Sunteți pe pagina 1din 12

Cuprins

Domenii de aplicare ............................................................................................................................... 2


Concepte noi ........................................................................................................................................... 2
Principii privind protectia datelor.......................................................................................................... 3
Legalitatea prelucrarilor......................................................................................................................... 4
Consimtamantul ..................................................................................................................................... 4
Notificari ................................................................................................................................................. 5
Dreptul la acces, la rectificare si la portabilitatea datelor persoanelor vizate .................................... 6
Dreptul de a se opune ............................................................................................................................ 6
Dreptul „de a fi uitat” si dreptul de restrictie a prelucrarii ................................................................... 7
Incalcarea securitatii datelor si notificarea ........................................................................................... 7
Obligatii privind administrarea datelor ................................................................................................. 8
Remedieri si responsabilitati ................................................................................................................. 9
Amenzi .................................................................................................................................................. 10

Page | 1
Domenii de aplicare
Privire de ansamblu To do:

➢ Comparativ cu Directiva 95/46 / CE (Directiva privind ➢ Organizatiile care nu se afla pe teritoriul


protectia datelor) pe care il inlocuieste, noul Uniunii, dar proceseaza date personale
Regulament General de Protectie a Datelor (GDPR) ale persoanelor fizice aflate pe teritoriul
extinde domeniul de aplicare al legislatiei UE privind Uniunii ar trebui sa respecte prezentul
protectia datelor. Regulament.
➢ In ciuda faptului ca este un regulament, GDPR ➢ Organizatiile care activeaza in domenii in
permite statelor membre sa legifereze in multe care regulile “speciale”/ sectoriale sunt
domenii. comune, trebuie sa evalueze daca
➢ GDPR nu se aplica pentru anumite activitati, necesita legi specifice statelor membre
incluzand prelucrarile prevazute de legislatia
sigurantei nationale sau prelucrari realizate de
persoane fizice pentru activitati personale/
domestice
➢ Regulamentul General de Protectia Datelor a intrat
in vigoare pe data de 25 mai 2016 si va fi de directa
aplicabilitate incepand cu data de 25 mai 2018.

Concepte noi
Privire de ansamblu

➢ Noul Regulament aduce schimbari majore, inclusiv prin intermediul urmatoarelor concepte noi:
• Transparenta si consimtamant – de exemplu informatiile furnizate si solicitatarea permisiunii de
la persoanele vizate pentru a justifica utilizarea datelor personale. Cerintele GDPR se refera la
faptul ca declaratia de consimtamant nu trebuie sa fie ambigua, ceea ce inseamna ca multe astfel
de declaratii vor trebui modificate.
• Copiii si consimtamantul – pentru serviciile online care solicita consimtamant pentru prelucrarea
datelor personale, in cazul datelor personale ale copiilor se verifica consimtamantul parintelui. Statele
membre sunt libere sa adopte propriile lor reguli pentru copiii cu varste intre 13-15 ani, iar daca nu
adopta astfel de reguli, atunci consimtamantul parintilor este solicitat pentru prelucrarea datelor
copiilor cu varste sub 16 ani.
• Alte date personale reglementate (inclusiv date genetice si biometrice)
• Pseudonimizarea – O noua definitie care se refera la tehnica de prelucrare a datelor personale intr-o
maniera in care acestea sa nu mai poata fi atribuite unei anumite persoane vizate fara utilizarea altor
informatii suplimentare, care trebuie stocate separat.
• Incalcarea securitatii datelor - se introduce un nou articol privind comunicarea incalcarii securitatii
datelor pentru toti operatorii de date, indiferent de domeniul lor de activitate
• Protectia datelor din momentul conceperii si responsabilitatea - organizatiile sunt obligate sa
adopte noi masuri tehnice si organizationale semnificative pentru a demonstra conformitatea cu
GDPR.
• Mai multe drepturi – persoanele vizate beneficiaza de mai multe drepturi, inclusiv dreptul de a fi
uitat, dreptul de portabilitate a datelor si dreptul de a se opune.
• Autoritatile de supraveghere - reglementarea supravegherii protectiei datelor se va schimba in mod
semnificativ, inclusiv prin introducerea unei noi autoritati de supraveghere

Page | 2
Principii privind protectia datelor

Privire de ansamblu To do:

➢ Principiile de protectie a datelor sunt revizuite, dar ➢ Revizuiti politicile de protectie a datelor, a
sunt, in general, similare cu principiile stabilite in codurilor de conduita si a instruirii ca sa
Directiva 95/46 / CE ("Directiva privind protectia asigurati conformitatea cu noul GDPR
datelor"): corectitudinea, legalitatea si transparenta;
limitarea scopului; minimizarea datelor; calitatea ➢ Identificati mijloacele prin care puteti
datelor; securitate, integritate si confidentialitate. "demonstra conformitatea" - de ex. respectarea
codurilor de conduita aprobate, deciziilor
adoptate privind prelucrarea datelor si, dupa
caz, evaluari ale impactului asupra
confidentialitatii datelor

➢ Principiul 1: Legalitate, echitate si transparenta ➢ Solicitati persoanei vizate sa citeasca notificarea


privind prelucrarea datelor personale.
Notificarea va furniza informatii relevante
privind colectarea si prelucrarea datelor ei
personale
➢ Principiul 2: Limitari legate de scop ➢ Solicitati persoanei vizate ca Notificarea privind
prelucrarea datelor sa fie citita inainte de
colectare si prelucrare, specificand, de
asemenea, scopul pentru fiecare tip de date
personale colectat.
➢ Principiul 3: Reducerea la minimum a datelor- ➢ Pentru a asigura exactitatea si actualizarea
adecvate, limitate si relevante datelor personale, fiecarei persoane vizate i se
cere sa revizuiasca si sa confirme exactitatea
datelor, periodic.
➢ Principiul 5: Limitari legate de stocare ➢ Formulati si respectati politici exacte, specifice
de stocare a datelor
➢ Principiul 6: Integritate si confidentialitate – ➢ Luati masuri tehnice si organizationale pentru a
securitatea datelor securiza datele personale ale persoanelor
vizate impotriva prelucrarii lor neautorizate
sau ilegale, pierderi accidentale sau distrugeri
(ex. certificari ISO 27001)
Operatorul este responsabil de respectarea celor 6 Principii şi poate demonstra această
respectare ("responsabilitate")

Page | 3
Legalitatea prelucrarilor

Privire de ansamblu To do:

➢ Motivele de prelucrare a datelor cu caracter personal ➢ Asigurati-va ca va sunt clare motivele pentru
in temeiul GDPR sunt in mare masura pe cele care organizatia dvs prelucreza legal date si ca
prevazute de Directiva privind protectia datelor. aceste motive sunt conforme cu GDPR.
➢ Apar limitari privind utilizarea consimtamantului si
prelucrarea datelor in cazul serviciilor online pentru ➢ Atunci cand e vorba de consimtamant,
copii. asigurati-va ca acesta indeplineste noile cerinte
➢ Exista restrictii specifice privind capacitatea de a se (a se vedea sectiunea privind consimtamantul
baza pe "legalitatea prelucrarii" ca baza de prelucrare pentru detalii suplimentare)
si unele clarificari cu privire la momentul cand acestea
pot fi utilizate. ➢ Evaluati daca noile norme privind datele on-line
➢ Exista o lista de factori care trebuie luati in pentru copii afecteaza in vreun fel prelucrarea
considerare atunci cand se stabileste daca acestora, si, in caz afirmativ, ce norme interne
prelucrarea datelor pentru un nou scop este va trebui sa urmati (a se vedea sectiunea
incompatibila cu scopurile pentru care datele au fost privind copii pentru mai multe detalii).
initial colectate. ➢ Asigurati-va ca procedurile interne va permit sa
demonstrati modul in care au fost luate
deciziile de utilizare a datelor in scopul
prelucrarii ulterioare si ca au fost luati in
considerare factorii relevanti.

Consimtamantul

Privire de ansamblu To do:

➢ Consimtamantul este supus unor conditii ➢ Asigurati-va ca sunt clare motivele privind
suplimentare in cadrul GDPR. legalitatea prelucrarii si ca aceste motive vor
• Consimtamantul trebuie separat de alte fi in continuare conforme cu GDPR (a se vedea
acorduri scrise, prezentat in mod clar si usor sectiunea privind legalitatea prelucrarii).
de revocat. ➢ Luati in considerare daca este cazul, cum va
• Se vor aplica reguli specifice copiilor in ceea ce poate impacta procesele de business
priveste serviciile societatii informationale. prelucrarea datelor copiilor si, daca da, care
sunt regulile nationale pe care trebuie sa le
urmati atunci cand obtineti consimtamantul (a
se vedea sectiunea privind copiii pentru mai
multe detalii).
➢ In cazul in care organizatia dvs. se bazeaza pe
consimtamantul de a prelucra date cu caracter
personal in scopul cercetarii stiintifice, luati in
considerare posibilitatea ca persoanele vizate
sa ofere posibilitatea de a consimti numai

