Documente Academic
Documente Profesional
Documente Cultură
1) Documente de referință
2.1.Prezentul Ghid este recomandat de Ordinul Arhitecților din România și are drept
scop explicitarea principalelor prevederi ale Regulamentului privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și
privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în
continuare „Regulamentul”, “GDPR”), pentru a facilita aplicarea acestora la nivelul
organelor profesiei și al formelor de exercitare a profesiei de arhitect.
2.2.Ghidul urmărește două scopuri fundamentale:
a) Să constituie un instrument de clarificare și interpretare a prevederilor
Regulamentului, particularizat la specificul profesiei de arhitect; și
b) Să propună o serie de bune practici menite să asigure aplicarea adecvată și unitară
a normelor care guvernează prelucrarea datelor cu caracter personal în activitatea
organelor profesiei și a formelor de exercitare a profesiei.
2.3.Întrucât în desfășurarea activității lor specifice, organele profesiei și formele de
exercitare a profesiei de arhitect prelucrează date cu caracter personal, Regulamentul
va fi incident și acestora. În atare situație, prelucrarea datelor cu caracter personal de
1
către organele profesiei și de către formele de exercitare a profesiei se va realiza cu
respectarea principiilor prevăzute în art. 5 din Regulament:
a) datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent;
b) datele cu caracter personal trebuie prelucrate pentru scopuri determinate, explicite
și legitime;
c) datele cu caracter personal trebuie să fie adecvate, relevante și neexcesive;
d) datele cu caracter personal trebuie să fie exacte și actualizate;
e) datele cu caracter personal trebuie să fie păstrate pe o perioadă care nu depășește
perioada necesară prelucrării pentru scopul identificat;
f) datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură
securitatea adecvată a acestora.
3.4 Date cu caracter personal - înseamnă orice informații privind o persoană fizică
identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o
persoană care poate fi identificată, direct sau indirect, în special prin referire la un
element de identificare, cum ar fi un nume, un număr de identificare, date de localizare,
un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii
sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
A)„Orice Informații”
Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter
personal cuprinde orice informaţie referitoare la o persoană. Acesta acoperă
informațiile „obiective”, precum prezența unei anumite substanțe în sângele unei
persoane. De asemenea, conceptul se poate referi la Informații „subiective”, sub
forma opiniilor sau evaluărilor.
2
Din punctul de vedere al conținutului informațiilor, conceptul de date cu
caracter personal cuprinde datele care furnizeaza orice fel de Informații, datele
personale putând fi împărțite în:
a. date cu caracter personal generale, precum nume și prenume, data și locul
nașterii, adresa, numărul de telefon, adresa de e-mail; date referitoare la contul
bancar;
b. date cu caracter personal cu caracter special: acele date care dezvăluie originea
rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile
filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date
biometrice pentru identificarea unică a unei persoane fizice, de date privind
sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei
persoane fizice;
c. date cu caracter personal referitoare la condamnări penale și infracțiuni.
Din punct de vedere al suportului sau formatului pe care sunt stocate
informațiile, datele cu caracter personal cuprind informațiile disponibile în orice
formă, indiferent că aceasta este, de exemplu, alfabetică, numerică, grafică,
fotografică sau acustică. Datele personale cuprind informațiile scrise pe hârtie,
precum și informațiile stocate în memoria unui calculator cu ajutorul unui cod
binar sau stocate, de exemplu, pe o casetă video.
Informațiile pot fi considerate că „privesc” o persoană atunci când acestea sunt despre
persoana respectivă. Informațiile se referă la o persoană atunci când acestea au în vedere
identitatea, caracteristicile sau comportamentul unei persoane sau atunci când asemenea
Informații sunt utilizate pentru a determina sau influența modul în care persoana
respectivă este tratată sau evaluată.
3
persoanei) pentru a preveni confuzia dintre persoana respectivă și posibili
omonimi.
În ceea ce privește persoanele „identificate indirect”, aceasta categorie de persoane
are legatură cu fenomenul „combinațiilor unice”, indiferent că acestea sunt mari
sau mici. Un exemplu de astfel de caracteristici care pot determina identificarea
fără dificultate a persoanei în cauza îl constituie elementele specifice, proprii identității
sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale (de exemplu
„actualul prim ministru al Spaniei”).
Gradul în care anumite informații sunt suficiente pentru a realiza identificarea
depinde de contextul situației specifice. Un nume de familie foarte obișnuit nu este
suficient pentru a identifica o persoană - cu alte cuvinte, pentru a individualiza pe
cineva - din ansamblul populației unei țări. În schimb, este posibil sa se realizeze
identificarea unui copil intr-o clasa de elevi.
3.5. Prelucrare de date cu caracter personal - înseamnă orice operațiune care se efectuează
asupra datelor cu caracter personal, prin mijloace automate sau neautomate în cadrul
unor operațiuni ori seturi de operațiuni, fără a fi limitate la acestea, cum ar fi colectarea,
înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la
dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau
distrugerea.
Colectarea presupune acțiunea de a strânge, a aduna, a primi date cu caracter
personal de la persoanele vizate prin intermediul filialelor si/sau
departamentul/departamentele de Resurse Umane din cadrul FEPARH ori al
altor structuri (servicii, birouri)..
Înregistrare presupune consemnarea datelor cu caracter personal într-un sistem
de evidențiere automată ori neautomată, care poate fi registru, fișier automat, baza
4
de date sau orice altă formă de evidență organizată, structurată ori ad-hoc sau într-
un text, înșiruire de date ori document, indiferent de modalitatea în care se înscriu
datele.
Organizarea presupune ordonarea, structurarea sau sistematizarea datelor cu
caracter personal, conform unor criterii prestabilite, potrivit atribuțiilor legale ale
operatorului, în scopul eficientizării/optimizării activităților de prelucrare a
acestora.
Stocarea presupune păstrarea pe orice fel de suport a datelor cu caracter personal
culese, inclusiv prin efectuarea unor copii de siguranță.
