Operator – persoana fizica sau juridica , autoritate

Persoana fizica in calitate de
salariat/client, comunica datele
personale –explicatii 1
publica , agentia sau alt organism care , singur sau
impreuna cu altele , stabileste scopurile si mijloacele de
prelucrare a datelor cu caracter personal –art.4 pct.7
RGPD)- operator este cel pentru care se realizeaza
prelucrarea datelor , chiar daca operatorul nu realizeaza el
insusi nicio prelucrare

Responsabil DPO- explicatii 2 Fara responsabil DPO-explicatii 3

Salariat –explicatii 4 Persoana juridica-

explicatii 5

Prelucrare date personale –explicatii 6

Salariatii proprii din Imputerniciti –explicatii 8 Operator asociat –

serviciul comercial, explicatii 9
administrative, financiar-
contabil- explicatii 7

Regulament protectectia datelor personale –explicatii 10

 Explicatii :
1).Persoana fizica -comunica datele personale care pot fi :
Exemple de date cu caracter personal:

 un nume și prenume;
 o adresă de domiciliu;

 o adresă de e-mail, cum ar fi prenume.nume@societate.com;

 un număr de act de identitate;(seria si numarul)

 numarul pasaportului , al permisului de conducere

 numarul de asigurare sociala sau de sanatate

 codul numeric personal reprezinta un numar semnificativ care

individualizeaza in mod unic o persoana fizica , constituind un
instrument de verificare a starii civile a acesteia si de identificare in
anumite sisteme informatice de catre persoanele autorizate.

 date privind locația (de exemplu, funcția de date privind locația

disponibilă pe un telefon mobil)*;

 o adresă de protocol de internet (IP);

 un identificator de modul cookie*;

 identificatorul de publicitate al telefonului dvs.;

 date deținute de către un spital sau un medic, care ar putea fi un simbol ce

identifică în mod unic o persoană.

Exemple date sensibile :

-date cu caracter personal legate de originea rasiala sau etnica , de convingerile

politice, religioase , filozofice ori de natura similara, de apartenenta sindicala sa
starea de sanatate si viata sexuala (ex.:sondaje si cercetare de piata , colectare
donatii pentru persoane cu dizabilitati )
- date genetice si biometrice (ex:cercetare stiintifica )
-datele care permit , direct sau indirect , localizarea geografica a persoanelor
fizice prin mijloace de comunicatii electronice (ex: monitorizarea /securitatea
persoanelor si/sau bunurilor publice /private prin utilizarea GPS-ului )
-datele cu caracter personal referitoare la savarsirea de infractiuni de catre
persoana vizata ori la condamnari penale , masuri de siguranta sau sanctiuni
administrative ori contraventionale aplicate persoanelor vizate , efectuata de
catre entitati de drept privat (ex sisteme de evidenta de tipul birourilor de credit )
-date cu cartacter personal prin mijloace electronice , avand ca scop
monitorizarea si/sau evaluarea unor aspecte de personalitate , precum
competenta profesionala , credibilitatea , comportamentul sau alte asemenea
(ex:crearea si utilizarea de profiluri ale persoanelor vizate in vederea transmiterii
unor newsletteruri, monitorizarea activitatii angajatilor pe internet , semnalarea
incalcarii codurilor de conduita in mediul privat – whistleblowing)
-date cu caracter personal prin mijloace electronice in cadrul unor sisteme de
evidenta avand ca scop adoptarea unor decizii automate individuale in legatura
cu analizarea solvabilitatii , a situatiei economico –financiare , a faptelor
susceptibile de a atrage raspunderea disciplinara , contraventionala sau penala a
persoanelor fizice , de catre entitati de drept privat (ex: rapoarte de credit )
-date cu caracter personal ale minorilor efectuata in cadrul activitatilor de
marketing direct
-date cu caracter personal ale minorilor efectuata prin intermediul internetului
sau al mesageriei electronice (ex: publicarea rezultatelor la diferite concursuri
scolare si extrascolare , catalogul on-line , publicare imagini din cadrul
activitatilor extrascolare –tabere )
-date cu caracter personal , de la prima liniuta, referitoare la proprii membrii ,
efectuata de asociatii , fundatii sau orice alte organizatii fara scop patrimonial
exclusiv in vederea realizarii specificului activitatii organizatiei

Exemple de date considerate ca neavând caracter personal:

 codul de înregistrare al unei societăți;
 o adresă de e-mail, cum ar fi info@societate.com;

 datele anonimizate.