Page | 4
anumite domenii de cercetare sau parti ale
proiectelor de cercetare.
➢ Atunci cand va bazati pe consimtamant ca baza
de prelucrare legala, asigurati-va ca:
• consimtamantul este unul activ si nu
este dat prin absenta unui raspuns,
casute bifate in prealabil sau absenta unei
actiuni;
• consimtamantul pentru prelucrare este
distinct, clar si nu este dat cu alte acorduri
sau declaratii scrise;
• prestarea unui serviciu nu este
conditionata de consimtamantul cu
privire la prelucrarea datelor cu caracter
personal care nu este necesar pentru
executarea acestui contract.
• Persoana vizata este informata ca are
dreptul sa isi retraga in orice moment
consimtamantul. Retragerea
consimtamantului nu afecteaza legalitatea
prelucrarii efectuate pe baza
consimtamantului inainte de retragerea
acestuia
• Retragerea consimtamantului se face la
fel de simplu ca acordarea acestuia.
• Se va obtine cate un consimtamant
separat pentru fiecare operatiune de
prelucrare; si
• consimtamantul nu este invocat in cazul
in care exista un dezechilibru clar intre
persoana vizata si operator (in special
daca operatorul este o autoritate
publica).

Notificari

Privire de ansamblu To do:

➢ Operatorii trebuie sa furnizeze notificari pentru a ➢ Verificati notificarile de informare existente,


asigura transparenta prelucrarii. revizuiti-le si actualizati-le.
• Trebuie furnizate notificari specifice si exista, ➢ Pentru datele colectate indirect, asigurati-va ca
de asemenea, o obligatie generala privind notificarea se face la momentul potrivit.
transparenta. ➢ Colaborati cu partenerii relevanti care pot
• Se pune accent pe notificari clare si concise colecta date in numele organizatiei dvs. pentru
a le atribui responsabilitatea pentru revizuirea,
actualizarea si aprobarea notificarilor.

Page | 5
Dreptul la acces, la rectificare si la portabilitatea datelor persoanelor vizate

Privire de ansamblu To do:

➢ Operatorii de date trebuie, la cerere: ➢ Verificati daca exista suficiente proceduri si


• sa confirme daca prelucreaza date personale ale daca echipa care se ocupa cu prelucrarea
unei persoane; datelor este suficient instruita – sunt
• sa furnizeze o copie a datelor (in mod obisnuit in procedurile suficiente pentru respectarea
forma electronica); si regulilor privind accesibilitatea si portabilitatea,
• sa furnizeze materiale explicative conform GDPR?
➢ Persoanele vizate pot, de asemenea, solicita ca datele ➢ Elaborati template-uri de scrisori de raspuns,
lor personale sa fie portate catre un nou furnizor in asigurati-va ca sunt furnizate informatiile
cazul in care datele in cauza au fost: 1) furnizate de necesare
persoana vizata operatorului 2) sunt prelucrate ➢ Evaluati capacitatea organizatiei de a furniza
automat; si 3) pe baza consimtamantului sau a date conform noilor reglementari GDPR
indeplinirii unui contract ➢ Daca se aplica transferabilitatea, luati in
➢ Cererea trebuie sa fie indeplinita in termen de o luna considerare care dintre inregistrari aplica acest
(cu prelungire pentru unele cazuri) si orice intentie de drept. Verificati daca aceste date pot fi usor
nerespectare a termenului trebuie explicat persoanei transferate structurat in format electronic.
vizate. ➢ Luati in considerare dezvoltarea unor portaluri
➢ Dreptul la acces este destinat sa permita persoanelor care sa permita persoanelor vizate accesul la
vizate sa verifice legalitatea prelucrarii, iar dreptul de date pentru a permite exercitarea directa a
a solicita o copie nu ar trebui sa afecteze nefavorabil drepturilor de acces.
alte drepturi

Dreptul de a se opune

Privire de ansamblu To do:

➢ Exista dreptul de a se opune al persoanelor vizate ➢ Asigurati-va ca persoanele vizate sunt


anumitor tipuri de prelucrari de date: informate cu privire la dreptul lor de a se
• in cazul marketingului direct opune, in mod clar, in momentul "primei
• prelucrarile legate de o sarcina de interes public comunicari”
al unei autoritati publice
• prelucrari legate de cercetare sau scopuri ➢ Pentru serviciile on line, asigurati-va ca aveti o
statistice modalitate automata pentru ca dreptul de a se
➢ Numai dreptul de a se opune marketingului direct opune sa poata fi exercitat de catre persoana
este absolut (adica nu este necesara demonstrarea vizata
motivelor pentru obiectii)
➢ Exista obligatii de notificare a acestor drepturi intr-un ➢ Revizuiti listele si procesele de eliminare din
stadiu incipient - clar si separat de alte informatii procesele de marketing, (inclusiv cele operate
➢ Serviciile online trebuie sa ofere o metoda de catre partenerii si furnizorii de servicii in
automata persoanelor vizate de a se opune. numele organizatiei dvs.) pentru a va asigura ca
pot sa opereze in conformitate cu GDPR.