Adaptarea presupune transformarea datelor cu caracter personal colectate inițial,
conform criteriilor prestabilite și scopurilor pentru care au fost colectate.
Modificarea presupune actualizarea, completarea, schimbarea, corectarea ori
refacerea datelor cu caracter personal, in scopul menținerii caracteristicilor de
exactitate, realitate și actualitate;
Extragerea presupune scoaterea unei părți din categoria specifică de date cu
caracter personal, în scopul utilizării acesteia, separat și distinct de prelucrarea
inițială.
Consultarea presupune examinarea, vizualizarea, interogarea ori cercetarea
datelor cu caracter personal fără a fi limitate la acestea, în scopul efectuării unei
operațiuni sau set de operațiuni de prelucrare ulterioară.
Utilizarea presupune folosirea datelor cu caracter personal, în tot sau în parte, de
către și în interiorul operatorului, împuterniciților operatorului sau destinatarului,
după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau alte procedee
similare;
Dezvăluirea presupune acțiunea de a face disponibile datele cu caracter personal
către terți prin comunicare, transmitere, diseminare sau în orice alt mod;
Alăturare presupune acțiunea de a adăuga, alipirea sau anexarea unor date cu
caracter personal la cele deja existente, pe care nu le modifică;
Combinare presupune îmbinarea, unirea sau asamblarea unor date cu caracter
personal separate inițiale, într-o formă nouă, pe baza unor criterii prestabilite,
pentru scopuri anume determinate;
Restricționarea presupune limitarea accesului la datele cu caracter personal
pentru o perioada determinată, pentru scopuri anume determinate;
Ștergerea presupune eliminarea sau înlaturarea, în tot sau în parte, a datelor cu
caracter personal din evidențe sau înregistrări, prin implinirea termenului de
păstrare, la atingerea scopului pentru care au fost introduse, caducitatea,
inexistența ori inexactitatea acestora.
Transformarea presupune operațiunea efectuată asupra datelor cu caracter
personal având ca scop anonimizarea ori utilizarea în scopuri exclusiv statistice;
Distrugerea presupune aducerea la stare de neîntrebuințare, în condițiile legii,
definitivă și irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic
pe care au fost prelucrate date cu caracter personal.
5
Operatorul este persoana care decide cum și pentru ce sunt prelucrate datele cu caracter
personal, adica determină scopul și mijloacele prelucrării datelor.
Nu este considerată operator de date, persoana care prelucrează date cu caracter personal
în numele și pe seama unui operator și care nu determina individual care este scopul și
modul de prelucrare a datelor obținute, ci este considerată persoana împuternicită de
operator.
Persoana imputernicită de operator este persoana fizică sau juridică de drept privat ori
de drept public, inclusiv autoritățile publice, instituțiile si structurile teritoriale ale
acestora care prelucreaza date cu caracter personal pe seama operatorului.
3.7. Persoana vizată/persoanele vizate înseamnă orice persoană ale cărui date sunt
prelucrate, devenind astfel persoana fizică identificată sau identificabilă.
3.8. Destinatar înseamnă persoană fizică sau juridică, autoritatea publică, agenția sau alt
organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este
sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date
cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii
sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către
autoritățile publice respective respectă normele aplicabile în materie de protecție a
datelor, în conformitate cu scopurile prelucrării.
3.9. Parte terță înseamnă o persoana fizică sau juridică, autoritate publică, agenție sau
organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și
persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de
operator, sunt autorizate să prelucreze date cu caracter personal.
6
3.12. Reprezentant înseamnă o persoana fizică sau juridică stabilita în Uniune, desemnată
în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27
din GPDR, care reprezintă operatorul sau persoana împuternicită în ceea ce privește
obligațiile lor respective care le revin in temeiul GDPR.
3.14. DPO – înseamnă responsabilul cu protecția datelor (în limba engleză, data protection
officer);
3.15 DPIA - înseamnă evaluarea impactului asupra protecției datelor (în limba engleză –
data protection impact assessment, DPIA).
7
a) Stabilește arhitectul care vor fi persoanele vizate de prelucrare? (”Cine?”)
b) Stabilește arhitectul ce categorii de date vor fi prelucrate? (”Ce?”)
c) Stabilește arhitectul pentru ce scop se va realiza prelucrarea? (”Pentru ce?”)
d) Stabilește arhitectul cum se va realiza prelucrarea? (”Cum?”) – de pildă, cui
se dezvăluie datele cu caracter personal, pentru cât timp se rețin datele cu
caracter personal etc.
(2) În situația în care răspunsurile la întrebările de mai sus sunt majoritar ”DA”,
atunci arhitectul va acționa ca operator de date cu caracter personal, iar nu ca
persoană împuternicită de operator.
4.2 În cele mai multe cazuri arhitectul este operator, întrucât el este cel care stabilește care
sunt datele cu caracter personal de care are nevoie în vederea pregătirii proiectului
(”Ce?”) și cum vor fi utilizate aceste date pentru apărarea drepturilor și intereselor
legitime ale clientului său în fața autorităților publice(”Cum?”).
4.3 Chiar în situația în care între arhitectul prestează un serviciu pentru clientul său,
aceasta nu înseamnă în mod necesar că arhitectul este persoană împuternicită din
perspectiva Regulamentului.
Exemplu: Clientul dorește elaborarea unui proiect, iar pentru aceasta se adresează unui
arhitect. Clientul are reprezentarea serviciilor pe care le va presta arhitectul în fața
autorităților publice, transmite datele cu caracter personal arhitectului, deoarece arhitectul este
persoana care decide: 1. Ce date cu caracter personal solicită clientului; 2. Care dintre acestea
vor fi utilizate în cadrul procedurilor în fața autorităților publice (ex. Primărie) și 3. Cum vor
fi folosite datele transmise.
