NR.

1 SERIA II Noiembrie 2018 Centrul pentru Protecția Datelor

 CUPRINS

Ce poţi afla din noul număr al revistei “GDPR- Weekly News” ? .................................................. 3

CAZURI PRACTICE ............................................................................................................................................ 4

Caz 1: Procedeul anonimizării candidaţilor în cadrul examenelor de admitere ............... 4
Caz 2: Obţinerea unui credit utilizând doar datele de pe cartea de identitate................. 5
Caz 3: Reclamă falsă care prelucrează ilegal datele cu caracter personal ........................... 5
Caz 4: Fişa medicală , certificat de naştere, buletin – suport material la seminar ! ......... 5
ŞTIRI DIN EUROPA ........................................................................................................................................... 5
Amenzi pentru companiile românești ................................................................................................. 5
GDPR în cadrul primăriei .......................................................................................................................... 6
ȘTIRI DIN LUME ................................................................................................................................................ 6
Apple – despre datele personale ............................................................................................................ 6
Cum se fură datele personale de pe rețelele de socializare?...................................................... 7
Date personale pe darkweb ..................................................................................................................... 7
NOUTĂȚI .............................................................................................................................................................. 8
Scurte considerații privind implementarea GDPR în domeniul medical ............................ 8
CAZUISTICĂ ......................................................................................................................................................... 8

2|
 Ce poţi afla din noul număr al revistei “GDPR- Weekly News” ?

Membrii Centrului pentru Protecţia datelor sunt încântaţi să vă ofere cea de-a doua serie a
revistei “GDPR - Weekly News”- cazuri practice, ştiri, cazuistică GDPR. Această serie după cum am
precizat va conţine o secţiune nouă dedicată în exclusivitate domeniului medical, reuşind astfel să
cuprindem o arie cât mai vastă în ceea ce priveşte modalităţile şi tehnicile de implementare a GDPR.
După cum v-am obişnuit, cazurile practice vor prezenta situaţiile practice întâlnite în viaţa de zi cu zi,
de cele mai multe ori fără să le conştientizăm semnificaţiile. Bunele practici au rolul de a ne arăta
faptul că se poate realiza conformarea cu GDPR, (de exemplu: situaţia anonimizării candidaţiilor în
cadrul diverselor examene), în timp ce relele practici subliniază modul defectuos/neconformarea cu
GDPR ori simpla inconştienţă a persoanelor de a-şi oferi datele cu caracter personal în schimbul unor
posibile câştiguri/avantaje (de exemplu: situaţia în care profesorul refoloseşte la seminarii fişe care
conţin date cu caracter personal pentru a xeroxa pe verso grile şi speţe pentru studenţi; de asemenea,
situaţia în care ne oferim datele pe diverse site-uri în schimbul unor posibile câştiguri).
Cazul practic care a stârnit controverse în acest număr evidenţiază modul de obţinere a unui credit
utilizând doar datele de pe cartea de identitate, în situaţia prezentată vorbim despre o persoană a
cărui act de identitate a fost pierdut în urmă cu 5 ani, şi totuşi, anumiţi indivizii au reuşit să obţină
micro-finanţare pe baza lui. Mai multe informaţii ve-ţi putea afla accesând link-ul ataşat în descrierea
cazului.
Un alt element important al revistei care se menține și despre care considerăm că este indispensabil
problematicii GDPR este prezența știrilor. Acestea își păstrează structura: Știri din Europa, știri din
lume și știri din România.
Toate acestea au ca principal scop, pe lângă cazurile practice și altele care se găsesc în revistă, buna
informare cu privire la demne respectări a GDPR ori a unor încălcări ale aceluiași regulament. Pe lângă
toate acestea, o informare referitoare la protecția datelor noastre în cadrul unor companii populare
cum ar fi: Facebook, Apple și altele, nu poate să ne fie decât de un real folos.
După cum am precizat acest număr prezintă şi câteva consideraţii privind implementarea GDPR-ului
în domeniul medical. În articolul din revistă ne sunt prezentaţi cei 6 paşi care vizează implementarea
GDPR în domeniul medical. Începând de la elaborarea unor note informative în ceea ce priveşte
prelucrarea datelor cu caracter personal şi ajungând la asigurarea că Regulamentul este bine pus în
practică şi se află în conformitate cu legislaţia în vigoare, sectorul medical încă întâmpină probleme
serioase.