2) Responsabil DPO – responsabilul cu protectia datelor

Desemnarea este obligatorie in urmatoarele situatii (art.37(1) din RGPD in trei

situatii specifice :
a) atunci cand prelucrarea este efectuata de o autoritate publica sau un
organism public(cu exceptia instantelor care actioneaza in exercitiul
functiei )
„autoritate publica sau organism public”- includ autoritatile nationale ,
regionale si locale .
b) atunci cand activitatile principale ale operatorului sau ale persoanei
imputernicite de operator constau in operatiuni de prelucrarea care necita
 o monitorizare periodica si sistematica a persoanelor vizate pe scara larga
„activitati principale „- se refera la activitatile de baza si nu la prelucrarea
datelor cu caracter personal drept activitati auxiliare, pot fi considerate ca
operatiuni cheie necesare pentru indeplinirea obiectivelor operatorului sau
persoanei imputernicite de operator.
„pe scara larga „- urmatorii factori sa fie luati in considerare atunci cans
se stabileste daca prelucrarea este efectuata pe o scara larga : numerul
persoanelor vizate –ori un numar exact ori un procent din populatia
relevanta; volumul datelor /si /sau gama de elemente diferite de date in
curs de prelucrare ;durata sau permanenta activitatii de prelucrare a
datelor ;suprafata geografica a activitatii de prelucrare(ex de prelucrari pe
scara larga : prelucrarea datelor pacientilor in activitatea regulata a unui
spital, prelucrarea datelor (continut, trafic, localizare ) de catre furnizorii
de telefonie sau servicii de internet . Nu constituie prelucrari pe scara
larga : prelucrarea datelor pacientului de catre un medic individual,
prelucrarea datelor personale referitoare lacondamnarile penale si
infractiuni de catre un avocat individual )
„monitorizare periodica si sistematica „- include in mod clar toate
formele de urmarire si profilarea pe internet , inclusiv in scop de
publicitate comportamentala (Considerentul 24/15).”Periodic”- una sau
mai multe din urmatoarele : in curs de desfasurare sau care apare la
anumite intervale intr-o anumita perioada , recurente sau repetate la
perioade fixe , constante sau care au loc periodic . „Sistematic „ –una sau
mai multe din urmatoarele : aparut conform sistemului, prearanjat ,
organizat sau metodic luand loc ca parte a unui plan general de colectare
a datelor;efectuat ca parte a unei strategii.(ex.e-mail de directionare
repetata , urmarirea locatiei prin aplicatii mobile , programe de loialitate,
publicitate comportamentala )
c) atunci cand activitatile principale ale operatorului sau ale persoanei
imputernicite de operator constau in prelucrarea pe scara larga a unor
categorii speciale de date sau a unor categorii de date cu caracter personal
privind condamnari penale si infractiuni.
„Categorii speciale „-se refera la prelucrarea cu privire la originea rasiala,
etnica, opiniile politice , confesiunea religioasa sau convingerile filozofice
, date genetice , date biometrice –art.9 din RGDP.
„caracter personal privind condamnari penale si infractiuni „ –art.10 din
RGDP – numai sub controlul unei autoritati de stat
3.Fara responsabil DPO (nu este necesar )
- atunci cand nu se prelucreaza pe scara larga date cu caracter personal , spre
exemplu : prelucrarea datelor pacientului de catre un cabinet medical individual,
prelucrarea datelor personale referitoare la condamnarile penale si infractiuni de
catre un cabinet individual de avuocatura
-consimtamantul persianei ale carei date se prelucreaza NU este cerut in
urmatoarele cazuri :
a) cand prelucrarea este necesara in vederea executarii unui contract sau
antecontract la care persoana vizata este parte ori in vederea luarii unor masuri ,
la cererea acesteia , inaintea incheierii unui contract sau antecontract
b) cand prelucrarea este necesara in vederea protejarii vietii , integritatii fizice
sau sanatatii persoanei avizate ori a unei alte persoane amenintate
c) cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a
operatorului
d) cand prelucrarea este necesara in vederea aducerii la indeplinire a unor masuri
de interes public sau tertul caruia ii sunt dezvaluite datele
e) cand prelucrarea este necesara in vederea realizarii unui interes legitim al
operatorului sau al tertului caruia ii sunt dezvaluite datele, cu conditia ca acest
interes sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale
persoanei vizate
f) cand prelucrarea priveste date obtinute din documente accesibile publicului,
conform legii
g)cand prelucrarea este facuta exclusiv in scopuri statistice , de cercetare istorica
sau stiintifica , iar datele raman anonime pe toata durata prelucrarii.
- de retinut – desi in unele cazuri nu este necesara desemnarea unui responsabil
cu protectia datelor , Autoritatea de Supraveghere recomanda numirea unei
astfel de persoane , intrucat este utila operatorului pentru respectarea obligatiilor
in domeniul protectiei datelor cu caracter personal.