Prin urmare, de la momentul transmiterii de către client a datelor cu caracter personal către
arhitect, acesta exercită un control semnificativ în ceea ce privește modul în care le va prelucra,
chiar dacă prelucrarea se face pentru client, astfel încât arhitectul va acționa în calitate de
operator de date cu caracter personal.
4.4 Față de cele menționate, este nevoie ca, fie organele profesiei sau, după caz, fiecare
FEPARH să stabilească dacă, pentru fiecare prelucrare de date cu caracter personal,
se califică drept operator sau persoană împuternicită, determinarea urmand sa se
facă în concret, de la caz la caz, în funcție de rolul FEPARH în contextul fiecărei
prelucrări de date.
A) PREZENTARE GENERALĂ:
8
5.1 Regulamentul stabilește că prelucrarea datelor cu caracter personal se poate realiza
în mod legal numai dacă se bazează pe unul din temeiurile juridice prevăzute la art. 6
alin. (1) din Regulament, acestea fiind detaliate în cadrul Capitolului 5, respectiv:
9
(2) Conform art. 2 din Legea nr. 184/2001, republicată, cu modificările și completările
ulterioare, activitatea în domeniul arhitecturii este un act de cultură de interes public,
cu implicaţii urbanistice, economice, sociale şi ecologice. Prin urmare, activitatea
profesională a arhitectului servește astfel unui interes public. În acest caz, temeiul pe
baza căruia formele de exercitare a profesiei prelucrează datele cu caracter personal ar
putea fi cel prevăzut în art. 6 alin. (1) lit. e) din Regulament.
5.6 Pe de altă parte, temeiul sus-menționat (i.e. art. 6 alin. (1) lit. e) din Regulament) nu va
fi incident tuturor prelucrărilor realizate de formele de exercitare a profesiei de
arhitect. Spre pildă, datele cu caracter personal ale angajaților din birourile
asociate/societățile de proiectare nu sunt prelucrate în temeiul acestui articol, ci în
baza art. 6 alin. (1) lit. b), c) și/sau f) din Regulament, întrucât este vorba despre
derularea unor raporturi de muncă și transmiterea unor situații către autoritățile
publice ( ex: ANAF).
5.7 În privința consimțământului, acesta va putea fi utilizat ca și temei al prelucrării în
situația în care FEPARH nu are un alt temei al prelucrării.
5.8 În concluzie, fiecare FEPARH trebuie să analizeze, stabilească și să documenteze
temeiul legal care stă la baza prelucrării datelor cu caracter personal, în funcție de
particularitățile fiecărei prelucrări de date cu caracter personal.
B) DETALIERE:
Oferit in mod liber - Elementul „liber” implică o alegere reală și un control real
4.9.din partea persoanelor
Consimțământul vizate.
persoanei vizateCa regulă
( art. generala,
6 lit. a) în situația
din Regulament) în care
trebuie persoana
să fie:
vizată nu beneficiază de o alegere reala, se simte obligată sau va suferi consecințe
negative dacă nu exprimă consimțământul, consimțământul acesteia nu va fi unul
valabil exprimat. Dacă consimțământul este încadrat ca o parte ce nu poate fi
negociată în cadrul unor termeni și condiții, se prezumă că acesta nu este exprimat
în mod liber. Astfel, consimțământul nu va fi considerat ca fiind in mod liber
exprimat dacă persoana vizată se afla în imposibilitatea de a refuza sau a-l retrage
fără a suferi un prejudiciu.
10
termeni și conditii ori alte documente de informare și prezentare și (ii) in mod
specific pentru fiecare scop pentru care se face prelucrare pe acest temei juridic.
In cunoștință de cauză - Furnizarea de informații persoanelor vizate înainte de
obținerea consimțământului este esențială pentru a le permite să ia decizii in
cunoștință de cauză, să înțeleagă cu ce sunt de acord si, de exemplu, să își exercite
dreptul de a-și retrage consimțământul. Dacă operatorul/persoana imputernicită
nu furnizează informații accesibile, controlul pe care îl are persoana vizată devine
iluzoriu, iar consimțământul va fi un temei nevalabil pentru prelucrare.
Exprimare lipsita de ambiguitate a persoanei vizate prin care aceasta accepta,
printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter
personal care o privesc sa fie prelucrate. Consimțământul necesita o declaratie din
partea persoanei vizate sau un act afirmativ clar ceea ce inseamna ca trebuie sa fie
dat intotdeauna printr-o manifestare activa de vointa sau printr-o declaratie.
Trebuie sa fie evident ca persoană vizată si-a dat consimțământul pentru o
anumita prelucrare. Un „act afirmativ clar” inseamna ca persoană vizată trebuie
sa fi luat o actiune deliberata pentru consimtirea la aceea prelucrare specifica.
Consimțământul poate fi obtinut printr-o declaratie scrisa sau o declaratie orala
(inregistrata), inclusiv prin mijloace electronice. Acesta ar putea include bifarea
unei casute atunci când persoana viziteaza un site al arhitectului, alegerea
parametrilor tehnici pentru serviciile societatii informationale sau orice alta
declaratie sau actiune care indica in mod clar in acest context acceptarea de către
persoană vizată a prelucrării propuse a datelor sale cu caracter personal. Prin
urmare, absenta unui raspuns, casutele bifate in prealabil, absenta unei actiuni
sau simpla continuare a utilizarii unui serviciu nu constituie consimțământ.
5.10 Prelucrarea este necesară pentru executarea unui contract la care persoana
vizată
Elementul estecare
cheie parte sau pentru
justifica a face
utilizarea demersuri
acestui temeila cererea
juridic persoanei
este vizate
necesitatea înainte
incheierii sau
de încheierea unui contract (art. 6 lit. b) din Regulament)
executarii unui contract. In acest context, prelucrarea este legala dacă:
(1) Există un contract valabil, pentru a cărui executare este necesară prelucrarea de date
cu caracter personal; sau
(2) În fază pre-contractuală, la solicitarea persoanei vizate, este nevoie de prelucrarea
anumitor date cu caracter personal în vederea încheierii contractului.