3|
 CAZURI PRACTICE
Caz 1: Procedeul anonimizării candidaţilor în cadrul examenelor de admitere

caracter personal sunt prezente

în cuprinsul aceluiaşi document,
indiferent de suportul ori de
forma sau de modul de
exprimare a informaţiilor,
accesul la informaţiile de interes
public se realizează prin
anonimizarea informaţiilor cu
privire la datele cu caracter
personal;
Conformarea cu GDPR se observă şi în rândul
Deşi multe persoane consideră o absurditate
informaţiilor de interes public postate pe site-
procedeul de anonimizare, deoarece nu pot afla
urile oficiale, cum sunt rezultate la diverse
ce notă a luat X sau Y, la concursul de admitere,
concursuri de admitere.
ori cum s-a descurcat vecinul ori ce a făcut
Astfel, modalitatea prin care informaţiile sunt
nepotul ş.a.m.d., anonimizarea rămâne o
protejate este dată de tehnicile de anonimizare,
măsură organizatorică de asigurare a protecţiei
cuvânt care nu figurează în DEX, reprezentând
datelor cu caracter personal.
un calc lingvistic după englezescul
Anonimizarea este strict legată de
“anonymisation”, sensul său fiind acceptat de
consimţământul persoanei vizate. Aşadar, orice
jurişti şi folosit în acte oficiale.
persoană care se înscrie la un concurs de
Înalta Curte de Casație și Justiție a stabilit, prin
admitere, poate opta, fie să afişeze lângă nota
hotărâre prealabilă, că în interpretarea şi
obţinută şi datele sale cu caracter personal,
aplicarea art. 2 alin. (1) lit. c) din Legea nr.
respectiv numele şi prenumele său, fie să fie
544/2001 şi art. 3 alin. (1) lit. a) din Legea nr.
publicat doar un cod, cunoscut doar de
677/2001, numele şi prenumele unei persoane
persoană şi de operatorul de date, care este
reprezintă informaţii referitoare la date cu
organizatorul concursului/examenului.
caracter personal1, indiferent dacă, într-o
Cei care sunt declaraţi “ADMIS” cu o notă slabă
situaţie dată, sunt sau nu suficiente pentru
sau sunt declaraţi “RESPINS”, privesc această
identificarea persoanei.
metodă de anonimizare ca fiind benefică,
De asemenea, Curtea a stabilit că în cazul
deoarece scapă de o eventuală “ruşine” şi astfel
cererilor de liber acces la informaţii de interes
vor putea gândi pozitiv şi trece mai uşor peste
public2 întemeiate pe dispoziţiile Legii nr.
un ipotetic eşec profesional.
544/2001, atunci când informaţiile de interes
public şi informaţiile cu privire la datele cu

1
informaţie cu privire la datele personale – orice informaţie
privind o persoană fizică identificată sau identificabilă” (art.
2 alin. (1) lit. c) din Legea nr. 544/2001)
2
informaţie de interes public – orice informaţie care priveşte
activităţile sau rezultă din activităţile unei autorităţi publice
sau instituţii publice, indiferent de suportul ori de forma sau
de modul de exprimare a informaţiei” (art. 2 alin. (1) lit. b)
din Legea nr. 544/2001)

4|
Caz 2: Obţinerea unui credit utilizând doar datele de pe cartea de identitate

(disponibil doar în varianta pentru colaboratori. Pentru mai multe informații puteți să vă adresați în scris
redactorului-șef al revistei la următoarea adresă de email: farcas.darius91@gmail.com)

Caz 3: Reclamă falsă care prelucrează ilegal datele cu caracter personal

(disponibil doar în varianta pentru colaboratori. Pentru mai multe informații puteți să vă adresați în scris
redactorului-șef al revistei la următoarea adresă de email: farcas.darius91@gmail.com)

Caz 4: Fişa medicală , certificat de naştere, buletin – suport material la seminar !

(disponibil doar în varianta pentru colaboratori. Pentru mai multe informații puteți să vă adresați în scris
redactorului-șef al revistei la următoarea adresă de email: farcas.darius91@gmail.com)

ŞTIRI DIN EUROPA

Amenzi pentru companiile românești3

Pentru că intrarea în vigoare a Regulamentului privind protecția datelor nu se putea lăsa fără câteva
sancțiuni, chiar și în primele luni de când se află în vigoare, prezentăm mai jos câteva dintre companiile
românești care au avut de suferit ca efect al nerespectării prevederilor legislației mai sus amintite:

1. Operatorul de date Hilmi Medical Center SRL a primit o amendă contravențională în

cuantum de 10.000 de lei
- Amenda a fost aplicată la data de 13.10.2018 iar procesul prin care s-a desfășurat controlul ce a precedat
sancțiunii a fost publicat de ANSPDCP pe site-ul instituției. Faptele pentru care a fost acuzat operatorul
au fost omisiunea de a notifica și notificarea cu rea-credință, sub forma omisiunii de a notifica.
2. SC Vega Turism SA a primit o amendă în cuantum de 8000 de lei
- Această companie a fost acuzată de aceeași faptă, și anume: omisiunea de a notifica și notificarea cu rea-
credință, sub forma omisiunii de a notifica, întrucât acest operator nu a notificat prelucrarea datelor cu
caracter personal în scopul monitorizării/securității persoanelor/spațiilor și/sau bunurilor publice/private
pin utilizarea sistemului de supravegherea video.
3. SC Dovia 95 Impex SRL a primit o amendă în cuantum de 8000 de lei
- Motivul care a stat la baza acestei sancțiuni a fost prelucrarea nelegală a datelor cu caracter personal
întrucât SC Dovia 95 Impex SRL a prelucrat excesiv datele cu caracter personal ale angajaților prin
mijloace de supraveghere video amplasate în hotel.

