Master Securitatea Tehnologiei Informației - ATM

Securitatea sistemelor biometrice

Protecția persoanelor fizice în ceea ce

privește prelucrarea datelor cu
caracter personal
© viorel.rătescu@bnro.ro decembrie 2018
La data de 25 mai 2018 a devenit aplicabil Reg. (UE) 679/2016 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera
circulație a acestor date și de abrogare a Directivei 95/46/CE.

În baza acestuia, la nivel național, au fost emise:

Legea nr. 129 /2018 pentru modificarea şi completarea Legii nr. 102/2005 privind

înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării

Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru

protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera

circulaţie a acestor date

Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679

privind protecţia persoanelor fizice în ceea ce priveşte PDCP şi privind libera circulaţie a

acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general PD)

2
Elemente de noutate

✓ Domeniul de aplicare

✓ Principiile prelucrării

✓ Condițiile pentru consimțământ/minori

✓ Categoriile de date speciale

✓ Drepturile persoanelor vizate

✓ Măsurile de securitate

✓ Notificarea breșelor de securitate

3
Elemente de noutate
✓ Evaluarea impactului asupra protecției datelor

✓ Documentarea prelucrărilor de date/Fără notificare ANSPDCP

✓ Responsabil cu protecția datelor (DPO)

✓ Transferuri internaționale în baza regulilor corporatiste

obligatorii, a clauzelor contractuale, a unor conduri de
conduită și mecanisme de certificare+angajamente obligatorii

✓ Aderarea la conduri de conduită și la mecanisme de

certificare

4
Noțiuni utilizate în cuprinsul RGPD, al legislației naționale și al legislației comunitare
secundare în domeniu:

Date cu caracter personal (DCP) – orice informație disponibilă în orice formă care poate
identifica o persoană fizică sau care o poate face identificabilă, direct (prin mijloace directe
de identificare) sau indirect (prin cercetări ulterioare). Identificarea presupune folosirea
oricăror elemente aferente unei persoane fizice pe baza cărora aceasta poate fi
recunoscută fără echivoc, cum ar fi un nume, un număr de identificare, date de localizare
etc.

Persoană vizată – orice persoană fizică în viață ale cărei date cu caracter personal sunt
prelucrate cel puțin la nivelul unui departament al unei organizații.

Operator (Organizația/Instituția) – entitatea care stabilește, singură sau împreună cu

altele, scopul și mijloacele prelucrării datelor cu caracter personal (persoană fizică sau
juridică, autoritate publică, alte organisme, etc.).

5
Persoană împuternicită de operator – entitatea (persoană fizică sau juridică, autoritate
publică, alte organisme, etc.) care prelucrează datele cu caracter personal ale unor
persoane fizice în numele operatorului conform instrucțiunilor acestuia cel puțin în ceea ce
privește scopul operațiunii de prelucrare și elementele esențiale ale mijloacelor de
prelucrare (ex: Poșta Română, Clinica de medicină a muncii etc).

Operatori asociați – cei care stabilesc în comun scopurile și mijloacele de prelucrare, în

mod transparent, printr-un acord între ei sau care au această calitate întrucât
responsabilitățile lor sunt stabilite în legislația europeană sau în dreptul intern care le este
aplicabil (ex.: Organizația și instituțiile de credit cu privire la DCP din anumite baze de date).

Destinatar – entitatea (persoană fizică sau juridică, autoritate publică, alte organisme, etc.)
căreia îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte
terță.

Prelucrare de date cu caracter personal – orice operațiune asupra datelor personale (ex:
colectare, consultare, înregistrare, stocare etc.).

6
Responsabilitățile Operatorului

✓Inventarierea tuturor prelucrărilor de date personale realizate

de operator
✓Inventarierea tuturor aplicațiilor informatice și a bazelor de
date personale/sistemelor de evidență din cadrul organizației
✓(Re)Analizarea temeiului legal pentru fiecare prelucrare
realizată
✓Stabilirea exactă a scopului fiecărei prelucrări
✓Identificarea exactă a surselor de colectare a datelor

7
Responsabilitățile Operatorului

✓Analizarea necesității și proporționalității prelucrării

categoriilor de date/scop
✓Identificarea circuitului informațiilor personale între operator
și în exterior
✓Stabilirea/Revizuirea drepturilor utilizatorilor, instruirea
permanentă a acestora
✓Analizarea/Revizuirea condițiilor de realizare a prelucrării prin
persoane împuternicite

8
Responsabilul cu protecția datelor în ORGANIZAȚIE (RPD/DPO)*

• coordonează aplicarea măsurilor de protecție a DCP de

către departamentele unei organizații

• datele de contact ale RPD/înlocuitorului acestuia sunt

publicate pe pagina oficială/website-ul organizației cât și
pe intranet

• are în coordonare directă o echipă, formată din personal

specializat

9
Principalele atribuții ale RPD

Pregătirea și conștientizarea personalului

Informarea și consilierea pentru îndeplinirea obligațiilor operatorului în domeniul

PDCP

Gestionarea centralizată a corespondenței care vizează DCP

Avizarea prealabilă a documentelor care privesc DCP (materiale publice -

informări, contracte, modificări ale oricăror astfel de documente etc.)