Exemplul 1: Clientul solicită încheierea unui contract cu arhitectul pentru proiectarea unei case.
În aceste condiții, pentru încheierea contractului de prestări servicii, este nevoie de prelucrarea
anumitor date cu caracter personal în vederea încheierii contractului.
Exemplul 2: În cadrul contractelor individuale de muncă în cadrul birourilor individuale/societăți
de proiectare, arhitectul trebuie să prezinte datele cu caracter personal pentru a se efectua
formalitățile de angajare.
(3) În mod contrar, prelucrarea nu se poate baza pe temeiul încheierii /executării
contractului dacă:
a) Trebuie prelucrate datele unei persoane, alta decât cea cu care se încheie
contractul;
11
b) Inițiativa încheierii contractului aparține operatorului sau unei terțe persoane.
(4) Cerința necesității prelucrării pentru încheierea sau executarea unui contract nu
înseamnă întotdeauna ca prelucrarea este esențială în acest scop, totuși aceasta trebuie
să fie limitată la și proporțională cu scopul urmărit.
Exemplu: Prelucrarea de către arhitect a datelor de contact ale unui nou angajat sunt necesare
pentru încheierea contractului de muncă. Spre diferență, prelucrarea datelor privind parcursul
profesional/performanța angajatului (e.g. evaluări periodice) nu vor avea ca temei juridic
executarea contractului (nu este necesară derulării acestuia), ci eventual, un alt temei, interesul
legitim.
5.11 Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi
revine operatorului (art. 6 lit. c) din Regulament)
5.12 Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate
sau ale altei persoane fizice (art. 6 lit.d) din Regulament)
Exemplu: Un spital tratează un pacient după un accident rutier grav; spitalul nu are nevoie de
consimțământul acestuia pentru a-i cauta actul de identitate și a verifica dacă persoana respectivă
se află în baza sa de date, pentru a-i găsi fișa medicală sau a-i contacta rudele cele mai apropiate.
Apreciem ca, din perspectiva activității desfășurate de către arhitect, un astfel de temei
pentru prelucrarea datelor cu caracter personal nu poate fi utilizat.
5.13 Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui
interes public sau care rezultă din exercitarea autorității publice cu care este
investit operatorul (art. 6 lit. e) din Regulament).
5.14 Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau
de o parte terță. (art. 6 lit. f) din Regulament).
12
Interesul legitim este cel mai flexibil temei juridic de prelucrare a datelor cu caracter
personal și, de aceea, utilizarea sa trebuie calibrată în mod adecvat. În mod tipic, poate fi
folosit doar în cazurile în care prelucrarea are un impact minimal asupra persoanelor
vizate. Pentru o judicioasă întemeiere pe interesul legitim, prelucrarea datelor cu caracter
personal trebuie să îndeplinească trei tipuri de caracteristici:
a) Scopul legitim. Operatorul trebuie să urmărească un interes legitim, al sau ori al unui
terț. Interesul legitim poate fi un interes comercial, profesional sau un scop mai larg, de
exemplu un interes social.
b) Necesitatea prelucrării. Prelucrarea trebuie să fie proporțională și limitată pentru
atingerea interesului legitim urmărit. Dacă respectivul interes poate fi atins printr-o
prelucrare mai puțin intruzivă / cuprinzătoare, nu poate fi utilizat acest temei.
c) Raportarea la interesele persoanei vizate. Ca principiu, prelucrarea trebuie să fie previzibilă
pentru persoană vizată și să nu creeze un prejudiciu / inconvenient nenecesar persoanei
vizate. Important: nu intotdeauna interesele persoanei vizate trebuie aliniate cu cele ale
operatorului. Pot exista situații în care interesele operatorului pot prevala asupra celor
ale persoanei vizate în cadrul unei prelucrări legitime.
Exemplu: Prelucrările de date privind activitatea arhitecților și a personalului auxiliar printr-un
program de time-tracking a activităților profesionale executate, în scopul evaluării performanțelor
se pot întemeia, ca principiu, pe interesul legitim al FEPARH
13
6.2 Date referitoare la condamnari speciale si infractiuni
(1) Similar prelucrării categoriilor speciale de date, prelucrarea datelor referitoare la
condamnari penale si infractiuni presupune: (i) un temei juridic de prelucrare potrivit
Art. 6 din Regulament; si (ii) competenta legala (proprie autorităților publice) sau o
autorizare legala.
(2) În cazul de față, pot exista mai multe situații:
a) prelucrarea datelor referitoare la condamnări speciale și infracțiuni înscrise în cazierul
judiciar se prelucrează integrat la momentul acordării dreptului de semnatură, ca și dată
referitoare la îndeplinirea caracterului de onorabilitate a arhitectului, temeiul în acest caz
fiind dat de art. 6 lit. e) „prelucrarea este necesară pentru îndeplinirea unei sarcini care
servește unui interes public sau în exercitarea autorității publice cu care este investit
operatorul” din Regulament.
b)situația arhitectului care lucrează în sistemul public și în cazul căruia prelucrarea
datelor referitoare la condamnări speciale și infracțiuni înscrise în cazierul judiciar se
efectuează în virtutea legii.
c) în cadrul relației dintre client și arhitect, o astfel de prelucrare nu apare ca fiind
necesară.
d) în cadrul relației dintre biroul individual/societate de proiectare și arhitectul
angajat/colaborator/personal auxiliar, datele personale la condamnări speciale și
infracțiuni se prelucrează numai în măsura în care rezultă ca și condiție din lege.