4.Salariat responsabil DPO

- din punct de vedere organizational , functia de DPO ar trebui sa se reflecte in
organigrama societatii , fie prin actualizareaacesteia – crearea unui nou post , fie
prin completarea cu atributiile specifice a unui post deja existent.
- este desemnat pe baza calitatilor profesionale si in special , a cunostiintelor de
specialitate in dreptul si practicile in domeniul protectiei datelor , precum si pe
baza capacitatii de a indeplini sarcinilie prevazute la art.39 din RGPD .
- cod COR (ocupational )- 242231- responsabil cu protectia datelor cu caracter
personal
- act aditional la CIM (cumul functii ) sau contract individual de munca (CIM)
- fisa postului (anexa nr.1- model orientativ )
-cerinte speciale de exercitare a ocupatiei : vechime in munca minimum 1 an ,
stuudii superioare absolvite cu diploma de licenta si curs de specializare
/perfectionare absolvit cu certificat care sa ateste competentele formate ,
cunoasterea aprofundata a legislatiei, abilitati de comunicare, responsabilitate ,
capacitate de analiza sinteza, capacitate de a asigura confidentialitatea datelor la
care are acces
-la cumul de funcii , conditia este sa nu dea nastere unor conflicte de interese (de
ex.nu poate fi director executiv, director operational , director financiar , seful
serviciului medical , seful departamentului de marketing , seful departamentului
de resurse umane sau seful departamentului IT )
- responsabilul DPO nu poate fi demis sau sanctionat de operator sau persoana
imputernicita de operator pentru indeplinirea sarcinilor sale.(de ex nu poate fi
demis pentru oferirea unui sfat conform sarcinilor sale.)
-decizie numire responsabil DPO (anexa nr.2- model orientativ )
5.Persoana juridica DPO :

-conform art.37 alin.6 din RGPD „Responsabilul cu protectia datelor poate fi un

membru al personalului operatorului sau persoanei imputernicite de operator sau
poate sa-si indeplineasca sarcinile in baza unui contract de servicii”
-cod CAEN pentru responsabil DPO persoana juridica – 6311- prelucrarea
datelor , administrarea paginilor web si activitati conexe
-operatorul trebuie sa se asigure ca niciuna dintre aceste sarcini si atributiile
acestuia nu genereaza un conflict de interese (responsabilul cu protectia datelor
nu primeste niciun fel de instructiuni in ceea ce priveste indeplinirea acestor
sarcini din partea operatorului sau a unei persoane imputernicite, nu este demis
sau sanctionat de catre operator pentru indeplinirea sarcinilor sale , raspunde
direct in fata celui mai inalt nivel al conducerii operatorului sau persoanei
imputernicite de operator)
- un grup de societati poate numi un singur responsabil cu protectia datelor, atata
timp cat responsabilul respectiv este usor accesibil de catre fiecare intreprindere
ce face parte din grup
-se intocmeste un contract in forma scrisa(in baza codului civil ) , in care
sarcinile sunt clare –art.39 din RGPD

