Sunteți pe pagina 1din 35

5/21/2018 Conferința Națională

de Protecția Datelor

în colaborare cu
Conferința Națională de Protecția Datelor May 21, 2018

Conferința Națională de Protecția Datelor cu Caracter Personal

Loc: București
Adresa: Camera de Comerț - București, Am. Al. I. Cuza
Data: 21 mai 2018

Programul conferinței:
13:30 - 14:00 - Înregistrarea participantilor
14:00 - 15:30 - Sesiunea I
15:30 - 15:45 - Coffee break
15:45 - 18:30 - Sesiunea a II a

Lectori: Andrei Săvescu și Laurențiu Petre


Tematica:
- Regulamentul General privind Protectia Datelor
- Operatorii de date cu caracter personal
- Responsabilul cu protecția datelor personale
- Sesiune de întrebări și răspunsuri

Pentru mai multe detalii, apelați Serviciul Clienți, telefon: 021.209.45.12.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 1
Conferința Națională de Protecția Datelor May 21, 2018

I. Regulamentul General privind Protecția Datelor

1. Despre ce discutăm? Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului


din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecția datelor - GDPR) se va aplica începând cu data de 25 mai
2018.

Regulamentul este un act legislativ cu caracter obligatoriu. Trebuie aplicat în integralitatea sa, în
toate statele membre.

În România, avem următoarele proiecte de lege: ➢ Proiectul de lege pentru modificarea şi


completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii
Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea
Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter
personal şi libera circulaţie a acestor date. - adoptat de Camera Deputaţilor – prioritate legislativă
a Guvernului - procedură de urgență - înscris pe ordinea de zi a Senatului din data de 22.05.2018
pentru vot final, cameră decizională ➢ Propunere legislativă privind măsuri de punere în aplicare
a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016
privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi
privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general
privind protecţia datelor) - în lucru, la comisiile permanente ale Senatului Indiferent de soluția
propunerilor de lege, GDPR se va aplica.

2. Despre ale cui date personale vorbim? Carta Drepturilor Fundamentale a Uniunii Europene
se referă doar la drepturile persoanelor fizice. La fel și art. 8 din Carta, care prevede: Protecția
datelor cu caracter personal (1) Orice persoană are dreptul la protecția datelor cu caracter personal

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 2
Conferința Națională de Protecția Datelor May 21, 2018

care o privesc. (2) Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza
consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice
persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține
rectificarea acestora. (3) Respectarea acestor norme se supune controlului unei autorități
independente. Deși textul nu precizează, este vorba despre persoane fizice. În schimb,
Regulamentul (UE) 2016/679 se referă explicit la protecția datelor cu caracter personal ale
persoanelor fizice, excluzând explicit de la protecția sa datele cu caracter personal ale persoanelor
juridice (pct. 14 din expunerea de motive a Regulamentului), precum și o seamă de situații de
prelucrare a datelor cu caracter personal ale persoanelor fizice, numeroase și importante.

3. Dreptul la protecția datelor personale este un drept? Deși textul se referă la dreptul la
protecția datelor cu caracter personal, el figurează în Cartă sub titlul LIBERTĂȚI. Regulamentul
se referă dreptul la protecția datelor cu caracter personal ca fiind un drept fundamental, însă,
precizează Regulamentul, el trebuie luat în considerare în raport cu funcția pe care o îndeplinește
în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul
proporționalității (pct. 4 din expunerea de motive a Regulamentului).

Potrivit acestui principiu, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare și
numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității
protejării drepturilor și libertăților (art. 52 alin. 1 din Cartă). În orice caz, dreptul la protecția datelor
cu caracter personal nu este un drept absolut, nici în concepția Regulamentului (pct. 4 din
expunerea de motive), nici în sensul utilizat în dreptul românesc, de drept căruia îi corespunde
obligația generală de a nu stânjeni titularul dreptului.

4. Dreptul la protecția datelor cu caracter personal este ceva foarte special? Dreptul la
protecția datelor cu caracter personal avute în vedere de Regulament este special, întrucât necesită
o conduită activă din partea altcuiva. Dar nu este singurul în această situație ingrată. Realizarea
conținutului acestui drept necesită un efort din partea altcuiva. Eforturile costă.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 3
Conferința Națională de Protecția Datelor May 21, 2018

5. Cine suportă costurile protecției datelor personale? Regulamentul pune aceste costuri în
sarcina celuilalt, nu în sarcina titularului dreptului (art. 12 alin. 4 din Regulament).

6. Pentru cine este important Regulamentul? Pentru toate organizațiile, indiferent de forma de
proprietate, care prelucrează date cu caracter personal.

7. Ce înseamnă prelucrarea datelor cu caracter personal? Din păcate, „prelucrarea” are o


definiție chiar în cuprinsul Regulamentului (art. 2 pct. 2 RGPD). În înțelesul Regulamentului,
prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter
personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace
automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau
modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau
punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau
distrugerea. Adică orice atingere, cât de mică.

8. Regulamentul se aplică oricăror prelucrări de date cu caracter personal? Nu chiar, dar


aproape tuturor… Art. 2 nu lasă mult loc pentru a evita aplicarea Regulamentului.
Iată: “(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total
sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele
automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau
care sunt destinate să facă parte dintr-un sistem de evidență a datelor. (2) Prezentul regulament
nu se aplică prelucrării datelor cu caracter personal:
(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
(b) de către statele membre atunci când desfășoară activități care intră sub incidența
capitolului 2 al titlului V din Tratatul UE; (politica de securitate și apărare comună);
(c) de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
(d) de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi
penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva
amenințărilor la adresa siguranței publice și al prevenirii acestora.”

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 4
Conferința Națională de Protecția Datelor May 21, 2018

9. De ce este important Regulamentul? Din pricina (i) felului în care reglementează tragerea la
răspundere și din pricina (ii) sancțiunilor foarte aspre.

10. Cine poate să tragă la răspundere operatorii de date personale? Oricine, orice persoană
fizică. Orice persoană vizată are dreptul de a depune o plângere la autoritatea națională de
supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul
său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea
datelor cu caracter personal care o vizează încalcă regulamentul (art. 77 RGPD).

11. Există sancțiuni penale? Din fericire, Regulamentul nu instituie sancțiuni penale, și nici nu
ar putea, întrucât reglementările europene nu instituie sancțiuni penale. Însă nerespectarea
dispozițiilor Regulamentului poate atrage răspunderea penală, de exemplu în cadrul infracțiunii de
abuz în serviciu.

12. Dar sancțiuni civile? Regulamentul nu prevede sancțiuni civile, însă reglementează într-un
mod foarte împovărător modul în care intervine răspunderea civilă în cazul încălcării prevederilor
lui. Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a
RGPD are dreptul să obțină despăgubiri de la operator (art. 82 alin. 1 RGPD) și, corelativ, orice
operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de
operațiunile sale de prelucrare care încalcă RGPO (art. 82 alin. 2 RGPD).

13. Dar sancțiuni administrative (amenzi)? Da, foarte periculoase. Acesta este dealtfel motivul
pentru care Regulamentul a devenit celebru și constituie o preocupare importantă în toate țările
Uniunii Europene. În concepția RGPD, sancțiunile civile9. De ce este important Regulamentul?
Din pricina (i) felului în care reglementează tragerea la răspundere și din pricina (ii) sancțiunilor
foarte aspre.

14. Cine poate să tragă la răspundere operatorii de date personale? Oricine, orice persoană
fizică. Orice persoană vizată are dreptul de a depune o plângere la autoritatea națională de
supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 5
Conferința Națională de Protecția Datelor May 21, 2018

său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea
datelor cu caracter personal care o vizează încalcă regulamentul (art. 77 RGPD).