Principiile aplicabile prelucrării datelor cu caracter personal de care arhitectul trebuie să țină
cont în desfășurarea activității sale sunt următoarele:
14
Exactitate Datele cu caracter personal vor fi exacte și,
în cazul în care este necesar, actualizate
Limitări legate de stocare Datele cu caracter personal vor fi păstrate
într-o formă care permite identificarea
persoanelor vizate pe o perioadă care nu
depașeste perioada necesară îndeplinirii
scopurilor în care sunt prelucrate datele
15
(2) În cazul FEPARH, cu titlu de exemplu cu privire la modalități de îndeplinire a
obligației de informare impuse de Regulament sunt: (i) notă de informare / politică de
confidențialitate inclusă în sau anexată la oferta la contractul de prestări servicii; (iii)
politica de confidențialitate pe website-ul FEPARH, dacă există; (iv) note de informare
privind prelucrarea datelor arhitecților colaboratori / salarizați și a personalului auxiliar.
16
obligată să furnizeze aceste date cu caracter personal și care sunt
eventualele consecințe ale nerespectării acestei obligații;
13. Existența unui proces decizional automatizat incluzând crearea Persoana vizată
de profiluri, precum și, cel puțin în cazurile prevăzute în Alte surse
Regulament, informații pertinente privind logica utilizată și
privind importanța și consecințele preconizate ale unei astfel de
prelucrări pentru persoana vizată.
14. Sursa din care provin datele cu caracter personal și, dacă este Persoana vizată
cazul, dacă acestea provin din surse disponibile public
7.4 (1) În cazul datelor cu caracter personal colectate direct de la persoană vizată,
informarea se face în momentul obținerii datelor.
(2) În cazul datelor cu caracter personal colectate din alte surse, informarea se face:
a) într-un termen rezonabil după obtinerea datelor cu caracter personal, dar nu mai mare
de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate datele cu
caracter personal;
b) dacă datele cu caracter personal urmeaza sa fie utilizate pentru comunicarea cu
persoană vizată, cel târziu in momentul primei comunicari către persoană vizată
respectiva; sau
c) dacă se intentioneaza divulgarea datelor cu caracter personal către un alt destinatar,
cel mai târziu la data la care acestea sunt divulgate pentru prima oară.
7.6 In plus, pentru cazul particular al prelucrărilor de date cu caracter personal obținute
din alte surse realizate de FEPARH, alte excepții de la obligatia de informare pot deveni
incidente:
a) furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi
disproporționate;
b) obținerea sau divulgarea datelor este prevazută în mod expres de dreptul Uniunii
sau de dreptul intern și care prevede măsuri adecvate pentru a proteja interesele
legitime ale persoanei vizate;
c) în cazul în care datele cu caracter personal trebuie să rămână confidențiale în
temeiul unei obligații statutare de secret profesional reglementate de dreptul
Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul.
17
7.7 Un element intrinsec al obligației de informare care revine operatorului este
documentarea îndeplinirii obligației de informare sub toate aspecte sale: (i) care a fost
forma și conținutul informării furnizate persoanei vizate; (ii) când a fost furnizată
informarea; (iii) dacă informarea nu a fost necesară, se va documenta motivul exceptării.
7.8 Dovada îndeplinirii obligației de informare, se poate face cu orice mijloc adecvat de
probă, în funcție de contextul concret, precum: (i) corespondența purtată cu clientul în
faza pre-contractuală pe baza ofertei de servicii (conținând nota de informare/politica de
confidențialitate); (ii) semnătură a clientului pe contractul de asistență juridică (conținând
nota de informare / politica de confidențialitate); (iii) semnătură a candidatului pe
formularul de aplicație (conținând nota de informare) pentru o poziție în cadrul
operatorului sau pe nota de informare privind prelucrarea datelor arhitecților
colaboratori / salarizați și a personalului auxiliar, etc.
18
8.6 În cazul în care se solicită accesul la datele cu caracter personal, soluționarea unei
astfel de solicitări presupune:
a) Confirmarea cu privire la operațiunea prelucrării de date (dacă se prelucrează sau
nu);
b) Informații cu privire la:
• Scopurile prelucrării
• Categoriile de date personale vizate
• Destinatarii cărora datele personale au fost sau vor fi divulgate (în special
destinatari din țări terțe sau organizații internaționale)
• Perioada de stocare a datelor personale (dacă este posibil)
• Existența dreptului la ștergere, rectificare sau restricționare precum si
dreptul de a se opune prelucrării
• Dreptul de a depune plângere in fata unei autorități de supraveghere
• Existența unui proces decizional automatizat, inclusiv crearea de profiluri
si informații privind logica utilizata si consecintele prelucrării.
c) Informații cu privire la garanțiile adecvate (când datele sunt transferate către o
țară terță sau o organizație internațională)
d) Copie a datelor care fac obiectul prelucrării. Pentru orice alte copii solicitate de
persoană vizată, se poate percepe o taxa rezonabila, bazata pe costurile administrative,
dacă este cazul. În cazul în care persoană vizată introduce cererea în format electronic și
cu excepția cazului în care persoană vizată solicita un alt format, informațiile sunt
furnizate într-un format electronic utilizat în mod curent.
19
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru
care au fost colectate sau prelucrate;
b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și
nu există alt temei juridic pentru prelucrare;
e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale
care revin operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența
căruia se află operatorul;
8.11 Ștergerea datelor nu este obligatorie în cazul în care prelucrarea este necesară:
20
protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes
public important al Uniunii sau al unui stat membru.
(2) Restricționarea prelucrării se aplică în următoarele cazuri:
d) persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică
dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
21
efectuate în temeiul intereselor legitime urmărite de FEPARH sau de o parte terță
a datelor cu caracter personal, inclusiv creării de profiluri.
b) fără motive și justificare, în cazul prelucrării datelor în scopuri de marketing direct
(ex. pentru promovarea serviciilor FEPARH).
(2) Arhitectul operator nu mai poate prelucra datele cu caracter personal în cazul
opunerii, cu excepția cazului în care demonstrează că are motive legitime și
imperioase care justifică prelucrarea și care prevaleaza asupra intereselor,
drepturilor și libertăților persoanei vizate sau scopul prelucrării este constatarea,
exercitarea sau apărarea unui drept in instanță.