Crearea, actualizarea și gestionarea Registrului operațiunilor de PDCP și a

Registrului incidentelor PDCP

Raportarea la ANSPDCP a încălcării securității datelor cu caracter personal apărute

la nivelul organizației/operatorului

Cooperarea, ca unic punct de contact, cu ANSPDCP și facilitarea accesului acesteia la

date și informații din domeniul PDCP existente la nivelul organizației

10
Cele 6 temeiuri juridice prevăzute de RGPD:
Obligația legală
(ex. L333/2003,
L307/2006, L319/2006)

Executarea unui
Interesul legitim contract
(DCP deținute de șefii
(CIM, contract prestări
ierarhici, etc.)
servicii etc.)

Protejarea Consimțământul
intereselor vitale ale persoanei vizate
persoanei vizate (recrutare)
(tranferul DCP către
echipajul de pe salvare)

Interesul public
(se aplică diferențiat)

11
Principiile legate de prelucrarea DCP care trebuie respectate
cumulativ:
Legalitate, -scopuri
echitate și determinate,
explicite și legitime
transparență -nu sunt prelucrate
ulterior în alt scop

Integritate și Limitare la
confidențialitate scop
-securitatea adecvată a
DCP, inclusiv protecția -limitarea DCP la
împotriva prelucrării ceea ce este
neautorizate sau ilegale necesar pentru
și împotriva pierderii, a îndeplinirea
distrugerii sau a scopurilor
deteriorării accidentale prelucrării
Limitări
Minimizarea
legate de
datelor
stocare
-DCP sunt păstrate pe o
perioadă care nu
depășește perioada
necesară îndeplinirii Exactitatea -DCP sunt corecte și
scopurilor în care sunt actualizate atunci
prelucrate
datelor când este necesar

12
Principii vs. Temeiuri juridice de prelucrare a DCP
Principiile Temeiurile juridice

Trebuie respectate simultan toate cele 6 Trebuie să existe cel puțin un temei juridic
principii de prelucrare a DCP în baza căruia să se prelucreze DCP

Consimțământul persoanei vizate trebuie

Nerespectarea unui singur principiu, poate
să constituie o ultimă opțiune în stabilirea
conduce la aplicarea de sancțiuni de către
temeiului juridic în baza căruia se realizează
ANSPDCP
prelucrarea DCP

Respectarea cumulativă a principiilor

Interesul legitim poate constitui temei
trebuie demonstrată de către operator cu
juridic doar dacă DCP nu sunt prelucrate în
documente (inclusiv cu informațiile
îndeplinirea atribuțiilor de autoritate
evidențiate în registrul operațiunilor de
publică a organizației
prelucrare)

13
Situațiile în care este necesară informarea persoanelor vizate
Accesul persoanelor la alte instituții care își desfășoară activitatea în sediul operatorului
(ANAF, Poșta Română, etc.)

Depuneri petiții

Supraveghere video

Depunere CV în vederea angajării

La completarea angajamentului de confidențialitate sau înaintea efectuării instructajului

PSI/SSM
Când se primesc DCP de alți operatori, precum instituțiile de credit care trimit liste cu
persoane care urmează să efectueze diferite operațiuni la sediul Operatorului

Participarea persoanelor vizate la conferințe, porți deschise, simpozioane, etc.

Alte situații

14
Realizarea informărilor persoanelor vizate

Sub forma afișelor (în cazul supravegherii video)

În format letric (petiții, cereri etc.)

În format electronic (corespondența sau serviciile oferite electronic,

etc.)

Prealabil schimbării scopului pentru care DCP au fost colectate.

Excepție: Situația în care nu se consideră că prelucrarea în alt scop
este incompatibilă cu scopurile inițiale (ex: arhivare în interes
public, în scopuri statistice, ori de cercetare științifică sau istorică).

15
Încălcarea securității DCP (Incidentul de securitate a DCP)

- duce în mod accidental sau ilegal la:

divulgarea accesul
distrugerea pierderea modificarea
neautorizată neautorizat

a/la DCP transmise, stocate sau prelucrate într-un alt mod.

16
 Momentul în care se află de producerea încălcării
securității DCP

Este susceptibil să
genereze un risc pentru
Da drepturile și libertățile Nu
persoanelor vizate
afectate?
RPD/înlocuitorul acestuia
notează încălcarea în
Registrul privind
Departamentele au obligația să informeze încălcarea securității DCP
RPD/înlocuitorul acestuia despre producerea încălcării
securității DCP în maxim 24 ore.
Da
Este încălcarea securității DCP un risc ridicat**?

RPD procedează la
Nu este necesară informarea persoanei vizate
nicio altă formalitate Nu afectate, fără întârzieri
nejustificate

17
 Master Securitatea Tehnologiei Informației - ATM
Securitatea sistemelor biometrice

Mulțumesc!

© viorel.rătescu@bnro.ro/+40722213124 decembrie 2018