15. Când este legală prelucrare? Prelucrarea este legală numai dacă și în măsura în care se aplică
cel puțin una dintre următoarele condiții (art. 6 alin. (1) GDPR):
a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este
parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului;
d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice;
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes
public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o
parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile
fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special
atunci când persoana vizată este un copil.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 6
Conferința Națională de Protecția Datelor May 21, 2018

II. Operatorii care prelucrează date cu caracter personal

16. Cine sunt operatorii? Cui i se aplică Regulamentul? Operator înseamnă persoana fizică sau
juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește
scopurile și mijloacele de prelucrare a datelor cu caracter personal (art. 4 pct. (7) GDPR). Cu alte
cuvinte, operator este cel pentru care se realizează prelucrarea datelor, chiar dacă operatorul nu
realizează el însuși nicio prelucrare.

17. Cine este operator de date personale? Orice prelucrare a datelor cu caracter personal în
cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din
Uniune ar trebui efectuată în conformitate cu Regulamentul, indiferent dacă procesul de prelucrare
în sine are loc sau nu în cadrul Uniunii.

Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de
către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune face
obiectul regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de
persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii (pct. 24
EM), ceea e este cazul în speță.

18. Cine este operator asociat de date personale? Dacă operatorul colaborează cu privire la
atragerea de clientelei cu alte entități, adică acestea și operatorul stabilesc în comun scopurile și
mijloacele de prelucrare, atunci sunt operatori asociați (art. 26 alin. (1) RGPD).

Trebuie stabilite într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea
obligațiilor care le revin în temeiul RGPD, în special în ceea ce privește exercitarea drepturilor
persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și
14, prin intermediul unui Acord.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 7
Conferința Națională de Protecția Datelor May 21, 2018

Esența acestui acord este făcută cunoscută persoanei vizate (art. 26 alin. (2) RGPD). În orice caz,
indiferent de clauzele acordului, persoana vizată își poate exercita drepturile chiar și direct, în
temeiul RGPD, cu privire la și în raport cu fiecare dintre operatori (art. 26 alin. (3) RGPD).

19. Cine trebuie să țină evidența prelucrărilor de date cu caracter personal? Fiecare operator
trebuie să păstreze evidența activităților de prelucrare desfășurate sub responsabilitatea lui și în
numele lui, evidențe care trebuie să cuprindă informațiile prevăzute de art. 30 alin. (1) lit. (a)-(g)
și, respectiv, alin. (2) lit. (a)-(d) RGPD. Această evidență este necesară întrucât autoritatea de
supraveghere poate să ceară oricând acces la ea (art. 30 alin. 4 RGDP).

20. Totuși, chiar și organizațiile mici trebuie să țină evidența prelucrărilor de date cu
caracter personal? Obligațiile privind ținerea evidenței prelucrărilor de date cu caracter personal
nu se aplică organizațiilor cu mai puțin de 250 de angajați, cf. art. 30 alin. (5) RGPD.
Atenție, această prevedere este reglementată cu titlu de regulă. Excepțiile de la regulă sunt
reglementate foarte larg, atât de largă încât în realitate nici organizațiile mici nu se pot sustrage de
la îndeplinirea acestei obligații. Iată excepțiile, adică situațiile în care evidența este obligatorie și
pentru organizațiile mici:
- prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor
vizate
- prelucrarea nu este ocazională
- prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul
(1), sau date cu caracter personal referitoare la condamnări penale și infracțiuni, astfel cum se
menționează la articolul 10. Excepția marcată cu roșu evidențiază ca dacă prelucrarea datelor
personale este non-ocazională, atunci obligația de ținere a evidenței există.

21. Ce date personale putem să colectăm? Orice date personale, însă doar în măsura în care sunt
necesare pentru realizarea activității. Este foarte importantă lista (enumerarea) datelor cu caracter
personal care sunt colectate. „Date cu caracter personal” înseamnă orice informații privind o

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 8
Conferința Națională de Protecția Datelor May 21, 2018

persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă
este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element
de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator
online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice,
genetice, psihice, economice, culturale sau sociale. (art. 4 pct. 1 RGPD)

22. Ce înseamnă securitatea prelucrării? GDPR cere operatorilor să implementeze măsuri


tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător (art.
32 RGPD), referitoare la:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența
continue ale sistemelor și serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea
în timp util în cazul în care are loc un incident de natură fizică sau tehnică; d) un proces
pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și
organizatorice pentru a garanta securitatea prelucrării. Această enumerare nu este
limitativă. IMPORTANT! Trebuie realizată și implementată o procedură tehnică de
securizare a circuitului colectării, păstrării, prelucrării și ștergerii datelor cu caracter
personal, inclusiv criptare, reglementare și implementare drepturi de acces, circuitul
datelor, organizarea accesului, precum și audit de organizare și tehnic, pentru evaluarea
riscurilor de securitate.

23. Cât timp putem să stocăm datele personale? Stabilirea perioadei pentru care vor fi stocate
datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili
această perioadă. În speță, sugerez stabilirea unui interval de timp de la ultima utilizare a unui
produs, de exemplu ultima cumpărare realizată online sau ultima accesare a unui cont de acces
privilegiat. Această informație trebuie să fie comunicată persoanelor vizate.

Operatorul trebuie să stabilească prin decizie internă termenele de stocare și procedura de


colectare, revizuire și ștergere a datelor personale. Colectarea, revizuirea și ștergerea se pot realiza

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 9
Conferința Națională de Protecția Datelor May 21, 2018

automat, însă procedura stabilită prin decizie internă trebuie să prevadă și modalitățile și termenele
de verificare.

24. Este nevoie de proceduri speciale pentru DATA PROTECTION? Întreaga activitate a
operatorului ar trebui să fie atent procedurată, cu integrare atentă în procedurile de lucru deja
existente a regulilor în materia protecției datelor cu caracter personal.

25. Pe scurt, ce-i de făcut? Pe fond, operatorii au de făcut 3 lucruri importante:


1. să-și adapteze procedurile de lucru, pentru ca accesul la date să fie cât mai limitat și cât mai
securizat
2. să securizeze informatic datele personale
3. să încheie acorduri cu operatorii asociați Procedural, operatorii trebuie:
a. să își aleagă un responsabil pentru protecția datelor personale
b. să țină evidența prelucrărilor de date personale

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 10
Conferința Națională de Protecția Datelor May 21, 2018

III. Responsabilul cu protecția datelor personale

26. Cine poate să apeleze la un “responsabil cu protecția datelor”? Cine trebuie să apeleze la
un “responsabil cu protecția datelor”? Oricine poate să apeleze la un responsabil cu protecția
datelor personale. Operatorii trebuie să desemneze un responsabil cu protecția datelor atunci când
printre altele, activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor,
necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă (art. 37 alin. 1
lit. b) RGPD). Pe larg, cf. art. 37 alin. (1), operatorul desemnează un responsabil cu protecția
datelor ori de câte ori:
a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor
care acționează în exercițiul funcției lor jurisdicționale;
b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor,
necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în prelucrarea pe scară largă a unor categorii speciale de date, sau a unor date cu caracter
personal privind condamnări penale și infracțiuni.