9.1 (1)Soluționarea cererilor se va realiza fără întârzieri nejustificate, în termen de cel mult
1 lună de la data recepționării acestora.
(2) Perioada de soluționare a cererilor poate fi prelungită cu două luni atunci când este
necesar, ținându-se seama de complexitatea și numărul cererilor. În acest caz, persoana
vizată trebuie să fie informată cu privire la orice astfel de prelungire, în termen de o lună
de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată
22
introduce o cerere în format electronic, informațiile sunt furnizate în format electronic
acolo unde este posibil, cu excepția cazului în care persoană vizată solicită un alt format.
(3) Dacă nu se iau masuri cu privire la cererea persoanei vizate, persoană vizată este
informată, fără intarziere si in termen de cel mult o luna de la primirea cererii, cu privire
la motivele pentru care nu ia masuri si la posibilitatea de a depune o plângere in fata
autorității de supraveghere si de a introduce o cale de atac judiciară.
9.2 (1)Informațiile furnizate în temeiul solicitărilor persoanelor vizate în exercitarea
drepturilor specifice, orice comunicare și orice măsuri luate în temeiul acestora sunt
oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit
nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:
(a) fie să perceapă o taxa rezonabilă ținând cont de costurile administrative pentru
furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;
(b) fie să refuze să dea curs cererii.
(2) În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit
nefondat sau excesiv al cererii.
9.3 Este recomandabil ca arhitectul să păstreze evidențe clare a răspunsurilor date în
contextul cererilor persoanelor vizate de exercitare a drepturilor specifice în materie de
prelucrare a datelor cu caracter personal, atat când acționează ca operator cât si că
persoana împuternicită ( dacă este cazul), astfel:
a) arhitectul operator trebuie să aibă dovezi clare scrise (inclusiv conținând răspunsurile
și data transmiterii acestora) care să ateste îndeplinirea obligațiilor specifice în materie.
Astfel, arhitectul operator trebuie să păstreze solicitările primite din partea persoanelor
vizate împreună cu răspunsurile emise în vederea soluţionării acestora, inclusiv, acolo
unde este cazul, răspunsul de prelungire a termenului de răspuns după o lună.
b) arhitectul persoană împuternicită (dacă este cazul) trebuie să aibă dovezi scrise care să
facă dovada transmiterii în termen util a informațiilor solicitate de operator, respectiv a
conformarii cu măsurile dispuse de către operator în vederea soluţionării cererilor
formulate de persoanele vizate.
9.4 Este recomandat ca evidenţele păstrate de arhitect să fie în formă scrisă. Cu toate
acestea, în măsura în care persoana vizată formulează o asfel de cerere oral, este
admisibilă și păstrarea unor dovezi ale înregistrărilor care să ateste răspunsul acordat
unor asemenea solicitări.
9.5 În cazul în care există îndoieli întemeiate cu privire la identitatea persoanei fizice care
inaintează cererea pentru exercitarea drepturilor specifice, operatorul poate solicita
furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei
vizate.
9.6 In vederea asigurarii solutionarii cererilor formulate de personale vizate cu celeritate,
următoarele măsuri pot fi adoptate:
a) Realizarea unor modele strandard de formulare pentru exercitarea drepturilor de către
persoanele vizate;
b) Transmiterea răspunsurilor la solicitări să fie realizată prin mijloace electronice în acele
situaţii în care solicitările au fost înaintate prin astfel de mijloace de comunicare, dacă nu
s-a solicitat transmiterea răspunsului prin altă modalitate;
c) Desemnarea unei / unor persoane care să se ocupe de soluţionarea cererilor
persoanelor vizate şi care să răspundă în scris la asemenea solicitări;
23
d) Implementarea unor secțiuni specifice pentru exercitarea drepturilor persoanelor
vizate online, în special în cazurile în care colectarea datelor se realizează online;
e) Pentru formele de exercitare cu personal numeros, implementarea la nivel intern a unei
proceduri specifice ce trebuie urmată în cazul primirii unor astfel de cereri, inclusiv cu
principiile de avut in vedere în contextul conceperii răspunsurilor la cererile specifice.
10.1 Evidența mentinută de operator și, după caz, de reprezentanții acestuia trebuie să
cuprindă următoarele informații:
(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale
reprezentantului operatorului și ale responsabilului cu protecția datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter
personal;
(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter
personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
(e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o
organizație internatională;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor
categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
securitate.
24
10.2 Fiecare operator și, după caz, persoana împuternicită de operator păstrează o
evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele
operatorului, care cuprind:
(a) numele si datele de contact ale persoanei sau persoanelor împuternicite de operator și
ale fiecarui operator în numele căruia acționează această persoană (aceste persoane),
precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator,
după caz;
(b) categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
(c) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o
organizație internațională;
(d) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
securitate.
25
11.2 Când este obligatoriu ca FEPARH să numească un DPO:
26
iii. „sistematic” înseamnă una sau mai multe din următoarele: aparut conform
sistemului; prearanjat, organizat sau metodic; luand loc ca parte a unui plan
general de colectare a datelor; efectuat ca parte a unei strategii;
11.6 Fiecare FEPARH trebuie să evalueze necesitatea sau oportunitatea numirii unui
DPO, prin raportare la dimensiunea sa, modul de organizare, tipurile de prelucrări de
date cu caracter personal, volumul și varietatea acestora, durata prelucrării și stocării de
date, aria geografică acoperită.
11.7 În luarea deciziei, FEPARH poate avea următoarele elemente de orientare:
a) Formele individuale de exercitare a profesiei (birou individual, birouri mici
asociate, chiar societăți de proiectare cu număr mic de arhitecți), în
principiu, nu vor trebui să numească un DPO.
b) Formele mai complexe de exercitare a profesiei (formate dintr-un număr
semnificativ de arhitecți -asociați, colaboratori, salarizați în interiorul
profesiei-, departamente auxiliare, IT, contabilitate, marketing) sunt
susceptibile a intra sub incidența obligației de a numi un DPO.
c) În mod tipic, FEPARH nu realizează monitorizări periodice și sistematice.