6. Prelucrare date personale

Prelucrare inseamna orice operatiune sau set de operatiuni efectuate asupra
datelor cu caracter personal sau asupra datelor cu caracter personal asupra
seturilor de date cu caracter personal , cu sau fara utilizarea de mijloace
automatizate , cum ar fi colectarea , inregistrarea , organizarea , structurarea ,
stocarea , adaptarea sau modificarea , extragerea , consultarea , utilizarea ,
divulgarea prin transmitere , diseminarea sau punerea la dispozitie in orice alt
mod , alinierea sau combinarea , restrictionarea , stergerea sau distrugerea.
- prelucrarea datelor este necesara in vederea indeplinirii unei obligatii legale a
operatorului
-gestionarea relatiei comerciale
-managementul resurselor umane
-geolocalizarea
-videosupravegherea
Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una
dintre următoarele condiţii:
a)persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu
caracter personal pentru unul sau mai multe scopuri specifice;
b)prelucrarea este necesară pentru executarea unui contract la care persoana
vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte
de încheierea unui
contract;
c)prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi
revine operatorului;
d)prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate
sau ale altei persoane fizice;
e)prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui
interes public
sau care rezultă din exercitarea autorităţii publice cu care este învestit o
operatorul;
f)prelucrarea este necesară în scopul intereselor legitime urmărite de operator
sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau
drepturile şi libertăţile
fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter
personal, în special atunci când persoana vizată este un copil.
Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de
autorităţi publice în îndeplinirea atribuţiilor lor.
(ex.consimtamantul persoanelor vizate, contract,obligatie legala )