27. Cine este responsabilul cu protecția datelor personale? Responsabilul cu protecția datelor
trebuie să fie desemnat (art. 37 alin. 5 RGPD) pe baza calităților profesionale și, în special, a
cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe
baza capacității de a îndeplini următoatele sarcini:
i) informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum
și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul RGPD
și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 11
Conferința Națională de Protecția Datelor May 21, 2018

ii) monitorizarea respectării prezentului regulament, a altor dispoziții de drept al Uniunii


sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei
împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv
alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în
operațiunile de prelucrare, precum și auditurile aferente;
iii) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra
protecției datelor și monitorizarea funcționării protecției datelor;
iv) cooperarea cu autoritatea națională de supraveghere;
v) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind
aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum și, dacă este cazul,
consultarea cu privire la orice altă chestiune (art. 39 alin. 1 RGPD). Responsabilul cu protecția
datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator
sau poate să își îndeplinească sarcinile în baza unui contract de servicii (art. 37 alin. 6). Observație
semantică foarte importantă: Responsabilul cu protecția datelor personale nu este persoana
care preia responsabilitatea protecției datelor, aceasta rămâne în sarcina operatorului.
Responsabilul este denumit așa în virtutea atribuțiilor sale.

28. Dacă datele cu caracter personal sunt securizate atât la nivel informatic, de
departamentul IT, cât și pe suport scris, ce calificare ar trebui să aibă persoana responsabilă
cu protecția datelor cu caracter personal? Regulamentul nu cere o calificare specială pentru
DPO, iar coduri oficiale de bune practici încă nu există. Responsabilul cu protecția datelor
personale ar trebui să fie o persoană cu studii juridice, care să fie bine conectat la noutățile în
domeniu, căci vor fi multe în următorii ani. Deopotrivă, DPO ar trebui să fie o persoană foarte
organizată, care cunoaște foarte bine procedurile companiei, și care are și abilități tehnice, care
înțelege ușor procesele. În plus, și foarte important, DPO trebuie să aibă foarte bune abilități de
comunicare, atât cu persoanele vizate cât și, mai ales, cu Autoritatea (ANSPDCP).

29. Este permisă desemnarea unui unic responsabilul pentru protecția datelor personale
pentru mai multe întreprinderi dintr-un grup? Da, cu condiția ca el să fie ușor accesibil din
fiecare întreprindere.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 12
Conferința Națională de Protecția Datelor May 21, 2018

IV. Sesiune de întrebări și răspunsuri

Ce înseamnă, cu precizie, "date personale"? „Date cu caracter personal” înseamnă orice


informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană
fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin
referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de
localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității
sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Practic, orice informație care poate duce la identificarea unei anumite persoane fizice reprezintă
dată cu caracter personal. Enumerarea datelor cu caracter personal nu poate să fie limitativă. Datele
personale sunt date dinamice datorită tehnologiei în continuă dezvoltare. Astfel, în viitor, vor
apărea elemente noi în identificarea unei persoane fizice.

Pot fi prelucrate datele personale ale candidaților care au trimis CV-uri pentru un post? Cât timp?
Trimiterea CV-ului poate fi considerată consimțământ pentru realizarea prelucrării datelor
personale, dar numai în scopul pentru care CV-ul a fost trimis, adică în scop de recrutare.

Datele personale astfel obținute nu pot fi însă utilizate pentru campanii de marketing, căci nu s-ar
putea considera că trimiterea CV-ului are semnificația exprimării consimțământului. Publicarea
fotografiei se face prin încărcarea fotografiei în sistem (art 9 alin. 1 lit. e)), adică datele
(biometrice) sunt făcute publice în mod manifest de către persoana vizată. Datele se păstrează cât
timp a dorit aplicantul, când și-a dat consimțământul.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 13
Conferința Națională de Protecția Datelor May 21, 2018

1. In situatia unei afaceri care are ca obiect de activitate desfasurarea de cursuri si activitati
pentru copii, tabere, este necesara desemnarea unui DPO? Pentru a fi obligatoriu DPO este
necesară întrunirea următoarelor condiții, în mod cumulativ:
1. Operațiunile de prelucrare necesită monitorizare periodică
2. Operațiunile de prelucrare necesită monitorizare pe scară largă
3. Operațiunile de prelucrare necesită monitorizare sistematică
4. Operațiunile de prelucrare reprezintă o activitate principală a operatorului (prin natura, domeniul
de aplicare și/sau scopurile operațiunilor) sau a următoarelor condiții, în mod cumulativ:
1. Operațiunile de prelucrare se referă la date speciale
2. Operațiunile de prelucrare reprezintă o activitate principală a operatorului (prin natura, domeniul
de aplicare și/sau scopurile operațiunilor).

Având în vedere specificul activității, consideram că este necesară desemnarea unui DPO. Având
în vedere că, probabil, nu monitorizați periodic persoanele vizate (copiii), DPO nu este obligatoriu.
Totuși, având în vedere că aveți nevoie de consimțământul părinților pentru prelucrarea datelor
copiiilor, precum și faptul că marketingul se adresează părinților, nu copiilor, precum și faptul că,
probabil, oferiți și asistență medicală, prin intermediul unor subcontractori, credem că un DPO ar
fi util, sau măcar un consultant permanent pentru Data Protection.

2. Ce documente, registre etc. trebuie intocmite in acest caz particular? Întreaga activitate a
operatorului ar trebui să fie atent procedurată, cu integrare atentă a dispozițiilor privind protecția
datelor în procedurile de lucru existente sau chiar întocmirea de proceduri noi, acolo unde nu
există. Verificarea procedurilor existente depinde de efectuarea auditului care se finalizează printr-
un raport ce asigură o imagine de ansamblu asupra situației operatorului de date cu caracter
personal. Numai după efectuarea unui asemenea auditoperatorii vor putea ști concret care sunt
pașii de urmat pentru finalizarea procedurilor și vor putea estima cu precizie durata și costurile.
De exemplu, apreciem că trebuie să întocmiți evidența activităților de prelucrare, precum și să
redactați note de informare și formulare de conservare a consimțământului (pentru părinți și pentru
minorii peste 16 ani).

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 14
Conferința Națională de Protecția Datelor May 21, 2018

3. Pozele pe care le facem la activitati copiilor pentru care avem acordul explicit din partea
parintilor, pot fi postate pe retelele noastre de socializare, pe site? Este nevoie de
consimțământul expres din partea tuturor părinților copiilor care apar în poze. Fotografiile
reprezintă date biometrice, care, în speță, pot fi prelucrate au fost făcute publice în mod manifest
de către persoanele vizate sau părinții lor, de exemplu în paginiile Facebook proprii. În caz contrar,
este nevoie de consimțământul expres din partea părinților, consimțământ care, atenție, trebuie să
fie granulat, adică să fie acordat pentru postarea pe pagina Facebook a companiei, nu și pe alte
pagini. Cu alte cuvinte, trebuie să faceți setările corespunzătoare de privacy cu privire la aceste
imagini.

4. Pozele in care apar copii, care exista deja din anii anteriori pe Facebook/site, pot ramane
publicate? Da, dacă aveți consimțământul expres din partea tuturor părinților copiilor care apar în
poze și puteți face dovada acestui consimțământ. Realist vorbind, probabil că nu veți putea...

5. Ce clauze particulare trebuie introduse in contractele de prestari servicii educationale pe


care le incheiem cu parintii, referitoare la aceste reglementari? Clauze specifice privind
protecția datelor care să reflecte măsurile tehnice și organizatorice luate în vederea asigurării unui
nivel de securitate corespunzător (art. 32 din Regulament).

6. Microintreprinderile sunt obligate sau este optionala implementarea procedurilor impuse


de legea privind GDPR. Doar in sectorul public este obligatorie desemnarea unui responsabil, in
mediul privat este o recomandare, obligativitatea fiind valabila doar la operatorii care prelucreaza
date la scara larga. Va rog explicitati. Operator înseamnă persoana fizică sau juridică, autoritatea
publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și
mijloacele de prelucrare a datelor cu caracter personal (art. 4 pct. (7) RGPD). Cu alte cuvinte,
operator este cel pentru care se realizează prelucrarea datelor, chiar dacă operatorul nu realizează
el însuși nicio prelucrare (clienți sau salariați).