3
https://www.manager.ro/articole/protectia-datelor-147/valuri-de-amenzi-pentru-companiile-romanesti-pentru-nerespectarea-
gdpr-96801.html
 4. SC K & D London Entertainment SRL a primit o amendă în cuantum de 9000 de lei
- Motivul este neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate, în
sensul neîndeplinirii obligațiilor privind aplicarea măsurilor de securitate și de păstrare a
confidențialității prelucrării de date cu caracter personal.
5. SC Confident Travel SRL a primit o amendă în cuantum de 11.000 de lei
- Motivul este nerespectarea condițiilor pentru informațiile stocate și accesate la nivelul echipamentului
terminal al utilizatorului care nu a îndeplinit condițiile prevăzute de art. 4, alin. (5) lit. a) și b) din Legea
nr. 506/2004 respectiv obținerea acordului utilizatorului în cauză pentru cookie-urile existente la nivelul
website-ului www.ramdapitesti.ro și furnizarea informațiilor anterior exprimării acordului privind scopul
general al procesării informațiilor stocate, durata de viață, ce informații sunt stocate și accesate precum
și permiterea stocării și /sau accesului unor terți la informații.

GDPR în cadrul primăriei

(disponibil doar în varianta pentru colaboratori. Pentru mai multe informații puteți să vă adresați în scris
redactorului-șef al revistei la următoarea adresă de email: farcas.darius91@gmail.com)

ȘTIRI DIN LUME

Apple – despre datele personale4

Directorul Apple, una dintre cele mai importante companii din lume alături de Google, Facebook și
Microsoft, a dat asigurări că susține ferm adoptarea unei legi federale privind protejarea vieții private în
SUA, salutînd Regulamentul european intrat în vigoare în mai. Acesta a declarat că: "Dorinţa de a pune
profitul mai presus de dreptul la viaţa privată nu este nimic nou", dar "astăzi acest comerţ a explodat. (...)
Informaţiile care ne privesc, de la cele obişnuite la cele profund personale, sunt folosite împotriva noastră
ca o armă cu eficienţă militară".
Cook a mai precizat faptul că algoritmii folosiți de companii pentru a-și devansa rivalii pot
transforma preferințele nevinovate în convingeri de neclintit. Acesta mai precizează că: “Dacă vă place
culoarea verde, s-ar putea să ajungeţi să citiţi numeroase articole sau să urmăriţi numeroase clipuri video
despre pericolul perfid pe care îl reprezintă persoanele cărora le place portocaliul. Să nu cosmetizăm. Asta
înseamnă supraveghere, iar aceste stocuri de date personale nu fac decât să îmbogăţească societăţile care
le colectează".

4
http://www.economica.net/directorul-apple-datele-personale-ale-clientilor-sunt-folosite-ca-o-arma-cu-eficienta-
militara_160206.html

6|
 Directorul Apple mai adaugă că şi guvernele abuzează de datele şi încrederea utilizatorilor.
"Platformele şi algoritmii care promit să vă îmbunătăţească viaţa pot de fapt să accentueze cele mai
dăunătoare tendinţe ale oamenilor. Elemente aşa-zis delincvente sau chiar guverne profită de încrederea
utilizatorilor pentru a adânci diviziunile, a incita la violenţă şi chiar a submina percepţia comună asupra a
ceea ce este adevărat şi ce e fals".

Cum se fură datele personale de pe rețelele de socializare?

(disponibil doar în varianta pentru colaboratori. Pentru mai multe informații puteți să vă adresați în scris
redactorului-șef al revistei la următoarea adresă de email: farcas.darius91@gmail.com)

Date personale pe darkweb5

(disponibil doar în varianta pentru colaboratori. Pentru mai multe informații puteți să vă adresați în scris
redactorului-șef al revistei la următoarea adresă de email: farcas.darius91@gmail.com)

