Introducere

Integrarea economică și socială care rezultă din funcționarea pieței interne a

condus la o creștere substanțială a fluxurilor transfrontaliere de date cu
caracter personal. Schimbul de date cu caracter personal între actori publici
și privați, inclusiv persoane fizice, asociații și întreprinderi, s-a intensificat în
întreaga Uniune Europeană (Uniune).

Conform dreptului Uniunii, autoritățile naționale din Statele membre sunt

chemate să coopereze și să facă schimb de date cu caracter personal pentru
a putea să își îndeplinească atribuțiile sau să execute sarcini în numele unei
autorități dintr-un alt Stat membru.

Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru

protecția datelor cu caracter personal, permiţâand atât societăților private,
cât și autorităților publice să utilizeze date cu caracter personal la un nivel
fără precedent în cadrul activităților lor.

Tehnologia a transformat deopotrivă economia și viața socială și ar trebui să

faciliteze în continuare libera circulație a datelor cu caracter personal în
cadrul Uniunii și transferul către țări terțe și organizații internaționale,
asigurând, totodată, un nivel ridicat de protecție a acestor date.

Cap.I. Imperativitatea protecţiei datelor cu caracter personal

în contextul noilor reglementări normative

Nu există nicio îndoială că legislația în vigoare nu a ținut pasul cu capacitățile

tehnologice din prezent, generând trei provocări fundamentale pentru
legislaţia privind protecția datelor cu caracter personal.

În primul rând, majoritatea datelor nu mai sunt stocate într-o bază de date
structurată ci se compun din informații electronice nestructurate cum ar fi e-
mail-uri, mesaje sau fotografii, astfel aplicarea legilor tradiționale de
protecție a datelor la date nestructurate este o adevarată provocare.
În al doilea rând, a existat o creştere explozivă a volumului de date, mai
multe date fiind create în ultimii doi ani, decât în întreaga istorie anterioară.

În al treilea rând, datele nu mai respectă granițele naționale, Internetul

permițând informațiilor să circule în jurul lumii cu ușurință și instantaneu.

Toate acestea au impus existenţa unui cadru solid și mai coerent în materie
de protecție a datelor în Uniune, însoțit de o aplicare riguroasă a normelor,
luând în considerare importanța creării unui climat de încredere care să
permită economiei digitale să se dezvolte pe piața internă. Securitatea
juridică și practică pentru persoanele fizice, pentru operatorii economici și
autoritățile publice ar trebui să fie consolidată.

Astfel, în data de 4 mai 2016 au fost publicate în Jurnalul Oficial al Uniunii

Europene cele două acte normative care compun pachetul legislativ privind
protecţia datelor la nivelul Uniunii Europene: Regulamentul (UE)
2016/679, de aplicabilitate generală şi Directiva (UE)
2016/680 referitoare la protecţia datelor personale în cadrul activităţilor
specifice desfăşurate de autorităţile de aplicare a legii.

Principiile fundamentale şi obiectivele Directivei nr. 95/46/CE a Parlamentului

European şi a Consiliului din 24 octombrie 1995  rămân aceleaşi.
Regulamentul (UE) 2016/679 actualizează principiile stabilite încă de acum
două decenii de Directiva 95/46/CE şi aduce garanţii suplimentare pentru a
consolida dreptul la viaţă privată în noua „eră digitală”, prevederile
aplicându–se în mod direct în toate Statele membre ale Uniunii Europene,
începând cu data de 25 mai 2018.

În ceea ce privește prevederile Directivei (UE) 2016/680 referitoare la

protecţia datelor personale în cadrul activităţilor specifice desfăşurate de
autorităţile de aplicare a legii, Statele membre ale Uniunii vor avea, de
asemenea, la dispoziţie un termen de doi ani pentru a le transpune în dreptul
intern.
Reglementarea unitară a protecţiei datelor cu caracter
personal

                      Diferenţele sociale și culturale privind protecția datelor sunt la fel

de importante, multe dintre aspectele Regulamentului bazându-se pe principii
care satisfac un domeniu cât mai vast în ceea ce priveşte prelucrarea și
probabilitatea unei schimbări tehnologice rapide. Interpretarea conceptelor
dificile, depinde parțial de atitudinea față de viața privată și valorile sociale;
ceea ce este considerat ca fiind „echitabil” în Stockholm, nu poate fi, de
asemenea, considerat ca fiind „echitabil” la Madrid.

