ, are dreptul
de acces la datele respective
Ce drepturi are persoana vizată?

dreptul la rectificare

Persoana vizata are dreptul de a obține de la operator,


fără întârzieri nejustificate, rectificarea datelor cu
caracter personal inexacte care o privesc. Ținându-se
seama de scopurile în care au fost prelucrate datele, are
dreptul de a obține completarea datelor cu caracter
personal care sunt incomplete, inclusiv prin furnizarea
unei declarații suplimentare.

dreptul la stergerea
datelor

În situațiile în care (1) datele nu mai sunt necesare pentru


îndeplinirea scopurilor, (2) s-a retras consimțământul și nu
există un alt temei juridic pentru prelucrare, (3) persoana se
opune prelucrării și nu există motive legitime care să
prevaleze în ceea ce privește prelucrarea sau (4) datele cu
caracter personal au fost prelucrate ilegal, persoana are
dreptul de a obține ștergerea datelor care o privesc, fără
întârzieri nejustificate.
Ce drepturi are persoana vizată?

dreptul la restrictionarea
prelucrarii

Persoana vizată are dreptul la restrictionarea prelucrarii in


urmatoarele situatii:

(a) contestă exactitatea datelor, pentru o perioadă care 


permite operatorului sa verifice exactitatea datelor;

(b) prelucrarea este ilegală, iar persoana se opune ștergerii


datelor cu caracter personal, solicitând în schimb
restricționarea utilizării lor;

(c) nu mai este nevoie de datele cu caracter personal în scopul


prelucrării, dar persoana le solicita pentru constatarea,
exercitarea sau apărarea unui drept în instanță;

(d) persoana s-a opus prelucrării în conformitate cu articolul 21


alineatul (1) din GDPR, pentru intervalul de timp în care se
verifică dacă interesele legitime ale operatorului prevalează
asupra drepturilor persoanei.
Ce drepturi are persoana vizată?

dreptul la opozitie

Persoana vizată are dreptul de a se opune, în orice moment, la


prelucrarea datelor cu caracter personal. Operatorul va da curs
cererii, cu exceptia cazului in care prevaleaza interesele
legitime ale sale sau ca scopul este constatarea, execitarea sau
apararea unui drept in instanta.

Persoana vizata are dreptul de a se opune in orice moment


prelucrarii datelor in scop de marketing direct.

dreptul de a nu fi supusa unei decizii


automate cu efect semnificativ

Nu are acest drept în cazul în care decizia:

(a) este necesară pentru încheierea sau executarea unui


contract între persoana vizată și un operator de date;

(b) este autorizată prin dreptul Uniunii sau dreptul intern care
se aplică operatorului și care prevede, de asemenea, măsuri
corespunzătoare pentru protejarea drepturilor, libertăților și
intereselor legitime ale persoanei vizate; sau

(c) are la bază consimțământul explicit al persoanei vizate


dreptul la portabiliatea datelor

Persoana vizata are dreptul de a primi datele cu caracter


personal care o privesc și pe care le-a furnizat într-un format
structurat, utilizat în mod curent și care poate fi citit automat și
are dreptul de a transmite aceste date altui operator, fără
obstacole din partea operatorului, în cazul în care sunt
indeplinite cumulativ urmatoarele conditii:

(a) prelucrarea se bazează pe consimțământ sau pe un contract

 și

(b) prelucrarea este efectuată prin mijloace automate.

dreptul de a-si retrage consimtamantul


acordat in orice moment si in mod gratuit

Drepturile nu sunt absolute și exista exceptii.


In situatia unei cereri din partea persoanei vizate,
operatorul este obligat sa raspunda fara o intarziere
nejustificata si in cel mult o luna. In situatia unei
cereri complexe, perioada de raspuns poate fi
prelungita pentru cel mult o luna.

Nerespectarea drepturilor persoanei


vizate poate atrage amenzi de până la
20.000.000 sau 4% din cifra de afaceri,
oricare din ele este mai mare.

Persoana vizată

poate depune plangere la Autoritate

se poate adresa justitiei pentru despagubiri (daune


materiale și/sau morale)
RESPONSABILITATEA
OPERATORULUI

Stabilirea politicilor tehnice și organizationale care sa


asigure respectarea GDPR 

Respectarea drepturilor persoanei vizate

Informarea adecvată a persoanelor vizate prin note


de informare/politici de confidențialitate în mod fizic
sau pe site

Securitatea  și confidențialitatea datelor (criptare,


anonimizare, pseudonimizare)

Alegerea cu mare grijă a persoanelor împuternicite,


întrucât acestea trebuie să prezinte garanții
suficiente de conformare cu Regulamentul
RESPONSABILITATEA OPERATORULUI

  Managementul adecvat al incidentelor de securitate

Cooperarea cu autoritatea de supraveghere

In unele cazuri, pastrarea evidentei activitatilor de


prelucrare

In unele cazuri, intocmirea unor studii de impact


(DPIA)

In unele cazuri, numirea unui responsabil cu protectia datelor (intern


extern)

Respectarea tuturor principiilor prelucrării de la art. 5

Pentru nerespectarea punctelor de mai sus,


operatorul poate fi sanctionat cu amenda de pana
la 20.000.000 euro sau 4% din cifra de afaceri,
pentru fiecare abatere
CAND ESTE NECESARA
PASTRAREA EVIDENTEI
ACTIVITATILOR DE PRELUCRARE?

cand firma are peste 250 de prelucrarea implica un risc


angajati pentru persoana vizata

se prelucreaza categorii
prelucrarea nu este
speciale de date
ocazionala
CE TREBUIE SA CUPRINDA EVIDENTA
PASTRATA DE OPERATOR?