Page | 6
Dreptul „de a fi uitat” si dreptul de restrictie a prelucrarii

Privire de ansamblu To do:

➢ Persoanele fizice pot cere ca datele lor sa fie "sterse" ➢ Asigurati-va ca personalul responsabil si
atunci cand exista o problema legata de legalitatea furnizorii care primesc cereri de stergere a
prelucrarii sau de retragerea consimtamantului. datelor stiu cum sa procedeze.
➢ Persoana vizata are dreptul de a obtine din partea
operatorului restrictionarea prelucrarii in cazul in care ➢ Verificati daca sistemele sunt in masura sa
aceasta contesta exactitatea datelor, pentru o indeplineasca cerinte de marcare a datelor ca
perioada care ii permite operatorului sa verifice restrictionate timp in care reclamatiile sunt
exactitatea datelor solutionate.
➢ In cazul in care operatorul a facut publice datele cu
caracter personal si este obligat sa le stearga,
operatorul ia masuri rezonabile pentru a informa
operatorii care prelucreaza datele cu caracter
personal ca persoana vizata a solicitat stergerea de
catre acesti operatori.

Incalcarea securitatii datelor si notificarea

Privire de ansamblu To do:

➢ Operatorul de date si persoana imputernicita de catre ➢ In conformitate cu principiul responsabilitatii


acesta sunt acum supuse unui regim special privind stabilit de GDPR, operatorul de date si persoana
notificarea autoritatii de supraveghere in cazul imputernicita de catre acesta ar trebui sa
incalcarii securitatii datelor. formuleze sau sa isi actualizeze procedurile
➢ Persoanele imputernicite de operator sunt obligate sa interne de notificare privind incalcarea
anunte operatorul de date despre incalcarea securitatii datelor, inclusiv sistemele de
securitatii datelor identificarea a incidentelor si planurile de
➢ Operatorii de date trebuie sa anunte autoritatile de raspuns la acestea
supraveghere de incalcarea securitatii datelor si chiar
si persoanele vizate afectate, in fiecare dintre cazuri ➢ Aceste proceduri ar trebui sa fie periodic testate
respectand normele GDPR si revizuite.
➢ Operatorii de date trebuie sa pastreze o evidenta
interna a incalcarii securitatii datelor ➢ Lucrati cu echipe IT pentru a va asigura ca
➢ Neconformitatea poate duce la amenzi pana la 1 puneti in aplicare masuri tehnice si
milion de euro sau pana la 2% din cifra de afaceri a organizatorice corespunzatoare, iar datele sunt
anului precedent (care dintre acestea este mai mare) incomprehensibile in caz de acces neautorizat.

➢ Revizuiti politele de asigurare evaluand gradul


de acoperire a acestora in caz de incalcari.

Page | 7
Obligatii privind administrarea datelor

Privire de ansamblu To do:

➢ GDPR solicita tuturor organizatiilor sa puna in aplicare ➢ Alocati in cadrul organizatiei dumneavoastra un
o gama larga de masuri pentru a reduce riscul de a buget si un responsabil pentru conformitatea
incalca GDPR si pentru a dovedi ca iau in serios privind prelucrarea datelor. Indiferent daca
activitatile de administrare a datelor. numiti sau nu un DPO, lista lunga de masuri
• Acestea includ masuri de responsabilitate privind administrarea datelor personale
precum: evaluari ale impactului asupra trebuie adoptate in cunostinta de cauza.
confidentialitatii, audituri, inregistrari, numirea
unui responsabil de protectie a datelor ("DPO"). ➢ Trebuie sa fie clar daca cei carora le-ati
• Pentru organizatiile care nu au desemnat un desemnat responsabilitatea sunt sau nu
responsabil privind protectia datelor se vor Responsabili cu Protectia Datelor (in scopuri
impune responsabilitati majore. GDPR), avand in vedere regulile privind
conflictul de interese si statutul de angajat
protejat care se vor aplica acestor responsabili
conform GDPR

➢ Luati in considerare directia de raportare


(autoritatile de supraveghere se asteapta sa li
se raporteze direct), dar si fisele de post pentru
persoanele desemnate cu responsabilitati
privind prelucrarea datelor

➢ Asigurati-va ca a fost proiectat un program


complet de conformitate in cadrul organizatiei
dvs, care include si elemente de tipul: Evaluarea
impactului asupra protectiei datelor, audituri
periodice; politici HR revizuite si actualizate,
instruiri si constientizari.