7.Salariatii proprii din serviciul comercial, administrative,

financiar-contabil- explicatii
-identificarea persoanelor din cadrul societatii care prelucreaza date personale,
instruirea lor cu privire la Regulamentul DPO
- se impun intocmirea unor politici clare care sa prevada si sa defineasca :
a) mecanismele de prelucrare a datelor cu caracter personal
b) procesele /masurile care trebuie respectate si urmarite
c) prevederea clara a sarcinilor si atributiilor DPO
d) politici interne , fise ale posturilor
e) instituirea unui mecanism de control a activitatii DPO
8. Imputerniciti(societati de contabilitate , resurse umane,audit ,
consultant , marketing , facturare, etc) :
-Imputernicitul este un simplu furnizor de activitati de prelucrare , de regula un
furnizor tehnic
-Mijloacele de prelucrare sunt stabilite de catre operator, prin ipoteza
-imputernicitul care apeleaza la randul sau la un imputernicit transfera acestuia
toate obligatiile privind protectia datelor cu caracter personal din contractul sau
cu operatorul , iar aceasta “prelungire “ a obligatiilor se face ope legis , in
virtutea dispozitiilor art.28 alin.4 din Regulament , indifferent de prevederile din
contractul dintre operator si imputernicit si indifferent de contractul dintre
imputernicit si sub-imputernicit , prin care s-ar prevedea , eventual exonerari
- imputernicitul raspunde fata de operator(art.28 alin.3 lit.h-RGPD)
Relatia operator-imputernicita :
1.ori de cate ori un operator de date apeleaza la o persoana imputernicita este
necesara incheierea unui contract scris
2.este important ca redactarea contractului sa fie facuta in termini foarte clari ,
astfel incat ambele parti sa inteleaga responsabilitati si limitele acestuia.
3.GDPR stabileste ce trebuie sa fie inclus in contract
4.Operatorii de date sunt raspunzatori pentru respectarea GDPR si trebuie sa
desemneze numai persoane imputernicite care pot oferi “garantii suficiente “, ca
vor fi indeplinite cerintele GDPR si ca vor fi respectate drepturile persoanelor
vizate
5.persoanele imputernicite trebuie sa actioneze exclusive conform instructiunilor
documentate ale operatorului.Ele vor avea totusi unele responsabilitati directe
conform GDPR si pot fi supuse unei amenzi sau alte sanctiuni in cazul in care
acestea nu sunt conforme.
Contractul dintre operator si persoana imputernicita trebuie sa include
urmatoarele detalii :
-scopul si durata prelucrarii
-natura si scopul prelucrarii
-Tipul de date cu caracter personal si categorii de persoane vizate
-obligatiile si drepturile operatorului de date
Contractul incheiat intre operator si persoana imputernicita trebuie sa include
urmatoarele conditii obligatorii :
-persoana imputernicita trebuie sa actioneze numai pe baza instructiunilor
operatorului (cu exceptia cazului in care legea il oblige sa actionezze fara aceste
instructiuni
-persoana imputernicita trebuie sa asigure ca personalul care se ocupa de
prelucrarea datelor este de incredere
-persoana imputernicita trebuie sa ia masuri corespunzatoare pentru a asigura
securitatea prelucrarii
-persoana imputernicita are permisiunea de a angaja un sub-contractant ,
persoana imputernicita cu acordul prealabil al operatorului si in baza unui
contract scris
-persoana imputernicita trebuie sa asiste operatorul de date in furnizarea
accesului persoanelor vizate la datele lor , precum sis a permita persoanelor
interesate sa-si exercite drepturile lor in conformitate GDPR
-persoana imputercita trebuie sa stearga sau sa predea toate datele personale
operatorului , asa cum a solicitat la incheierea contractului.
- persoana imputernicita trebuie sa prezinte audituri , inspectii sis a furnizeze
operatorului orice informatii are nevoie pentru a se asigura ca atat el, in calitate
de operator , cat si persoana imputernicita , indeplinesc obligatiile din articolul
28 , si trebuie sa anunte imediat operatorul daca se vede pus in situatia de a face
ceva ce incalca GDPR sau alte reglementari in materie

9.Operator asociat
Cine este un operator asociat de date personale ?- daca operatorul colaboreaza
cu privire la atragerea clientelei cu alte entitati , adica acestea si operatorul
stabilesc in comun scopurile si mijloacele de prelucrare , atunci sunt operatori
asociati (art.26 RGDP)

-operatorul asociat are propriile sale scopuri ale prelucrarii, diferite de ale
operatorului
-mijloacele de prelucrare sunt stabilite de acestia
-operatorul asociat are posibilitatea , fara sa dea socoteala operatorului , sa
angajeze imputenniciti pentru a realiza efectiv activitati de prelucrare , in forma
contractuala pe care o considera adecvata
-operatorul asociat raspunde direct fata de persoanele vizate
- se incheie contract scris conform Noului Cod Civil

10. Regulament protectectia datelor personale

Pentru a asigura permanent un nivel ridicat de protective a datelor cu caracter
personal , operatorul trebuie sa elaboreze proceduri interne care sa garanteze
respectarea protectiei datelor in orice moment , luand in considerare toate
evenimentele care pot aparea pe parcursul efectuarii prelucrarilor de date ,
precum ;
- brese de securitate
- solicitari privind exercitarea drepturilor personale vizate
- modificarea datelor cu caracter personal colectate
- schimbarea prestatorului
Este important sa puneti accent pe estimarea riscurilor asupra protectiei datelor
din punct de vedere al persoanelor vizate , luand in considerare naturadatelor ,
domeniul de aplicare , contextul si scopurile prelucrarii si utilizarea noilor
tehnologii.
- Anexa nr.3-model orientativ regulament