Universitatea Nicolae Titulescu

Facultatea de Drept

GDPR

NOUL REGULAMENT PRIVIND

PROTECTIA DATELOR CU CARACTER
PERSONAL

-PROIECT PRACTICA-

Student: Rosu Cristina Ancuta

An IV, grupa: 1 , ID

Mai-2018
GDPR – Context
− În momentul de față, în România, prelucrarea datelor cu caracter personal și libera
circulație a acestor date este reglementată de Legea nr. 677/2001, cu modificările și
completările ulterioare și de Deciziile Autorității Naționale de Supraveghere a
Prelucrării Datelor cu Caracter Personal.

− Începând din 25 mai 2018, legislația românească în acest domeniu va fi înlocuită cu

noul Regulament General de Protecția Datelor (GDPR), publicat în data de
25.05.2016, alcătuit din:

 Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce

privește prelucrarea datelor cu caracter personal și privind libera circulație
a acestor date și care abrogă Directiva 95/46/CE (Regulamentul general
privind protecția datelor); și

 Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul

activităților specifice desfășurate de autoritățile de aplicare a legii.

− GDPR are scopul de a standardiza și armoniza reglementările privind protecția

datelor cu caracter personal din Uniunea Europeană.

− GDPR reprezintă o schimbare a modelului de conformitate în materie de

confidențialitate. Acesta va fi obligatoriu începând cu 25 mai 2018, când legislația
română în materia protecției datelor cu caracter personal ar trebui să fie abrogată
și înlocuită de GDPR. Cu toate acestea, statele membre vor putea să păstreze sau să
introducă prevederi naționale menite să detalieze modul de aplicare al GDPR,
inclusiv prevederi specifice anumitor domenii și prelucrării datelor sensibile.

− Includerea de noi obligații în sarcina operatorilor, noi drepturi ale persoanelor

vizate și noi condiții și instrumente de securitate determină companiile să se
adapteze și să își revizuiască politicile și procedurile de confidențialitate în vigoare.

− Aceste schimbări în materia protecției datelor cu caracter personal vor determina

companiile să implementeze o serie de măsuri juridice, tehnice și
organizaționale pentru a se adapta, ceea ce, in cele mai multe cazuri, va însemna
că acestea vor trebui să efectueze o analiză amănunțită a procedurilor privind
protecția datelor și posibil să își modifice modelul de business în acest scop.

PAGE 1
PRINCIPALE SCHIMBARI ADUSE

PRINCIPALUL IMPACT

PAGE 2
Noutati aduse de GDPR
1. DPO. Noua funcție la mare căutare
Instituțiile publice (cu excepția instanțelor de judecată), companiile a căror activitate
principală constă în operațiuni de prelucrare care necesită o monitorizare periodică și
sistematică pe scară largă a persoanelor vizate, precum și companiile care prelucrează, pe
scară largă, categorii speciale de date (originea rasială sau etnică, opiniile politice,
confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, date genetice,
date biometrice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală)
sau date referitoare la condamnări penale și infracțiuni, vor fi obligate să își angajeze un
responsabil cu protecția datelor personale (DPO - Data Protection Officer).

2. Drepturi noi pentru persoana vizată. Portabilitatea datelor personale

Pe lângă drepturile reglementate deja, persoanele vizate vor avea unele drepturi noi, între
care dreptul la portabilitatea datelor. Persoanele vor avea dreptul să primească (direct sau
prin intermediul unui alt operator indicat) datele lor într-un format structurat, utilizat în
mod curent și care poate fi citit automat - una dintre cele mai provocatoare noutăți pentru
întreprinderile digitale.

3. Reguli noi pentru consimțământ

Consimțământul pentru prelucrare, unul din posibilele temeiuri legitime, va avea un
regim mult mai restrictiv. Astfel, solicitarea acordului trebuie sa fie in formă inteligibilă și
ușor accesibilă, utilizând un limbaj clar și simplu; dacă sunt incluse mai multe aspecte,
solicitarea acordului trebuie clar diferențiată de celelalte aspecte; retragerea
consimțământului trebuie să poată fi făcută la fel de simplu cum a fost dat; și, mai ales, nu
este admisă condiționarea consimțământului (de exemplu, condiționarea prestării unui
serviciu sau livrării unui bun de acordul de prelucrare a datelor pentru marketing direct).