Regulamentul nu se aplică prelucrării datelor cu caracter personal:


a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 15
Conferința Națională de Protecția Datelor May 21, 2018

b) de către statele membre atunci când desfășoară activități care intră sub incidența
capitolului 2 al titlului V din Tratatul UE; (politica de securitate și apărare comună)
c) de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice; d)
de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a
infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor
la adresa siguranței publice și al prevenirii acestora.

Desemnarea DPO este doar una dintre măsurile instituite de Regulament….

Pentru a fi obligatoriu DPO este necesară întrunirea următoarelor condiții, în mod cumulativ:
1. Operațiunile de prelucrare necesită monitorizare periodică
2. Operațiunile de prelucrare necesită monitorizare pe scară largă
3. Operațiunile de prelucrare necesită monitorizare sistematică
4. Operațiunile de prelucrare reprezintă o activitate principală a operatorului (prin natura,
domeniul de aplicare și/sau scopurile operațiunilor) sau a următoarelor condiții, în mod cumulativ:
1. Operațiunile de prelucrare se referă la date speciale
2. Operațiunile de prelucrare reprezintă o activitate principală a operatorului (prin natura,
domeniul de aplicare și/sau scopurile operațiunilor

7. Ce obligatii vor avea contabilii in urmatoarele situatii: - sunt angajati cu CIM la una sau
mai multe firme, si aici pot fi cu munca la domiciliu sau nu; - presteaza servicii ca liber
profesionist in baza unui contract. Contabilii salariați trebuie să respecte clauzele specifice
protecției datelor cu caracter personal inserate în CIM, fișa postului, regulamentul intern ș.a., să
respecte instrucțiunile scrise ale operatorului cu privire la prelucrarea datelor cu caracter personal,
să ia la cunoștință de ele și să participe la programe de instruire în acest sens. Contabilii liber-
profesioniști sunt însă împuterniciți, și totodată operatori, dacă au salariați.

8. Ce obligatii au detinatorii Camerelor de supraveghere? Probabil că organizația


dumneavoastră realizează monitorizarea video, și deci colectează datele cu caracter personal
în scopul supravegherii activității salariaților și/sau în scop de pază. Deși dispozițiile art. 9

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 16
Conferința Națională de Protecția Datelor May 21, 2018

alin. 1 par să impună necesitatea consimțământului expres (Se interzice prelucrarea de date cu
caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă
sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date
biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date
privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.), lit. b), e) sau f) ar putea să
justifice monitorizarea video, căci altminteri ar trebui să considerăm că Regulamentul impune ca
monitorizarea video în scop de pază să fie făcută exclusiv pe bază de consimțământ expres a
persoanelor care pătrund în incintă, ceea ce ni se pare absurd.

În același sens, se va pune problema dacă monitorizarea video concretă pe care compania
dumneavoastră o face se referă la “date biometrice pentru identificarea unică a unei persoane
fizice”, căci este o mare diferență între autentificarea prin scanarea irisului sau amprentă și
monitorizarea video cu rezoluție mică.

În acest din urmă caz, imaginile obținute prin monitorizarea video este posibil să nu fie suficiente
pentru identificarea unică a unei persoane fizice, ci doar dacă sunt corelate cu alte informații cu
privire la salariați, numerele de înmatricularea ale autoturismelor care pătrund în incintă ș.a. În
orice caz, nici obținerea consimțământului de la toate persoanele fizice care pătrund în incintă nu
este o soluție, din pricina problemelor pe care le ridică obținerea consimțământului salariaților
pentru monitorizarea video. Fără îndoială, un studiu de impact este necesar. Pe de altă parte, se
impune o discuție cu privire la monitorizarea video care NU se face în scop de pază...

9. Avem obligatia de a instiinta ANCOM, sub ce forma? ANSPDCP. Nu. Dacă întrebarea se
referă la monitorizarea video, atunci răspunsul este DA, întrucât evaluarea impactului asupra
protecției datelor va indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri
luate de operator pentru atenuarea riscului. Supravegherea video la locul de muncă prezintă risc
ridicat.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 17
Conferința Națională de Protecția Datelor May 21, 2018

10. Recomandati unei companii (productie industriala) cu 300 salariati (a fost numit DPO)
care decide instalarea unui sistem de supraveghere video efectuarea de DPIA? Fără îndoială
că DA, a se vedea raspunsul anterior.

11. Bancile sunt persoane imputernicite sau terti in relatia cu operatorul? (operatiuni curente:
plata salariilor, plati catre furnizori, incasari de la client, factoring, finantare , linii de credit , etc).
Sunt obligate sa ne transmita acorduri/acte additional in privinta protectiei datelor? Considerăm că
băncile sunt operatori asociați. În cazul în care doi sau mai mulți operatori stabilesc în comun
scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod
transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în
temeiul Regulamentului. În practică naște discuții raportul de forțe operator-împuternicit...

12. Cum procedam cu Certificat nastere minori? In unele cazuri (acordarea unor drepturi:
deduceri personale sau beneficii la nasterea unui copil). Il pastram la dosar? Certificatele de naștere
ale copiilor salariaților ar trebui să fie depozitate și accesate sub autoritatea Serviciului Resurse
Umane. În vederea respectării principiului reducerii prelucrării datelor cu caracter personal și
pentru a restrânge accesul persoanelor la datele cu caracter personal, certificatele de naștere ale
copiilor salariaților ar trebui depozitate sub cheie sub autoritatea Șefului de Serviciului.

13. Ce facem cu documentele (ex. caziere, formulare in care apare religia, poze, certificate
de nastere ale copiilor, certificate de casatorie, deces etc.) pe care le avem deja stocate (unele,
dar nu toate, sau nu numai la dosarele personale). Ar trebui să fie depozitate și accesate sub
autoritatea Serviciului Resurse Umane. În vederea respectării principiului reducerii prelucrării
datelor cu caracter personal și pentru a restrânge accesul persoanelor la datele cu caracter personal,
certificatele de naștere ale copiilor salariaților ar trebui depozitate sub cheie sub autoritatea Șefului
de Serviciului.

14. In afara de cazul in care se produc incidentele de Securitate cand se mai notifica
OBLIGATORIU autoritatea? Operatorul sau persoana împuternicită de operator notifică
măsurile luate în vederea respectării deciziei autorității de supraveghere. Operatorul consultă

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 18
Conferința Națională de Protecția Datelor May 21, 2018

autoritatea de supraveghere înainte de prelucrarea atunci când evaluarea impactului asupra


protecției datelor indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate
de operator pentru atenuarea riscului (DPIA). Operatorul informează autoritatea de supraveghere
cu privire la transfer. Operatorul sau persoana împuternicită de operator publică datele de contact
ale responsabilului cu protecția datelor și le comunică autorității de supraveghere.

15. Este obligatoriu sa ne inscriem ca OPERATOR de prelucrare a datelor? Nu.

16. Este necesara intocmirea unei baze de date separate cu toti clientii consumatori ai
societatii? Operatorul trebuie să ia măsuri tehnice și organizatorice adecvate activității
desfășurate. „Pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea
mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații
suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separate și să facă
obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor
date cu caracter personal unei persoane fizice identificate sau identificabile (art. 4 pct. 5 RGPD).

17. Este voie sa numim printr-o decizie al Administratorului societatii un angajat al societatii
responsabil cu protectia datelor? Da.

18. Responsabilul cu protectia datelor este obligat sa participe la un curs de specializare?


Nu, nu este obligatoriu, poate să studieze singur. Însă apreciem că participarea la instruiri ref.
protecția datelor este utilă. Chestiunea certificării DPO este încă neclarificată...

