Documente Academic
Documente Profesional
Documente Cultură
Facultatea de Drept
GDPR
-PROIECT PRACTICA-
Mai-2018
GDPR – Context
− În momentul de față, în România, prelucrarea datelor cu caracter personal și libera
circulație a acestor date este reglementată de Legea nr. 677/2001, cu modificările și
completările ulterioare și de Deciziile Autorității Naționale de Supraveghere a
Prelucrării Datelor cu Caracter Personal.
PAGE 1
PRINCIPALE SCHIMBARI ADUSE
PRINCIPALUL IMPACT
PAGE 2
Noutati aduse de GDPR
1. DPO. Noua funcție la mare căutare
Instituțiile publice (cu excepția instanțelor de judecată), companiile a căror activitate
principală constă în operațiuni de prelucrare care necesită o monitorizare periodică și
sistematică pe scară largă a persoanelor vizate, precum și companiile care prelucrează, pe
scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice,
confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, date genetice,
date biometrice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală)
sau date referitoare la condamnări penale și infracțiuni, vor fi obligate să își angajeze un
responsabil cu protecția datelor personale (DPO - Data Protection Officer).
4. Transparenţă extinsă
Și în prezent prelucrarea datelor personale trebuie adusă la cunoștința persoanelor vizate,
însă regulile aplicabile potrivit GDPR impun o serie de elemente adiționale, cum ar fi cine
este responsabilul cu protecția datelor, care este temeiul prelucrării, dacă se recurge la
profilare, cât timp sunt ținute datele, etc.
PAGE 3
care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de
organisme colective.
Implicații GDPR
Pentru prelucrarea datelor personale este necesar acordul persoanei vizate sau
necesitatea de a derula un contract. Acest drept este limitat la datele cu caracter
personal furnizate de către persoana vizata.
GDPR ajută operatorii de date să înțeleagă în mod clar obligațiile care le revin și
recomandă cele mai bune practici și instrumente care sprijină respectarea
dreptului la portabilitatea datelor. Pentru anumiți controlori sau procesatori de
date va fi obligatoriu să desemneze un ODP (ofițer de date personale).
OBLIGAȚIILE SOCIETĂȚILOR
Societățile vor fi obligate la transparență, în sensul că vor fi obligate să informeze
fiecare persoană ale cărei date sunt prelucrate. Orice comunicare a companiilor
despre procesările de date personale va trebui să respecte un limbaj simplu și clar,
care să poată fi înțeles cu usurință
PAGE 4
Începând din 6 octombrie 2015, Safe Harbor nu mai este un temei juridic pentru
prelucrarea/ transferarea acestor date in SUA. De exemplu, Curtea de Justiție a
Uniunii Europene (CEJ) a decis: Comisarul pentru protecția datelor din Irlanda
este obligat să investigheze transferul de date Facebook din Irlanda în SUA. În
plus, instanța a considerat că decizia Comisiei UE “Safe Harbor” (Decizia
2000/520) a fost invalidă, făcând majoritatea transferurilor de date din UE către
SUA ilegală (Curtea de Justitie a Uniunii Europene, Hotararea din 6 octombrie
2015, Schrems vs Comisarul irlandez de protecție a datelor personale).
PAGE 5
− dreptul de a fi informat cu privire la încălcarea securității datelor cu caracter
personal, fără întârzieri nejustificate și cu drept de contestație.
AMENZI
− În cazul nerespectării Regulamentului, amenzile administrative sunt considerabile,
putând ajunge până la suma de 10 milioane euro sau 2% din cifra de afaceri
mondială anuală, luându-se în calcul
− valoarea cea mai mare (în funcție de natura, gravitatea și durata încălcării) sau, în
unele cazuri, chiar până la suma de 20 de milioane euro sau 4% din cifra de afaceri
mondială anuală, luându-se în calcul valoarea cea mai mare (ex. încălcarea
cerințelor referitoare la transferurile internaționale sau principiilor de bază pentru
prelucrare, cum ar fi condițiile de consimțământ).
CE TREBUIE FĂCUT?
Primul pas care trebuie luat în considerare este conformarea:
PAGE 6
CONCLUZII
Toate companiile vor trebui să respecte noile reglementări GDPR, indiferent de mărime,
deoarece toate companiile colectează și prelucrează date despre angajați și despre clienți.
Cerințele de protejare și păstrare a datelor impuse de GDPR pot intra în coliziune cu alte
reglementări legale. De exemplu, un fost angajat ne poate cere să îi ștergem datele
personale și să îl uităm după 3 ani, dar datele legate de salarizare trebuie păstrate zeci de
ani.
Până la intrarea în vigoare a noii legislații europene mai avem aproape un an, dar numai
evaluarea necesităților de conformitate cu GDPR, și punerea la punct al unui plan de
acțiune, în funcție de dimensiunea companiei și complexitatea activității, poate dura de la
câteva zile la câteva săptămâni. Fără să mai luăm în calcul necesitatea de a bugeta
investițiile necesare pentru a asigura conformitatea și achiziționarea și implementarea
soluțiilor respective.
Amenzile sunt mari, putând ajunge la 4% din cifra de afaceri. Ignorarea GDPR nu credem
că poate fi opțiune, nici măcar în cazul companiilor mici, deoarece poate duce la blocarea
activității, ca să nu mai vorbim despre companiile medii și mari.
PAGE 7