(a) numele și datele de contact ale operatorului și,


după caz, ale operatorului asociat, ale
reprezentantului operatorului și ale responsabilului cu
protecția datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a
categoriilor de date cu caracter personal;
(d) categoriile de destinatari cărora le-au fost sau le
vor fi divulgate datele cu caracter personal, inclusiv
destinatarii din țări terțe sau organizații
internaționale;

(e) dacă este cazul, transferurile de date cu caracter personal


către o țară terță sau o organizație internațională, inclusiv
identificarea țării terțe sau a organizației internaționale
respective, documentația care dovedește existența unor
garanții adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru
ștergerea diferitelor categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor
tehnice și organizatorice de securitate 

Si persoana imputernicita are,


in unele cazuri, obligatia de
pastrare a evidentei
prelucrarilor
CAND ESTE
NECESARA REALIZAREA UNUI
STUDIU DE IMPACT?

“în cazul în care un tip de prelucrare, în special cel


bazat pe utilizarea noilor tehnologii, este
susceptibil să
genereze un risc ridicat pentru drepturile și
libertățile
persoanelor fizice”

Există șanse mari ca Autoritatea de


supraveghere să întocmească o listă care
cuprinde activitățile de prelucrare pentru care
este necesar realizarea unui studiu de impact.

??!
Evaluarea impactului este necesara mai ales in
urmatoarele situatii:

(a) evaluări sistematice și cuprinzătoare a


aspectelor personale referitoare la persoane
fizice pentru a se lua decizii automate cu impact
semnificativ

(b) prelucrării pe scară largă a unor categorii


speciale de date (de exemplu, o aplicație de
sanătate)
sau a unor date cu caracter personal privind
condamnări penale și infracţiuni, menţionată la
articolul;

sau
(c) unei monitorizări sistematice pe scară largă a
unei zone accesibile publicului.

Evaluarea impactului trebuie sa se realizeze


inaintea prelucrării. Dacă în urma evaluării,
rezultă un risc ridicat, se va consulta Autoritatea
de Supraveghere
CAND ESTE NECESAR
RESPONSABILUL CU PROTECTIA
DATELOR?

Când prelucrarea este efectuată de o autoritate


publică sau un organism public, cu excepția
instanțelor care acționează în exercițiul funcției
lor jurisdicționale

Dacă activitățile principale ale operatorului sau


ale persoanei împuternicite de operator constau
în operațiuni de prelucrare care necesită o
monitorizare periodică și sistematică a
persoanelor vizate pe scară largă

Dacă activitățile principale ale operatorului sau


ale persoanei împuternicite de operator constau
în prelucrarea pe scară largă a unor categorii
speciale de date sau a unor categorii de date cu
caracter personal privind condamnări penale și
infracțiuni

Responsabilul cu protectia datelor poate fi intern (angajat)


sau extern (SRL, PFA, Avocat) și trebuie să aibă cunoștințe de
specialitate și experiență în domeniul protecției datelor cu
caracter personal
MANAGEMENTUL INCIDENTELOR
DE SECURITATE

Exemple de incidente de securitate: atacuri cibernetice,


pierderea unui dispozitiv (laptop, tableta, telefon) pe care
sunt stocate date cu caracter personal, sustragerea de
catre un angajat documente care conțin date personale etc.

In situatia unui incident de securitate, operatorul este


obligat  să notifice de urgență Autoritatea de Supraveghere,
de regulă, în cel mult 72 ore. Prin notificare trebuie descris
în amănunt incidentul, consecințele probabile și măsurile
luate pentru remedierea problemei.

Dacă incidentul poate genera un risc ridicat pentru


persoana vizată, operatorul este obligat să o informeze fără
întârziere. 
Prezentul Ghid este pus în mod gratuit la dispoziția publicului din
România și poate fi descărcat de pe site-ul www.legalup.ro. 

Materialul este protejat de drepturi de autor în temeiul Legii nr.


8/1996 și orice copiere, distribuire, reproducere, republicare
reprezintă contravenție. Ne rezervăm dreptul de a solicita
despagubiri pentru prejudiciile cauzate. 

Prezentul Ghid este redactat în scop de informare de av.


Ruxandra Sava și nu reprezintă o consultație juridică în sensul
Legii 51/1995 pentru organizarea și exercitarea profesiei de
avocat.

Este de la sine înțeles că ghidul nu acoperă în mod exhaustiv


situațiile care se pot ivi în practică.

De aceea recomandăm apelarea la consultanță specializată în


vederea implementării. 

Te putem ajuta să te aliniezi la GDPR!


Ruxandra Sava
Avocat și Specialist Protecția Datelor

ruxandra.sava@legalup.ro
https://legalup.ro
0745.073.156