19. Este obligatoriu sa trimitem clientilor consumatori ai societatii o instiintare referitoare


la scopul prelucrarii datelor? Simpla preocupare pentru protecția datelor cu caracter personal
("informarea generala") nu este suficientă pentru respectarea prevederilor GDPR. Scopul
Regulamentului este acela de a determina operatorii să își adapteze procesele interne și relațiile cu
alții (furnizori, beneficiari, poprii salariați), să adopte măsuri organizatorice speciale și să
implementeze proceduri de securitate adecvate, toate acestea pentru a asigura protecția datelor cu

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 19
Conferința Națională de Protecția Datelor May 21, 2018

caracter personal. Da, informarea persoanelor vizate este obligatorie, însă nu este suficientă, așa
cum am arătat.

20. O societate comerciala ce desfasoara activitate de comert ambulant, fara salariati, este
obligata sa se inregistreze ca operator de date cu caracter personal, daca aceste date cu care
intra in contact se folosesc doar pentru desfasurarea activitatii (emitere facturi fiscale,
incheiere contracte comerciale)? Mentionez ca datele cu caracter personal sunt stocate in
programul de facturare. Nu este necesara înregistrarea ca operator de date, însă reglementările
privind protecția datelor din Regulament sunt pe deplin aplicabile.

21. O societate comerciala care desfasoara activitate de comert online, cu salariati, este
obligata sa se inregistreze ca operator de date cu caracter personal daca aceste date se
folosesc doar pentru emiterea de facturi, contracte comerciale, intocmire oferte de pret la
solicitarea potentialilor clienti, intocmire contracte individuale de munca? Datele cu caracter
personal se stocheaza in programul de facturare si salarizare. Nu este necesara înregistrarea ca
operator de date, însă reglementările privind protecția datelor din Regulament sunt pe deplin
aplicabile.

22. O societate comerciala, in calitate de Prestator, care incheie contract de prestari servicii
secretariat cu o alta companie, este obligata sa se inregistreze ca operator de date cu caracter
personal, avand in vedere ca intra in contact cu datele personale ale clientilor beneficiarului?
Mentionez ca aceste servicii de secretariat se desfasoara la sediul Beneficiarului. In ce consta
procedura GDPR pentru o astfel de societate? Nu este necesara înregistrarea ca operator de
date, însă reglementările privind protecția datelor din Regulament sunt pe deplin aplicabile.
Operatorii de date personale au posibilitatea să apeleze la alte persoane, pe care să le
împuternicească să realizeze prelucrarea datelor cu caracter personal.

Activitatea privind protecția datelor cu caracter personal poate fi, de asemenea, exercitată în baza
unui contract de prestări servicii încheiat cu o persoană fizică sau o organizație din afara

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 20
Conferința Națională de Protecția Datelor May 21, 2018

organizației operatorului/persoanei împuternicite de operator. Dar desemnarea unui reprezentant


de către operator sau a unei persoane împuternicite de operator nu aduce atingere acțiunilor în
justiție care ar putea fi introduse împotriva operatorului sau persoanei împuternicite de operator…
Nu doar persoanele vizate, ci și autoritatea de supraveghere se pot adresa și direct operatorului, cu
privire la toate chestiunile legate de prelucrarea datelor.

23. Ne puteti comunica o lista general valabila pentru majoritatea firmelor cu documente
care trebuie intocmite in conformitate cu GDPR si o lista cu masuri de punere in aplicare?
Întreaga activitate a operatorului ar trebui să fie atent procedurată, cu integrare atentă a dispozițiilor
privind protecția datelor în procedurile de lucru existente sau chiar întocmirea de proceduri noi,
acolo unde nu există. Verificarea procedurilor existente depinde de efectuarea auditului care se
finalizează printr-un raport ce asigură o imagine de ansamblu asupra situației operatorului de date
cu caracter personal. Numai după efectuarea unui asemenea audit operatorii vor putea ști concret
care sunt pașii de urmat pentru finalizarea procedurilor și vor putea estima cu precizie durata și
costurile. În ceea ce privește punerea la dispoziție a listei cu măsuri, acest lucru excede cadrului
întrebărilor și răspunsurilor, însa vă putem recomanda avocați specializați. Lista documentelor
poate depăși cu ușurință 20 și nu poate fi mai mică de 10.

24. Suntem o companie care face parte dintr-un grup de firme, al carei domeniu de activitate
este comertul cu autoturisme si prestarea de servicii de reparatii si intretinere autovehicole.
Interactionam cu persoane fizice si juridice (firme de asigurari). Avand in vedere noul
Regulament, dorim sa aflam daca acesta este aplicabil si pentru societatea noastra, in relatiile
desfasurate cu persoane fizice, asiguratori, angajati. Este necesara numirea unui Responsabil cu
protectia datelor? Pe larg, a se vedea răspunsul la întrebarea nr. 6. Pe scurt: 1. Da, vi se aplică
Regulamentul. 2. Nu putem aprecia anvergura afacerii dumneavoastră, însă un audit ar putea
aprecia dacă sunt îndeplinite condițiile de mai sus pentru ca DPO să fie obligatori. În orice caz,
recomandarea noastră generală este ca atunci când aveți îndoieli dacă DPO este necesar, să
desemnați DPO!

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 21
Conferința Națională de Protecția Datelor May 21, 2018

25. Procedura pentru fiecare department in parte cuprinde exact datele cu caracter personal
care se prelucreaza, de unde provin si trasabilitatea? Da. Procedura pentru fiecare departament
trebuie să cuprindă cel putin informații cu privire la întocmirea, primirea, păstrarea, accesarea,
transmiterea, transportul, utilizarea și predarea documentelor care conțin date cu caracter personal.

26. Cartografierea se face pe fiecare departament in parte si pe fiecare punct de lucru? Da.
Mai mult decât atât, recomandarea noastră este să se facă pe fiecare document care conține date
cu caracter personal, precum și transversal (date cu caracter personal care trec de la un departament
la altul).

27. Cum se face instruirea salariatilor, prin luarea la cunostinta a procedurilor fiecarui
departament in parte? Modalitatea de instruire a salariaților depinde de specificul activității
Operatorului și de modul cum înțelege să realizeze acest lucru. Recomandarea noastră este de a
organiza și sesiuni de instruire a salariaților care lucrează cu informații care conțin date cu caracter
personal. Aducerea la cunoștință a procedurilor fiecărui departament este subînțeleasă.

28. Este obligatorie a se face analiza de risc in acest moment pentru situatia existenta acum,
la implementare? Evaluarea impactului asupra protecției datelor se efectuează înaintea
prelucrării. Trebuie să aveți în vedere dacă natura, domeniul de aplicare, contextul și scopurile
prelucrării sunt susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor
fizice. Cu alte cuvinte, auditul de data protection include analiza de risc.

29. Adaptarea contractelor de vanzare cu clientii la noile cerinte se face prin act aditional,
informare? Act adițional care să conțină dispoziții speciale privind protecția datelor cu caracter
personal, precum și prin nota de informare. Dacă vizați utilizarea datelor colectate cu ocazia
contractelor în scop de marketing, atunci trebuie să obțineți în mod granulat consimțământul, adică
distinct pentru fiecare scop al prelucrării.

30. Avem un magazin online care comercializeaza ingrediente cosmetice. Este necesar sa
cerem consimtamantul clientilor pentru a le trimite emailul de confirmare a comenzii si copia

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 22
Conferința Națională de Protecția Datelor May 21, 2018

facturii, sau doar pentru a le trimite newsletterul-ul? Cele două prelucrări (confirmarea
comenzii + transmiterea facturii fiscale și transmiterea newsletterului) au temeiuri juridice de
prelucrare diferite (art. 6 alin. (1) GDPR), respectiv:
a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe scopuri specifice (newsletterul).
b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este
parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract
(confirmarea comenzii și transmiterea facturii fiscale). Prin urmare, dacă prelucrarea se efectuează
pe baza unui alt temei juridic (pct. b), nu necesar consimțământul.