Facebook – prietenul cel mai bun al GDPR6

Biroul comisarului de informații (ICO) a amendat Facebook cu suma de 500 000 de lire sterline
pentru încălcări grave ale Regulamentului privind protecția datelor. În luna iulie, ICO a emis o notificare de
intenție în sensul amendării Facebook ca parte a unei investigații ample privind utilizarea datelor în scopuri
politice.
După ce a luat în considerare apărarea venită din partea companiei, ICO a emis amenda pentru
Facebook și a confirmat că suma - maximul admisibil conform legilor aplicate la momentul producerii
incidentelor - va rămâne neschimbată.
ICO a constatat că, între 2007 și 2014, Facebook a procesat în mod incorect informațiile personale
ale utilizatorilor, permițând dezvoltatorilor de aplicații accesul la informațiile lor fără un consimțământ
suficient de clar și informat și permițând accesul chiar dacă utilizatorii nu au descărcat aplicația, dar erau
prieteni cu persoane care au descărcat-o. De asemenea, Facebook nu a reușit să păstreze informațiile
personale în siguranță deoarece nu a reușit să facă verificări adecvate pentru aplicațiile și dezvoltatorii care
utilizează platforma. Aceste deficiențe au însemnat că un dezvoltator, dr. Aleksandr Kogan și compania sa,
GSR, au recoltat datele Facebook a până la 87 de milioane de oameni din întreaga lume, fără ca ei să
cunoască acest lucru. O parte din aceste date a fost ulterior distribuită altor organizații, inclusiv SCL Group,
societatea-mamă a Cambridge Analytica care a fost implicată în campania politică în SUA.
Chiar și după ce a fost descoperită utilizarea necorespunzătoare a datelor în decembrie 2015,
Facebook nu a întreprins demersurile necesare pentru a se asigura că cei care au continuat să le dețină fără
drept au luat măsuri de remediere adecvate, inclusiv eliminarea. În cazul grupului SCL, Facebook nu a
suspendat compania de pe platforma sa până în 2018. ICO a constatat că informațiile personale ale cel puțin
unui milion de utilizatori din Regatul Unit s-au numărat printre datele recoltate și, prin urmare, au fost

5
https://playtech.ro/2018/facebook-date-personale-dark-web/

6
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/facebook-issued-with-maximum-500-000-fine/

7|
expuse riscului de utilizare viitoare. Elizabeth Denham, comisarul pentru informații, a declarat: "Facebook
nu a reușit să protejeze în mod suficient confidențialitatea utilizatorilor săi înainte, în timpul și după
prelucrarea ilegală a acestor date. O companie de acest calibru ar fi trebuit să cunoască lucrurile mai bine
și ar fi trebuit să facă lucrurile mai bine. " Această amendă a fost acordată în temeiul Legii privind protecția
datelor din 1998 care a fost înlocuită în mai 2018 cu Legea privind protecția datelor din 2018 împreună cu
Regulamentul General privind protecția datelor cu caracter personal al Europei. Acestea oferă o gamă de noi
instrumente de punere în aplicare pentru ICO, inclusiv amenzi maxime de 17 milioane de lire sterline sau
4% din cifra de afaceri globală. Dna Denham a adăugat: "Am considerat că aceste contravenții sunt atât de
serioase încât am impus pedeapsa maximă conform legislației anterioare. În mod inevitabil, amenda ar fi
fost semnificativ mai mare sub GDPR. Una dintre principalele noastre motivații pentru a lua măsuri de
executare este de a conduce schimbări semnificative în modul în care organizațiile se ocupă de datele
personale ale oamenilor. Munca noastră continuă. Mai sunt încă întrebări mai mari și mai multe discuții
despre cum interacționează tehnologia și democrația și dacă cadrele juridice, etice și de reglementare pe
care le avem în vigoare sunt adecvate pentru a proteja principiile pe care se bazează societatea noastră ".
O nouă actualizare a investigației ICO privind analizele de date în scopuri politice va avea loc marți,
6 noiembrie, când doamna Denham va prezenta dovezi Departamentului pentru Digital, Cultură, Media și
Sport (DCMS). În luna iulie, ICO a publicat o actualizare intermediară a progresului privind investigația sa
și a publicat, de asemenea un parteneriat: Democrația întreruptă? Informațiile personale și influența
politică; privind aspectele mai generale ale politicii identificate în timpul anchetei, împreună cu constatările
și recomandările Comisarului pentru informații privind acțiunile viitoare.

NOUTĂȚI
Scurte considerații privind implementarea GDPR în domeniul medical

(disponibil doar în varianta pentru colaboratori. Pentru mai multe informații puteți să vă adresați în scris
redactorului-șef al revistei la următoarea adresă de email: farcas.darius91@gmail.com)

CAZUISTICĂ

EgillEinarsson v. Islanda (nr. 2) - 31221/15

(disponibil doar în varianta pentru colaboratori. Pentru mai multe informații puteți să vă adresați în scris
redactorului-șef al revistei la următoarea adresă de email: farcas.darius91@gmail.com)

8|