➢ Implementati masuri pentru a pregati


inregistrarile activitatilor de prelucrare in cadrul
organizatiei dvs. Daca sunteti un furnizor,
dezvoltati-va strategia dvs. pentru a va ocupa
de cererile clientilor de asistenta in dezvoltarea
acestor inregistrari.

Page | 8
Remedieri si responsabilitati

Privire de ansamblu To do:

➢ Persoanele fizice au urmatoarele drepturi (impotriva ➢ Operatorii de date cat si persoanele


operatorilor si personelor imputernicite de catre imputernicite de catre acestia trebuie sa se
operatori): asigure ca acordurile de prelucrare a datelor si
• dreptul de a depune o plangere la autoritatile de contractele specifica clar scopul si trebuie sa fie
supraveghere in cazul in care datele lor au fost de acord cu mecanismele de rezolvare a
procesate intr-un mod care nu se conformeaza litigiilor privind solutionarea si remedierea
GDPR; plangerilor.
• dreptul la o cale de atac efectiva in cazul in care o
autoritate de supraveghere competenta nu se ➢ Operatorii de date, cat si persoanele
ocupa in mod corespunzator de o plangere; imputernicite de catre acestia trebuie sa
• dreptul la o cale de atac efectiva impotriva unui raporteze altor operatori de date sau persoane
operator sau unei persoane imputernicite de imputernicite de catre acestia care sunt
catre operator; si implicate in aceeasi prelucrare, orice incalcare
• dreptul la despagubiri de la un operator sau de la relevanta a conformitatii cu GDPR si orice
o persoana imputernicita in cauza pentru daune reclamatie relevanta primita de la persoane
materiale sau morale care rezulta din incalcarea vizate.
GDPR.
➢ Atat persoanele fizice, cat si cele juridice au dreptul de ➢ Operatorii asociati implicati in aceleasi
a sesiza instantele nationale impotriva unei decizii operatiuni de prelucrare ar trebui sa convina
obligatorii din punct de vedere juridic luata de asupra obligatiilor ce le revin in materie de
autoritatea de supraveghere. respectare a regulamentului privind protectiei
➢ Persoanele fizice pot formula cereri de daune morale, datelor, a obligatiilor lor in materie de incalcari
nu doar materiale. Sunt facilitate actiuni de grup. ale securitatii datelor si a mecanismelor de
➢ Caile de atac judiciare si raspunderea pentru solutionare a litigiilor privind obligatiile
despagubiri se extind atat la operatorii de date, cat si respective pentru solutionarea cererilor de
la persoanele imputernicite de catre acestia care despagubire.
incalca regulamentul.

Page | 9
Amenzi

Privire de ansamblu To do:

➢ Autoritatile de supraveghere sunt imputernicite sa ➢ Realizati “gap analysis” in ceea ce priveste GDPR
impuna amenzi administrative importante atat pentru a identifica zonele cu cele mai multe
operatorilor de date cat si persoanelor neconformitati si prioritizati atenuarea acestora,
imputernicite de catre acestia. in special in ceea ce priveste riscul ridicat in
activitati de prelucrare a datelor cu caracter
➢ Amenzile pot fi impuse in loc de sau in plus fata de personal.
masurile care pot fi ordonate de autoritatile de
supraveghere. Acestea pot fi impuse pentru o gama ➢ Actualizati riscurile
larga de contraventii, inclusiv incalcari de ordin
procedural. ➢ Evaluati riscurile care pot aparea in contractele
➢ Amenzile administrative trebuie impuse de la caz la cu clientii, furnizorii.
caz si trebuie sa fie "eficace, proportionale si cu efect
de descurajare " ➢ Revizuiti politele de asigurare, evaluand gradul
➢ Exista doua niveluri de amenzi administrative: de acoperire a acestora in caz de incalcari.
o Unele contraventii vor fi supuse unor
amenzi administrative de pana la 10 ➢ Instruiti personalul care prelucreaza date
milioane de euro sau, in cazul personale cu privire la principiile din Regulament,
intreprinderilor, 2% din valoarea globala drepturile persoanelor si responsabilitatile
cifra de afaceri, oricare dintre acestea este asumate.
mai mare.
o Alte contraventii vor fi supuse unor amenzi
administrative de pana la 20 milioane EUR
sau, in cazul intreprinderilor 4% din cifra de
afaceri globala, oricare dintre acestea este
mai mare.

Page | 10