31. Nu ii lasam sa acceseze site-ul daca nu isi dau consimtamantul pentru google analytics /
cookie servicii externe? În cazul în care prelucrarea se bazează pe consimțământ, operatorul
trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru
prelucrarea datelor sale cu caracter personal. Consimțământul trebuie dat în mod liber. Atunci când
se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că,
printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu
de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară
pentru executarea acestui contract.

32. Daca trimitem emailurile prin MailChimp, in afara de a-i anunta pe clienti de acest lucru
si ca MailChimp este conform cu GDPR, mai este necesar sa facem si altceva? MailChimp
este o companie din SUA, iar deocamdată SUA nu este pe lista țărilor non-UE în care nivelul de
protecție este adecvat nu a fost încă întocmită. În absența unei astfel de decizii privind caracterul
adecvat al nivelului de protecție, transferul de date cu caracter personal către o țară terță poate avea
loc numai în mod excepțional (în condițiile prevăzute de art. 49 GDPR).

Prin urmare, transferul de date către un operator in afara UE trebuie să fie necesar pentru
executarea contractului dintre operator și persoanele vizate, pe care le numiți clienți (cf. art. 49
alin. 1 lit. b)), sau este nevoie ca persoanele vizate să-și exprime în mod explicit acordul cu privire
la transferul propus, după ce au fost informată asupra posibilelor riscuri pe care astfel de transferuri

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 23
Conferința Națională de Protecția Datelor May 21, 2018

le pot implica pentru persoanele vizată ca urmare a lipsei unei decizii privind caracterul adecvat al
nivelului de protecție și a unor garanții adecvate (art. 49 alin. 2 lit. a)). În paranteză fie zis,
MailChimp v-a trimis un e-mail prin care v-a spus că este conform cu GDRP, însă, în calitatea lui
de împuternicit al dumneavoastră, nu vă asigură niciun fel de control.

33. Coșurile care nu se concretizeaza imediat in comanda pot fi pastrate pentru o perioada
de timp, si daca da, pentru cat timp? Sau trebuie sterse dupa un anumit timp? Principiul este
minimizarea accesului la datele cu caracter personal, motiv pentru care ar trebui să motivați
menținerea coșurilor o perioadă de timp, pe baza informațiilor statistice în legătură cu finalizarea
comenzilor din aceste coșuri. Menținerea coșurilor trebuie să fie motivată cu atenție iar persoanele
vizate trebuie să fie informate cu privire la durata menținerii și scop.

34. Regulamentul vizeaza toate societatile juridice, indiferent de cifra de afaceri sau numarul
de utilizatori? Aproape toate, operator înseamnă persoana fizică sau juridică, autoritatea publică,
agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de
prelucrare a datelor cu caracter personal (art. 4 pct. (7) RGPD).

35. Pentru preluarea delegaților care vizitează compania sau vin în interes de serviciu este
nevoie să avem consimțământul acestora pentru a prelucra datele referitoare la nume,
Prenume, serie, nr. act de identitate? Temeiul legal al prelucrării nu îl constituie interesul
legitim, situație în care este nevoie doar de o informare a persoanelor respective? Precizez faptul
că la intrarea în firma sunt amplasate și camere de supraveghere, așadar se prelucrează și imaginea
persoanelor care au acces în incinta firmei. Datele preluate (Nume, Prenume, act de identitate) sunt
completate și păstrate într-un registru și într-o evidentă informatica. Care ar fi varianta optima
pentru a le proteja? Nu este necesar consimțământul pentru preluarea delegaților având în vedere
că prelucrarea datelor se face pentru executarea unui contract la care persoana vizată este parte.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 24
Conferința Națională de Protecția Datelor May 21, 2018

Este nevoie de informarea persoanelor vizate. Camerele de supraveghere captează date biometrice
ale persoanelor vizate. Se interzice prelucrarea de date cu caracter personal care dezvăluie originea
rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau
apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea
unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau
orientarea sexuală ale unei persoane fizice (art. 9 alin. (1) RGPR). Regulamentul stabilește 10
excepții la art. 9 alin. (2). Pentru monitorizare video trebuie să identificați dacă vă este aplicabilă
vreuna dintre situațiile exceptate de la alin. (2).

36. Datele referitoare la starea de sănătate sunt preluate pentru ca angajatorul sa cunoască
aceste aspecte cu privire la angajații care prezintă anumite probleme de sănătate. In funcție
de aceste date, șefii ierarhici superiori, cunosc modul în care un angajat cu anumite probleme de
sănătate poate să lucreze sau nu în schimb de noapte. Așadar, aceste date sunt preluate, colectate
de către Dep. HR, dar ele sunt cunoscute și de alte persoane din cadrul firmei ( ex. șefi ierarhici
superiori ). Pentru a proteja datele în acest caz, este suficient sa încheiem acte adiționale privind
confidențialitatea și secretul datelor cu caracter personal, cu acei șefi ierarhici superiori? Salariatii
care urmeaza sa desfasoare munca de noapte sunt supusi unui examen medical gratuit inainte de
inceperea activitatii si, dupa aceea, periodic (art. 127 alin. (1) din Codul Muncii). Sefii ierarhici
trebuie sa cunoasca daca subordonatii sunt apti sau nu pentru munca de noapte, nu si probelemele
de sanatate. Toți salariații care prelucrează date cu caracter personal trebuie să aibă în fișa postului
dispoziții cu privire la respectarea protecției datelor cu caracter personal.

37. Cum protejam datele cu caracter personal despre care luăm la cunoștința de pe facturile
transmise societății noastre? Sau cele cuprinse în contractele de vânzare cumpărare pe care în
mod uzual le încheiem. Pe aceste documente apar date personale cum ar fi: nume, Prenume, uneori
CNP. Prin măsuri tehnice și organizatorice luate în vederea asigurării unui nivel de securitate
corespunzător.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 25
Conferința Națională de Protecția Datelor May 21, 2018

38. Cum protejam datele personale identificate în semnătura din mail-uri transmise sau
primite? (nume, Prenume, funcție, telefon/fax). Prin măsuri tehnice și organizatorice luate în
vederea asigurării unui nivel de securitate corespunzător.

39. Intr-o societate comercială care are ca și obiect principal de activitate producția de
componenete auto, în cadrul căreia, în principal se prelucrează date personale cu privire la
proprii angajați, având în vedere obligațiile legale impuse de legislația în domeniul
resurselor umane, se pot identifica situații in care prelucrarea datelor sa fie legală doar în
baza preluării consimțământului? În cadrul raporturile de muncă prelucrarea nu se face pe baza
consimțământului persoanei vizate ci are alte temeiuri juridice de prelurare, respectiv: - pentru
executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea
persoanei vizate înainte de încheierea unui contract; (art. 6 alin. (1), lit. b) RGPD) - necesară în
vederea îndeplinirii unei obligații legale care îi revine operatorului; (art. 6 alin. (1), lit. c RGPD).

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro 26
Conferința Națională de Protecția Datelor May 21, 2018

1. Există un text tip care trebuie semnat/acceptat ca și consimtământ?

Nu există un text tip. Aceasta întrucât la momentul luării consimțământului trebuie


specificat expres care este scopul prelucrărilor de date cu caracter personal, acest scop
putând varia de la caz la caz. Condițiile cu privire la modalitatea în care consimțământul
trebuie exprimat, respectiv, obținut sunt prevăzute în art. 7 din Regulament. Se poate
concepe un text predefinit în cazul în care operatorul se limitează doar la prelucrarea
anumitor date într-un scop sau mai multe scopuri determinate, însă în cazul în care se
modifică scopul prelucrării este necesar ca regulă includerea acestui nou scop în cadrul
acordului de exprimare a consimțământului.