Prin urmare, ca principiu, numirea unui DPO va fi necesară în cadru unei
FEPARH care (i) prelucrează pe scară largă (ii) categorii speciale de date.
d) Chiar dacă FEPARH ajunge la concluzia că nu este necesară numirea unui
DPO, recomandarea de bună-practică făcută de Grupul 29 este numirea
voluntară a acestuia.
12) Principalele sarcini ale unui DPO
27
în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea
responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului
implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
(c) furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului
asupra protecţiei datelor şi monitorizarea funcţionării acesteia;
(d) cooperarea cu autoritatea de supraveghere;
(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere
privind aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum
şi, dacă este cazul, consultarea cu privire la orice altă chestiune.
13.3 (1)
13.3 (1) DPIA
DPIA este
este necesara
necesara atunci
atunci când
când oo operațiune de prelucrare
operațiune de prelucrare „este
„este susceptibilă
susceptibilă sa
sa genereze
genereze un
un
risc ridicat pentru drepturile și libertatile persoanelor fizice” . Ca exemplu, prelucrarea pe scară largă a
risc ridicat pentru drepturile și libertatile persoanelor fizice” . Ca exemplu, prelucrarea pe scară largăa
datelor privind starea de sanatate este considerata ca fiind susceptibilă să genereze un risc ridicat și
datelor privind starea de sanatate este considerata ca fiind susceptibilă să genereze un risc ridicat și
necesită oo DPIA.
necesită DPIA.
(2) Atunci este responsabilitatea operatorului de date să evalueze riscurile pentru drepturile și libertățile
(2) Atunci este responsabilitatea operatorului de date să evalueze riscurile pentru drepturile și libertățile
persoanelor vizate și să identifice măsurile prevăzute pentru a reduce aceste riscuri la un nivel
persoanelor vizate și să identifice măsurile prevăzute pentru a reduce aceste riscuri la un nivel
acceptabil și pentru a demonstra conformitatea cu GDPR. Un exemplu ar putea fi utilizarea unor măsuri
acceptabil și pentru a demonstra conformitatea cu GDPR. Un exemplu ar putea fi utilizarea unor măsuri
de securitate tehnice și organizaționale adecvate (criptarea eficientă a discului complet, gestionarea
de securitate tehnice și organizaționale adecvate (criptarea eficientă a discului complet, gestionarea
robustă a cheilor, controlul adecvat al accesului, copiile securizate etc.) pe lângă politicile existente
robustă a cheilor, controlul adecvat al accesului, copiile securizate etc.) pe lângă politicile existente
(notificarea, consimțământul, dreptul de acces, dreptul de a se opune etc.) pentru stocarea datelor cu
(notificarea, consimțământul, dreptul de acces, dreptul de a se opune etc.) pentru stocarea datelor cu
caracter personal pe computerele portabile.
caracter personal pe computerele portabile.
28
14.1 Operatorul și persoana împuternicită de acesta, dacă există, trebuie să implementeze
măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător acestui risc, incluzând printre altele, după caz:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența
continue ale sistemelor și serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la
acestea în timp util în cazul în care are loc un incident de natura fizică sau tehnică;
d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor
tehnice și organizatorice pentru a garanta securitatea prelucrării.
14.2 (1) Este necesar să se stabilească dacă au fost implementate toate măsurile
tehnologice de protecție și organizatorice corespunzătoare în scopul de a se stabili
imediat dacă s-a produs o încalcare a securității datelor cu caracter personal și de a se
informa cu promptitudine autoritatea de supraveghere și persoană vizată.
(2) Există diferite exemple de încălcări ale securității datelor: atacuri informatice tip
ransomware, pierderea cheii de criptare a datelor, nefunctionarea sistemelor informatice,
pierderea unor documente, transmiterea unei corespondente la adresa gresita etc.).
(3) Încălcările de securitate pot avea cauze diferite: de la nefuncționarea sau funcționarea
necorespunzătoare a sistemelor informatice până la erori umane.
(4) Este foarte important ca operatorul să se asigure ca indiferent de cauza acesteia și
forma în care se manifestă, apariția unei breșe de securitate este identificată imediat și
adusă în mod corespunzător la cunoștința persoanelor competente să implementeze
măsurile care se impun.
(5) Pentru gestionarea incidentelor de securitate, FEPARH va desemna una sau mai multe
echipe, pentru fiecare instituție ori departament în parte, dacă este cazul, care va acționa
pentru gestionarea rapidă și eficientă a incidentelor de securitate a datelor cu caracter
personal.
14.3 În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul
are obligația de a notifica acest lucru autorității de supraveghere, fara intarzieri
nejustificate si, dacă este posibil, in termen de cel mult 72 de ore de la data la care a luat
cunostinta de aceasta, cu exceptia cazului in care este susceptibila sa genereze un risc
pentru drepturile si libertatile persoanelor fizice.
14.4 Notificarea trimisa autorității de supraveghere conține cel puțin:
(a) descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo
unde este posibil, categoriile si numarul aproximativ al persoanelor vizate în cauză,
precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter
personal în cauză;
(b) comunică numele și datele de contact ale responsabilului cu protecția datelor sau un
alt punct de contact de unde se pot obține mai multe informații;
(c) descrie consecințele probabile ale încălcării securității datelor cu caracter personal;
(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia
problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile
pentru atenuarea eventualelor sale efecte negative.
29
14.5 Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același
timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
14.6 În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să
genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul
informează persoana vizată fără întârzieri nejustificate cu privire la aceasta încălcare.
