Regulamentul General privind Protecția Datelor Personale

Data intrării în vigoare: 25 mai 2018

Responsabil cu Protecția Datelor

EUPACK-ID Mișcarea Română pentru Calitate

 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

1. Responsabilul cu protecția datelor (DPO)

• Desemnarea DPO
• Funcția DPO
• Sarcinile DPO
2. Coduri de conduită și certificare
3. Sarcinile DPO cu privire la drepturile persoanelor fizice

2/27 EUPACK-ID
EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

• Desemnarea responsabilului cu protecția datelor

• Funcția responsabilului cu protecția datelor
• Sarcinile responsabilului cu protecția datelor

3/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

Desemnarea DPO este obligatorie din 25 mai 2018 pentru următorii

operatori:

• Orice instituție publică;

• Orice operator a cărui activitate presupune monitorizarea
pe scară largă și sistematica a datelor cu caracter personal;
• Orice operator care desfășoară activități principale ce
presupun prelucrarea pe scară largă de date cu caracter
special (genetice, biometrice, privind starea de sănătate,
religia etc).

4/27 EUPACK-ID
EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

ANSPDCP recomandă numirea unui DPO chiar și acelor

entități pe care legea nu le obligă, în vederea asigurării
respectării GDPR de către firecare entitate în calitate de
operator sau persoana împuternicită de operator.

5/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

Rolul DPO poate fi asigurat:

• De un angajat intern al operatorului;
• Prin externalizarea serviciului către o firmă specializată.

Conflict de interese cu poziție DPO:

• Persoane din managementul organizației;
• Șefii serviciilor care operează cu date cu caracter personal.

6/27 EUPACK-ID
EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

Responsabil cu protecția datelor cu caracter personal

=
Data protection officer

Standard ocupațional ce prevede ca nivel de studii

absolvirea unei forme de învățământ superior cu diplomă
de licență

7/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

Aptitudinile și expertiza necesare pentru postul de Responsabil cu

Protecția Datelor:
• Experiență în legislația și practicile de protecție a datelor la
nivel național și european, dar și o înțelegere complexă a
RGPD
• Înțelegerea operațiunilor de prelucrare realizate asupra
datelor personale
• Înțelegerea tehnologiilor de informații și de securitate a
datelor.

8/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

Aptitudinile și expertiza necesare pentru postul de Responsabil cu

Protecția Datelor:

• Cunoașterea sectorului de afaceri și a organizației;

• Abilitatea de a promova protecția datelor personale în
cadrul organizației.

9/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

Rolul DPO:

• identificarea operațiunilor de prelucrare;

• verificarea conformității operațiunilor de prelucrare;
• informarea personalului;
• emiterea de recomandări către management;
• avizează studiul de impact al prelucrărilor;
• cooperare cu ANSPDCP.

10/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

Responsabilul cu protecția datelor are cel puțin urmatoarele sarcini:

• informarea şi consilierea operatorului, sau a persoanei

împuternicite de operator, precum şi a angajaţilor
• monitorizarea respectării regulamentului 679, a altor
dispoziţii de drept al Uniunii sau de drept intern referitoare
la protecţia datelor şi a politicilor operatorului, etc.
• furnizarea de consiliere la cerere în ceea ce priveşte
evaluarea impactului asupra protecţiei datelor şi
monitorizarea

11/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

Responsabilul cu protecția datelor are cel puțin urmatoarele sarcini:

• cooperarea cu autoritatea de supraveghere;

• furnizarea de consiliere la cerere în ceea ce privește
evaluarea impactului asupra protecției datelor (DPIA) și
monitorizarea funcționării acesteia, în conformitate cu
articolul 35 din RGPD;

12/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Responsabilul cu protecția datelor (DPO)

DPIA este necesară cel puțin în următoarele cazuri:

• o evaluare sistematică și cuprinzătoare a aspectelor

personale referitoare la o persoană fizică, inclusiv crearea
de profiluri;
• prelucrarea pe scară largă a unor date sensibile;
• monitorizarea sistematică pe scară largă a unor zone
accesibile publicului.

13/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile responsabilului cu protecția datelor

DPIA presupune:

• O descriere a prelucrării de date efectuate și a scopurilor

acesteia;
• O evaluare a necesității și a proporționalității prelucrării de
date efectuate;
• O estimare a riscurilor asupra drepturilor și libertăților
persoanelor vizate;
• Măsurile prevăzute pentru a tratariscurile și a asigura
conformitatea cu prevederile regulamentului.

14/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile responsabilului cu protecția datelor

Exemple necesitate DPIA:

• O bancă își selectează clienții dintr-o bază de date cu

informații privind creditele;
• Un spital este pe punctul să implementeze o nouă bază de
date cu informații despre sănătate, care conține date
privind sănătatea pacienților;
• Un operator de transport în comun urmează să instaleze
camere la bord pentru a monitoriza comportamentul
șoferilor și al călătorilor.