2. Prin cookies se pot colecta date cu caracter personal? Este folosirea de cookies
încadrată în prelucrarea de date cu caracter personal?

Persoanele fizice pot fi asociate cu identificatorii cookie (Considerentul 30 din


Regulament). Aceştia pot lăsa urme care, în special atunci când sunt combinate cu
identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru crearea de
profiluri (= prelucrare automată a datelor cu caracter personal – art. 4 pct. 4 fin
Regulament) ale persoanelor fizice şi pentru identificarea lor. Prin identificatorii cookie
pot fi colectate date cu caracter personal, chestiune ce depinde de tipul acestora: per
sesiune, de persistență, de localizare etc. Prin „prelucrare” înțelegem orice operaţiune
sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor
de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar
fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau
modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea,
restricţionarea, ştergerea sau distrugerea (art. 4 pct. 2 din Regulament). Astfel, în
situația în care cooki-urile pot ajuta la identificarea unui dispozitiv folosit pentru
conectare, respectiv, a utilizatorului, în combinație cu alte elemente, în contextul
înregistrării informațiilor obținute prin intermediul lor, putem fi în prezența unei
prelucrări de date cu caracter personal.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro

27
Conferința Națională de Protecția Datelor May 21, 2018

3. Codul CAEN al firmei este 7320... in activitatea noastra nu lucram deloc cu


persoane fizice ci numai cu firme. Singurele date cu caracter personal din firma
sunt ale celor 2 angajati (reprezentant vanzari si contabila). Datele din semnatura
clientului (nume, email, telefon) prin care reprezinta compania sunt date cu
caracter personal? As avea rugamintea daca este posibil sa ma sfatuiti care ar fi
procedurile de urmat pentru a intra in legalitate (la adapost) conform legii cu
protectia datelor.

Este adevărat că Regulamentul privind protecția datelor cu caracter personal nu se


aplică în privința datelor aferente persoanelor juridice (adresă sediu, CUI etc.) dacă
adresa de e-mail nu conține nume/prenume reprezentant al clientului sau
împuternicitului, ci este o adresă oficială a clientului persoană juridică. Pe lângă datele
cu caracter personal ce aparțin salariaților proprii, rețineți faptul că datele de identificare
ale reprezentanților legali ale companiilor clienți reprezintă date cu caracter personal.
În calitate de operator de date cu caracter personal/persoană împuternicită de operator
aveți obligația de a instituit măsuri tehnice și organizatorice privind protecția datelor cu
caracter personal, astfel încât datele cu caracter personal să fie prelucrate în mod legal,
echitabil și transparent – în raport cu persoanele vizate (angajați/reprezentanți legali ai
persoanelor juridice), colectate în scopuri determinate, explicite și legitime, datele cu
caracter personal sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu
scopurile prelucrării, datele cu caracter personal trebuie să fie exacte/actualizate, datele
cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea lor.
De asemenea, trebuie să aveți în vedere necesitatea informării persoanelor vizate
(conform art. 13 și 14 din Regulament), precum și respectarea drepturilor acestora (art.
15 – 22 din Regulament).

4. În activitatea hoteliera raportarea zilnica a fiselor de cazare catre sectia de politie


si IGI este obligatorie. Dupa 25 mai, cum procedam?

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro

28
Conferința Națională de Protecția Datelor May 21, 2018

Întrucât reprezintă o obligație legală, prelucrarea datelor cu caracter personal a


clienților și transmiterea acestora către secția de poliție și IGI nu încalcă prevederile
Regulamentului nr. 679/2016, astfel că prelucrarea datelor cu caracter personal este
efectuată în temeiul art. 6 alin. 1 lit. c) din Regulament. Rețineți faptul că transmiterea
fișelor de cazare trebuie să fie efectuată într-un mod securizat.

5. Cum putem face dovada distrugerii efective a informatiilor arhivate in


calculatoare, fara sa distrugem hard-ul?

Singura metodă de distrugere a informațiilor de pe un hard apreciem că este


reprezentată de distrugerea efectivă a acestuia. O variantă de dovedire a
responsabilității ar fi înregistrarea acțiunii de ștergere/a formatării lui sau pe baza
eventualelor înregistrări la nivelul sistemului de operare. Situațiile în care ca datele cu
caracter personal șterse, fără nicio intenție din partea operatorului de a le utiliza sau de
a le accesa din nou, există în continuare în sistemul electronic pot fi multiple. De
exemplu, datele ar putea aștepta să fie suprascrise cu alte date. Apreciem că aceste
informații nu mai sunt în uz, și ca atare, problemele de respectare a normelor privind
protecția datelor nu ar mai fi aplicabile. (O situație paralelă ar putea fi cu deșeurile de
hârtie mărunțită. Deși poate fi posibil să se reconstituie informația din bucățile de
hârtie, acest lucru ar fi extrem de dificil și este puțin probabil ca organizația să aibă
intenția să facă acest lucru). Astfel, se poate întâmpla ca ștergerea, chiar și
„permanentă” a datelor cu caracter personal de pe un Hard Disk să nu asigure ștergerea
definitivă a lor, întrucât informații parțiale vor continua să fie stocate și ulterior, acestea
putând fi chiar restaurate prin aplicarea unor proceduri speciale. De aceea, recomandăm
să apelați la servicii IT de specialitate în vederea conformării activităților
dumneavoastră cu prevederile GDPR. Ulterior unei astfel de ștergeri definitive a
datelor, Autoritatea de Supraveghere națională poate să procedeze la verificarea
dispozitivelor dumneavoastră pentru a constata faptul că nu mai dețineți datele șterse.

6. Ce obligatie revine celui care foloseste newsletter-ul ca modalitate de informare?

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro

29
Conferința Națională de Protecția Datelor May 21, 2018

Obligația de a obține consimțământul utilizatorilor cu privire la primirea în continuare


de newsletter, precum și posibilitatea de și-l retrage oricând.

7. În virtutea a ceea ce ati explicat mai devreme, ce puteti spune despre Fisa Postului
RPD aparuta, care il incarca pe acesta cu prevederi contrare GDPR?

Întrucât din cuprinsul întrebării nu se înțelege în mod clar la ce vă referiți în mod exact,
vom încerca a răspunde în sensul următor: Regulamentul privind protecția datelor nu
interzice stipularea unor atribuții suplimentare față de cele menționate în sarcina DPO.
În plus, în cuprinsul art. 39 alin. 1 din Regulament se precizează „Responsabilul cu
protecția datelor are cel puțin următoatele sarcini (…)”.

8. Statele de salarii se pastreaza 50 ani deci ce este cu perioada?

În acest caz, ștatele de salarii trebuie a fi păstrate potrivit prevederii legale, respectiv,
datele cu caracter personal cuprinse în acest tip de documente pot fi prelucrate în
temeiul unei obligații legale (art. 6 alin. 1 lit. c) din Regulament). Desigur, poate ar
trebui ca mare parte din legislația internă să fie regândită și revizuită în acest sens. Nu
excludem nici faptul că este posibil ca pe viitor să existe sesizări la CJUE pentru a
stabili dacă reglementările naționale legale sunt în acord sau nu cu prevederile GDPR.

9. Pentru declaratia 600 care se depune la Primariile unde nu exista administratie


fiscala teritoriala este nevoie de acordul persoanei pentru prelucrarea datelor?
Declaratia 600 este specifica ANAF.

Declarația 600 se poate depune atât fizic, cât și în format electronic, iar datele prelucrate
prin intermediul acestui document are ca temei îndeplinirea unei obligații legale (art. 6
alin. 1 lit. c) din Regulament).