4. Transparenţă extinsă
Și în prezent prelucrarea datelor personale trebuie adusă la cunoștința persoanelor vizate,
însă regulile aplicabile potrivit GDPR impun o serie de elemente adiționale, cum ar fi cine
este responsabilul cu protecția datelor, care este temeiul prelucrării, dacă se recurge la
profilare, cât timp sunt ținute datele, etc.

5. În caz de neconformare amenzile sunt foarte mari

Nerespectarea GDPR poate atrage mai multe tipuri de sancțiuni, inclusiv amenzi de până
la 20 de milioane de euro sau 4% din cifra de afaceri globală, oricare dintre acestea este
mai mare. În plus, dacă au suferit un prejudiciu, persoanele vizate pot obține despăgubiri

PAGE 3
care să acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de
organisme colective.

Implicații GDPR
Pentru prelucrarea datelor personale este necesar acordul persoanei vizate sau
necesitatea de a derula un contract. Acest drept este limitat la datele cu caracter
personal furnizate de către persoana vizata.

Consumatorii vor putea:

 retrage consimțământul pentru prelucrarea datelor;

 solicita o copie a tuturor datelor lor;

 cere mutarea datelor lor la o altă entitate;

 opta pentru ștergerea informațiilor;

GDPR ajută operatorii de date să înțeleagă în mod clar obligațiile care le revin și
recomandă cele mai bune practici și instrumente care sprijină respectarea
dreptului la portabilitatea datelor. Pentru anumiți controlori sau procesatori de
date va fi obligatoriu să desemneze un ODP (ofițer de date personale).

OBLIGAȚIILE SOCIETĂȚILOR
Societățile vor fi obligate la transparență, în sensul că vor fi obligate să informeze
fiecare persoană ale cărei date sunt prelucrate. Orice comunicare a companiilor
despre procesările de date personale va trebui să respecte un limbaj simplu și clar,
care să poată fi înțeles cu usurință

Se impun reguli mai stricte și la obținerea consimțământului pentru procesarea

datelor: consimțământul va trebui să fie dat în mod clar și explicit, fără dubii. Dacă
acesta este dat într-o declarație scrisă care se referă și la alte aspecte (cum se
întâmplă de obicei în cazul băncilor), este posibil să fie considerat neclar în ceea ce
privește procesarea de date și, prin urmare, să nu poată fi folosit de societate.

Este esențială legitimitatea (consimțământ/ vârsta consimțământului, un interes

legitim), deciziile să fie bazate pe profile, transparență, limitarea scopului,
pseudonimizare.

Trebuie să asigure securitatea corespunzătoare a datelor și să instituie garanții

pentru transferurile de date transfrontaliere. În acest scop trebuie să implementeze
“Privacy by Default” și “Privacy by Design”.

PAGE 4
 Începând din 6 octombrie 2015, Safe Harbor nu mai este un temei juridic pentru
prelucrarea/ transferarea acestor date in SUA. De exemplu, Curtea de Justiție a
Uniunii Europene (CEJ) a decis: Comisarul pentru protecția datelor din Irlanda
este obligat să investigheze transferul de date Facebook din Irlanda în SUA. În
plus, instanța a considerat că decizia Comisiei UE “Safe Harbor” (Decizia
2000/520) a fost invalidă, făcând majoritatea transferurilor de date din UE către
SUA ilegală (Curtea de Justitie a Uniunii Europene, Hotararea din 6 octombrie
2015, Schrems vs Comisarul irlandez de protecție a datelor personale).

Există un mecanism nou pentru transferuri de date trans-atlantice, denumit “EU-

USA Privacy Shield”.

Societățile sunt obligate să notifice incidentele, prin notificarea agențiilor de

protecție a datelor și a consumatorilor, în cazul breșelor de securitate și, în
anumite cazuri să desemneze un Ofiter de Date Personale, responsabil cu protecția
datelor, care va avea atribuții specifice și va desfășura activități prin care se va
asigura aplicarea conformă a Regulamentului și respectarea datelor personale și
care va raporta către top management.

De asemenea, societățile vor trebui să elaboreze proceduri interne, coduri de

conduită, certificări și norme obligatorii care să se constituie în instrumente de
conformitate și responsabilitate eficiente și să definească ariile de risc, risc ridicat
și modul de evaluare a riscurilor.