15/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Coduri de conduită și certificare

Statele membre UE precum și Comisia Europeană sunt

încurajate să promoveze elaborarea de coduri de conduită care
să ducă la buna aplicare a dispozițiilor de drept intern adoptate
de statele membre în diferite sectoare de activitate.

Grupul Articolul 29 emite avize asupra codurilor de conduită

elaborate la nivel comunitar.

16/27 EUPACK-ID
EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

• Obligațiile DPO cu privire la transparența prelucrării și

modalități de exercitare a drepturilor persoanelor fizice
• Obligațiile DPO privind informarea și accesul persoanelor
fizice la date cu caracter personal.
• Obligațiile DPO cu privire la rectificarea și ștergerea
datelor cu caracter personal.

17/27 EUPACK-ID
EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

• Exemplu de procedură în situația solicitării ștergerii

datelor personale ale unei persoane fizice
• Dreptul la opoziție și procesul decizional individual
automatizat
• Restricții

18/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

DPO trebuie să se asigure că operatorul de date respectă prevederile

GDPR în ceea ce privește
• Dreptul la informare al persoanelor privind protecția datelor
cu caracter personal
• Dreptul de acces al persoanei vizate
• Dreptul la rectificare
• Dreptul la ștergerea datelor
• Dreptul la restricționarea prelucrării
• Dreptul la opoziție

19/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

Este necesară identificarea prelucrărilor de date cu caracter personal

efectuate și păstrarea evidenţei activităţilor de prelucrare. Trebuie
identificate, în prealabil, cu precizie:

• diferitele prelucrări de date cu caracter personal;

• categoriile de date cu caracter personal prelucrate;
• scopurile urmărite prin operaţiunile de prelucrare a datelor;
• persoanele care prelucrează aceste date;
• fluxurile de date, indicând originea și destinaţia datelor.

20/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

DPO trebuie să se asigure că persoanelor vizate li se asigură

accesul de către operator:

• asupra datelor personale deținute

• modul de prelucrare
• scopul prelucrării
• datele de contact ale DPO
• datele de identificare ale firmei/instituției.

21/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

Exemplu: O companie prelucrează date cu caracter personal în baza

consimțământului. Aceasta utilizează o notificare de confidențialitate stratificată
care include și o solicitare de consimțământ. Compania face publice toate detaliile
de bază ale operatorului și ale activităților de prelucrare a datelor avute în vedere.
Cu toate acestea, compania nu indică modul în care poate fi contactat DPO în
notificare. În scopul de a avea o bază legală după cum este menționat în articolul 6,
acest operator a obținut consimțământul ,,în cunoștință de cauză” valid, chiar și
atunci când datele de contact ale responsabilului cu protecția datelor nu au fost
comunicate persoanei vizate prin (primul nivel de informare al) această notificare de
confidențialitate, în conformitate cu articolul 13 (1)(b) sau articolul 14 (1)(b) din
GDPR.

22/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

Obligațiile DPO cu privire la rectificarea și ștergerea datelor cu

caracter personal:
• Monitorizarea respectării GDPR în activitățile de rectificare și ștergere a
datelor cu caracter personal
• Informarea managementului companiei cu privire la constatarea unor
eventuale neconformități GDPR
• Răspuns în termen de 30 de zile adresat persoanei vizate privind
eventualele solicitări de rectificare sau ștergere a datelor de către
operator
• Informarea ANSPDCP în cazul identificării unui incident.

23/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

Exemple de procedură în situația solicitării ștergerii datelor

personale ale unei persoane fizice:

• Persoana vizată se adresează direct operatorului;

• Persoana vizată se adresează DPO.

24/27 EUPACK-ID
EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

Persoana vizată are dreptul de a se opune ca datele care o

vizează să facă obiectul unei prelucrări sau să fie
prelucrate în scop de marketing direct, în numele
operatorului sau al unui terţ, sau să fie dezvăluite unor terţi
într-un asemenea scop.
Excepții – dispoziții legale contrare.
În caz de opoziţie justificată, prelucrarea nu mai poate viza
datele în cauză.
Termen de răspuns: fară întârzieri nejustificate dar nu mai
mult de 30 zile.

25/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Sarcinile DPO cu privire la drepturile persoanelor fizice

Dreptul la restricționarea prelucrării datelor:

• în cazul prelucrării inexacte sau ilegale a datelor ce poate

aduce prejudicii persoanei vizate;
• accesul la datele blocate este permis doar organismelor
competente sau numai cu acordul explicit al persoanei
vizate;
• operatorul trebuie să înștiințeze persoana vizată în
momentul ridicării restricției de către autoritate.

26/27 EUPACK-ID
 EUPACK-ID
www.eu-gdpr.ro Responsabil cu Protecția Datelor

Cristina PÎRLOG:
e-mail: cristina.pirlog@eu-gdpr.ro
tel: 0724 204 410

Dan MANCAȘ:
e-mail: dan.mancas@eu-gdpr.ro
tel: 0726 260 000

27/27