10. Ce documente, registre etc. trebuie intocmite in situatia unei firme care are ca
obiect de activitate organizarea de cursuri pentru copii/invatamant non-formal?

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro

30
Conferința Națională de Protecția Datelor May 21, 2018

Notificări, comunicări, evidență a activităților de prelucrare a datelor cu caracter


personal, proceduri interne privind protecția datelor cu caracter personal, politici de
ștergere/arhivare a documentelor ce conțin date cu caracter personal, revizuire contracte
etc.

11. Ce masuri de securitate fizica sunt necesare pentru protectia serverelor, din
perspectiva GDPR?

Amplasarea acestora într-o zonă ferită de dezastre. Și recomandabil ar fi să existe un al


doilea rând de servere care pot prelua activitatea serverului principal în caz de dezastru
sau inactivitate. De asemenea, în locația în care sunt amplasate serverele, ar trebui să
fie instituite și implementate proceduri bine puse la punct în caz de seism, incendiu etc.
O altă variantă ar fi plasarea serverelor în Cloud împreună cu pasarea parțială a
responsabilității către furnizorul de servicii.

12. Ca firma cu activitate in domeniul turistic (o pensiune turistica), pentru


inregistrarea turistilor ceruta conform legii (in cartea de imobil in cazul
pensiunilor), care ne sunt obligatiile? Turistii au drepturile specificate de GDPR
si pot fi stersi din aceasta carte de imobil?

Turiștii reprezintă în concepția GDPR „persoane vizate”. Aveți obligația de a informa


persoanele vizate (turiști) cu privire la drepturile lor, scopul prelucrării datelor
personale, temeiul legal etc. (a se vedea art. 13 și 14 din Regulamentul nr. 679/2016).
Turiștii pot solicita în calitate de persoane vizate ștergerea datelor cu caracter personal
din cartea de imobil, iar dumneavoastră aveți obligația de a proceda în acest sens dacă
nu există un alt temei legal/obligație legală care să vă impună păstrarea datelor cuprinse
în cartea de imobil pentru o perioadă de timp mai îndelungată, chiar și în condițiile în
care persoana vizată (turistul) a solicitat ștergerea datelor sale. În calitate de operator
de date cu caracter personal aveți obligația potrivit GDPR, de a institui măsuri tehnice
și organizatorice pentru protecția datelor cu caracter personal.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro

31
Conferința Națională de Protecția Datelor May 21, 2018

13. Apoi pe site-ul pensiunii in ce forma trebuie sa obtinem consimtamantul pentru


datele comunicate in vederea rezervarii solicitate de turist? (ex. o bifa pentru
accept, ori o pagina separata pe care turistul sa fie obligatoriu sa o parcurga, etc.)

Strict în scopul determinat expus în cuprinsul întrebării – efectuarea unei rezervări, nu


este necesar a fi obținut consimțământul persoanelor vizate pentru prelucrarea datelor
personale atunci când acestea sunt necesare pentru a face demersuri, la cererea acestora,
înainte de încheierea contractului de prestări servicii hoteliere (art. 6 alin. 1 lit. B) din
Rehulament).

14. O firma de contabilitate este obligata sa desemneze o persoana responsabila cu


protectia datelor cu caracter personal?

Depinde de incidența condițiilor enunțate în continuare. Potrivit art. 37 din Regulament,


pentru a fi obligatoriu desemnarea DPO este necesară întrunirea, în mod cumulativ, a
următoarelor condiții:
(1) Operațiunile de prelucrare sunt periodice;
(2) Operațiunile de pelucrare se referă și la date speciale;
(3) Operațiunile de prelucrare se fac pe scară largă (prezumție: cel puțin 250 de
salariați);
(4) Operațiunile de prelucrare sunt sistematice (care se efectuează metodic și
organizat);
(5) Operațiunile de prelucrare reprezintă o activitate principală a operatorului/persoanei
împuternicite (prin natura, domeniul de aplicare și/ scopurile operațiunilor de
prelucrare).

15. În cazul unei institutii publice care prelucreaza deja date cu caracter personal,
mai este nevoie sa notifice autoritatea?

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro

32
Conferința Națională de Protecția Datelor May 21, 2018

Odată cu intrarea în vigoare a Regulamentului 679/2016 a fost eliminată necesitatea


notificării Autoritătii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter
Personal. Astfel că la acest moment, atât persoanele juridice private cât și cele publice
nu mai au această obligație. Rețineți faptul că o instituție publică este obligată să își
desemneze un Responsabil cu protecția datelor cu caracter personal (DPO), iar datele
de contact ale acestuia trebuie comunicate Autorității.

16. Ce obligatii are o firma ce are ca principal obiect de activitate inchirierea


spatiilor?

În general, obiectul de activitate al unei companii nu determină obligațiile existente în


sarcina operatorilor/persoanelor împuternicite ce le revin în temeiul GDPR. În schimb,
mărimea companiei poate determina, spre exemplu, necesitatea respectării obligației de
a desemna un Responsabil cu protecția datelor cu caracter personal. În cazul în care
clienții dumneavoastră sunt persoane fizice, toate obligațiile ce decurg din
Regulamentul nr. 679/2016 vă sunt aplicabile (instituirea de măsuri tehnice și
organizatorice pentru protecția datelor cu caracter personal, informarea persoanelor
vizate, obținerea consimțământului atunci când este cazul, respectarea drepturilor
prevăzute în favoarea persoanelor vizate etc). Rețineți că datele cu caracter personal ale
reprezentanților legali ai persoanelor juridice intră sub incidența sistemului de protecție
instituit de GDPR.

17. Ce date trebuie consemnate in contractele de inchiriere, dar in revisalul societatii?

În contractele de închiriere ar trebui introduse date limitate la cele necesare încheierii,


executării, încetării contractului. În ceea ce privește aplicația Revisal, aveți obligația
legală de introducere a acelor datele necesare potrivit HG nr. 905/2017 privind registrul
general de evidență a salariaților. Dacă este vorba despre contracte încheiate cu
persoane fizice, clauze specifice privind protecția datelor lor cu caracter personal.
Rețineți că datele de identificare ale reprezentanților legali ai persoanelor juridice întră
sub incidența regimului de protecție instituit de GDPR.

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro

33
Conferința Națională de Protecția Datelor May 21, 2018

18. Cum se va realiza supravegherea video in viziunea GDPR, avand in vedere


prevederile HG nr. 301 din 2012 republicata?

Potrivit art. 2 din Normele metodologice de aplicare a Legii nr. 333/2003 privind paza
obiectivelor, bunurilor, valorilor şi protecţia persoanelor, aprobate prin HG nr.
301/2012, adoptarea măsurilor de securitate a obiectivelor, bunurilor şi valorilor
prevăzute de lege se realizează pe baza unei analize de risc la securitate fizică.
Elaborarea analizei de risc la securitate fizică se face potrivit instrucţiunilor emise de
ministrul administraţiei şi internelor, care se publică în Monitorul Oficial al României,
Partea I. În raport de aceste aspecte, supravegherea video ar avea ca temei legal de
pelucrare pe cel prevăzut la art. 6 alin. 1 lit. c) din Regulament, respectiv, art. 9 alin. 2
lit. g) din Regulament. Supravegherea video ar trebui să fie proporțională cu
obiectivul urmărit. În condițiile în care supravegherea video nu este necesară în
temeiul reglementărilor legale, instalarea unor camere CCTV trebuie atent cumpănită,
având în vedere gradul de sporire a securitătii obiectivului și necesitatea ocrotirii datelor
personale și drepurile persoanelor vizate. De asemenea, în efectuarea monitorizării
trebuie respectate principiile prevăzute de GDPR (art. 5 din Regulament).

Bd. Natiunile Unite nr. 4, Bucuresti, Tel: 021 209 45 12, www.seminare.ro

34