14.7 (1) Informarea persoanei vizate nu este necesară în cazul în care oricare dintre
următoarele condiții este îndeplinită:
(a) operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar
aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea
securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu
caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le
acceseze, cum ar fi criptarea;
(b) operatorul a luat măsuri ulterioare prin care se asigură ca riscul ridicat pentru
drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
(c) ar necesita un efort disproporționat. În această situație, se efectuează pe loc o
informare publică sau se ia o masură similară prin care persoanele vizate sunt informate
într-un mod la fel de eficace.
(2) Regulamentul nu prescrie un anume formalism pentru informarea persoanelor vizate.
Dacă circumstanțele concrete nu reclamă o alta abordare, informarea se va face printr-o
comunicare adresata direct persoanei vizate, printr-un mijloc de comunicare
corespunzator (poștă electronică).
14.8 Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității
datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc
încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de
remediere întreprinse.
15.1 Potrivit principiului limitării legate de stocare, datele cu caracter personal trebuie să
fie păstrate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în
care sunt prelucrate datele.
15.2 Regulamentul UE 2016/679 nu stabilește o perioada standard de stocare a datelor cu
caracter personal și nici reguli cu privire la stabilirea acesteia de către operatori. Revine
așadar fiecărei FEPARH sarcina să stabilească perioadele de stocare a datelor cu caracter
personal prelucrate. Ghidul oferă în paragrafele care urmează o serie de criterii care
trebuie avute în vedere la stabilirea prelucrării duratelor de stocare a datelor cu caracter
personal prelucrate în contextul activității profesionale a arhitectului.
15.3 În vederea determinarii perioadei de stocare a datelor arhitectul trebuie să păstreze
un echilibru între nevoia sa de a păstra datele cu caracter personal și drepturile și
interesele legitime ale persoanelor vizate.
30
15.4 În acest context, pentru respectarea principiului limitării stocării datelor cu caracter
personal, formele de exercitare vor avea în vedere 2 mecanisme specifice, implementate
la nivel intern astfel:
politică de arhivare, care reglementează modalitatea în care datele cu caracter
personal care nu sunt prelucrate în activitatea curentă, dar pentru reținerea
cărora există o justificare, sunt arhivate şi care să asigure securitatea datelor.
Aveastă politică are rolul de a asigura un flux corespunzător al dosarelor sau
lucrărilor inactive și al datelor cu caracter personal din aceste dosare/lucrări.
Astfel, un dosar/lucrare devine inactiv/inactivă atunci când pentru forma de
exercitare este evident că în cauza respectivă se vor face demersuri într-un
orizont de timp evaluabil.
politică de ștergere, care reglementează modalitatea de revizuire a datelor cu
caracter personal prelucrate și, după caz, ştergerea sau anonimizarea acelor
date cu caracter personal pentru care nu mai subzistă necesitate păstrarii.
Această politică urmăreşte uşurarea gestionării datelor cu caracter personal
prin stabilirea perioadei de stocare și procedura ce urmează a fi aplicată după
expirarea acestei perioade – ștergerea definitivă sau, după caz, anonimizarea
datelor cu caracter personal. La stabilirea perioadelor de stocare, FEPARH va
avea în vedere în primul rând prevederile din legislația privind organizarea și
exercitarea profesiei de arhitect, dacă există, și din actele emise de organele
profesiei și legislația în materie de arhivare.
16.1 Transferul de date cu caracter personal către o țară terță sau o organizație
internațională se poate realiza atunci când :
I. Comisia a decis ca țară terță, un teritoriu ori unul sau mai multe sectoare
specificate din acea țară terță sau organizația internaționala în cauză asigură un
nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesita
autorizari speciale”. Decizia Comisiei în acest sens este obligatorie pentru toate
statele membre UE.
II. In absența unei decizii a Comisiei care să constate asigurarea unui nivel adecvat
de protecție, datele cu caracter personal pot fi transferate către state terțe sau
organizații internaționaledoar dacă (i) operatorul sau persoana împuternicită de
operator a oferit garanții adecvate si (ii) cu conditia sa existe drepturi opozabile si
cai de atac eficiente pentru persoanele vizate.
Aceste garanții adecvate pot fi furnizate fără să fie nevoie de nicio autorizație
specifică din partea unei autorități de supraveghere, prin:
31
a) un instrument obligatoriu din punct de vedere juridic și executoriu între
autoritățile sau organismele publice;
b) reguli corporatiste obligatorii în conformitate cu articolul 47 din Regulament;
c) clauze standard de protecție a datelor adoptate de Comisie în conformitate cu
procedura de examinare menționată la articolul 93 alineatul (2) din Regulament;
d) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere
si aprobate de Comisie în conformitate cu procedura de examinare menționată la
articolul 93 alineatul (2) din Regulament;
e) un cod de conduită aprobat în conformitate cu articolul 40 din Regulament,
însotit de un angajament obligatoriu și executoriu din partea operatorului sau a
persoanei imputernicite de operator din țară terță de a aplica garanții adecvate,
inclusiv cu privire la drepturile persoanelor vizate;
f) un mecanism de certificare aprobat în conformitate cu articolul 42 din
Regulament, însotit de un angajament obligatoriu și executoriu din partea
operatorului sau a persoanei împuternicite de operator din țară terță de a aplica
garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate.
32
IV. În cazul în care un transfer nu ar putea să se intemeieze pe niciunul dintre
temeiurile prezentate anterior inclusiv dispoziții privind reguli corporatiste
obligatorii, si nu este aplicabilă niciuna dintre derogările pentru situații specifice,
un transfer către o țară terță sau o organizație internațională poate avea loc numai
în cazul în care:
a) transferul nu este repetitiv;
b) se referă doar la un număr limitat de persoane vizate;
c) este necesar în scopul realizării intereselor legitime majore urmărite de operator
asupra căruia nu prevalează interesele sau drepturile și libertățile persoanei
vizate;
d) operatorul a evaluat toate circumstanțele aferente transferului de date și, pe baza
acestei evaluări, a prezentat garanții corespunzatoare în ceea ce privește protecția
datelor cu caracter personal.
33