DREPTURILE PERSOANELOR FIZICE

Persoanele fizice vor trebui să aibă controlul asupra datelor personale, în contextul
unei dezvoltari tehnologice fără precedent.

În acest scop, noul Regulament obligă companiile să garanteze următoarele

drepturi ale persoanelor fizice:

− acces mai facil la datele personale: societățile vor trebui să pună la

dispoziția persoanelor fizice informații suplimentare, într-un mod clar și
ușor de înțeles, cu privire la modul de procesare a datelor lor;

− dreptul la portabilitatea datelor: persoanele au dreptul de a primi datele

lor cu caracter personal într-un format structurat, utilizat în mod obișnuit
și standardizat și au dreptul de a transmite aceste date către un alt furnizor
de servicii;

− dreptul de a fi uitat: în cazul în care nu există existe motive legitime

pentru păstrarea datelor, indivizii au dreptul de a obține ștergerea datelor
cu caracter personal, fără întârzieri nejustificate;

PAGE 5
 − dreptul de a fi informat cu privire la încălcarea securității datelor cu caracter
personal, fără întârzieri nejustificate și cu drept de contestație.

AMENZI
− În cazul nerespectării Regulamentului, amenzile administrative sunt considerabile,
putând ajunge până la suma de 10 milioane euro sau 2% din cifra de afaceri
mondială anuală, luându-se în calcul

− valoarea cea mai mare (în funcție de natura, gravitatea și durata încălcării) sau, în
unele cazuri, chiar până la suma de 20 de milioane euro sau 4% din cifra de afaceri
mondială anuală, luându-se în calcul valoarea cea mai mare (ex. încălcarea
cerințelor referitoare la transferurile internaționale sau principiilor de bază pentru
prelucrare, cum ar fi condițiile de consimțământ).

− Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

va putea solicita înregistrări ale activităților de prelucrare și dovada măsurilor
adoptate pentru a se conforma cu GDPR, va putea impune interdicții temporare de
prelucrare a datelor, va putea cere notificări de încălcare a securității datelor, sau
va putea dispune ștergerea datelor cu caracter personal, sau suspenda transferurile
de date transfrontaliere.

CE TREBUIE FĂCUT?
Primul pas care trebuie luat în considerare este conformarea:

− societățile vor trebui să aducă prelucrările în derulare în conformitate cu

Regulamentul;

− identificarea obligațiilor legale care se aplică în cazul particular al societății și

necesitatea ca fiecare societate să își actualizeze procedurile și regulamentele în
consecință;

− implementarea de sisteme informatice integrate destinate stocării și prelucrării

datelor personale (ex., dacă o persoană părăsește societatea are dreptul ca, într-un
termen definit de 3 ani, să îi fie șterse toate datele asociate din sistemele informatice
ale societăților/ gupului).

PAGE 6
CONCLUZII
Toate companiile vor trebui să respecte noile reglementări GDPR, indiferent de mărime,
deoarece toate companiile colectează și prelucrează date despre angajați și despre clienți.

Cerințele de protejare și păstrare a datelor impuse de GDPR pot intra în coliziune cu alte
reglementări legale. De exemplu, un fost angajat ne poate cere să îi ștergem datele
personale și să îl uităm după 3 ani, dar datele legate de salarizare trebuie păstrate zeci de
ani.

Până la intrarea în vigoare a noii legislații europene mai avem aproape un an, dar numai
evaluarea necesităților de conformitate cu GDPR, și punerea la punct al unui plan de
acțiune, în funcție de dimensiunea companiei și complexitatea activității, poate dura de la
câteva zile la câteva săptămâni. Fără să mai luăm în calcul necesitatea de a bugeta
investițiile necesare pentru a asigura conformitatea și achiziționarea și implementarea
soluțiilor respective.

Amenzile sunt mari, putând ajunge la 4% din cifra de afaceri. Ignorarea GDPR nu credem
că poate fi opțiune, nici măcar în cazul companiilor mici, deoarece poate duce la blocarea
activității, ca să nu mai vorbim despre companiile medii și mari.

În funcție de dimensiunea companiei este posibil să fie necesar să numiți și să instruiți un

Ofițer de Date Personale.

Problematica este complexă și o rezolvare corectă ar trebui să implice o echipă

interdisciplinară, care să implice departamentele juridic, IT și de marketing, cu deplinul
concurs al top managementului.

PAGE 7