Acest aspect a fost observat de legiuitorul european şi întrucat Statele

membre au înţeles să transpună diferit prevederile, s-a decis adoptarea
Regulamentului, ca act normativ cu aplicabilitate directă în ordinea juridică a
Statelor membre, fără a fi necesară o lege de transpunere a prevederilor sale
la nivel naţional[1]. Se poate traduce printr-o reglementare unitară a datelor
cu caracter personal la nivelul Uniunii Europene.

Totuşi, prezentul Regulament prevede specificări sau restricționări ale

normelor sale de către dreptul intern, Statele membre pot să încorporeze
elemente din prezentul Regulament în dreptul lor intern, în măsura în care
acest lucru este necesar pentru coerență și pentru a asigura înțelegerea
dispozițiilor naționale de către persoanele cărora li se aplică acestea.

Statele membre pot adopta legi care să modifice anumite obligații în temeiul
Regulamentului. Cele mai importante derogări sunt prezentate mai jos:

 Copii – Statele membre pot reduce vârsta la care un copil poate să

işi dea consimțământul valabil on-line de la 16 la 13 ani.
 Ofițerii de protecție a datelor – Statele membre pot face numirea
unui responsabil cu protecția datelor, cu caracter obligatoriu.
 Ocuparea unui loc de muncă – Statele membre pot introduce
restricții suplimentare privind prelucrarea datelor angajaților.
  Securitatea națională – Statele membre pot adopta legi pentru a
limita drepturile în temeiul Regulamentului, în domenii precum
securitatea națională, criminalitatea și procedurile judiciare.
 Libertatea de informare – Statele membre pot modifica
Regulamentul pentru a armoniza protecția datelor cu libertatea de
informare, pentru a proteja informațiile care fac obiectul secretului
profesional și de a limita prelucrarea numerelor de identificare
naționale.Mai mult decât atât, un număr mare de activități de
prelucrare depind de legislația națională din Statele membre:
 Condiții de prelucrare – o justificare pentru prelucrarea datelor cu
caracter personal este în cazul în care acesta este în concordanță cu
o obligație din partea Uniunii sau a unui Statmembru . Statele
membre pot menține sau introduce dispoziții mai specifice de
adaptare a aplicării normelor prezentului Regulament în ceea ce
priveștc condiţiile de prelucrare.
 Prelucrarea de date cu caracter personal referitoare la condamnări
penale și infracțiuni – prelucrarea informațiilor cu privire la
infracțiuni este permisă numai în cazul în care este autorizată de
legislația Uniunii sau a Statului membru (sau sub controlul unei
autorități de stat).
 Dreptul la ștergerea datelor („dreptul de a fi uitat”)  – Dreptul de a fi
uitat nu se aplică în cazul în care prelucrarea este necesară pentru
respectarea unei obligații legale în temeiul dreptului Uniunii sau al
unui Stat membru.
 Transferuri internaționale – Un interes public recunoscut în
conformitate cu legislația Statului membru poate constitui o bază
pentru a transfera date cu caracter personal în afara Uniunii. De
asemenea, Statele membre pot introduce restricții suplimentare
privind transferurile.

Aceste derogări naționale precum interacțiunea cu legislația altor State

membre, reprezintă un efect al Regulamentului, respectiv cel al faptului că
legislaţia nu va fi pe deplin armonizată în întreaga Uniune.
Cu toate că Regulamentul a fost publicat, există încă incertitudini cu privire la
ceea ce înseamnă. Unele dispoziții sunt “resimţite”, mai degrabă, ca fiind
produsul unui compromis politic, decât intenția de reglementare clară.

Astfel, Grupul de lucru – Articolul 29, a elaborat un plan de lucru care

stabilește patru domenii prioritare pentru orientare[2]:

 noul drept de „portabilitate a datelor” – există mai multă libertate

de alegere, putându-se opta pentru transmiterea de date la un alt
operator;
 noțiunea de „risc ridicat” și evaluări ale impactului asupra vieții
private;
 certificare;
 rolul ofițerului de protecție a datelor.

Principii legate de prelucrarea datelor cu caracter personal –

art. 5 RGPD

1. Prelucrare în mod legal, echitabil și transparent: Datele personale

trebuie prelucrate în mod legal, corect și într – un în mod
transparent în raport cu persoana vizată.
2. Colectare și procesare în scopuri determinate, explicite și
legitime: Datele cu caracter personal trebuie colectate în scopuri
determinate, explicite și legitime și nu trebuie prelucrate într-un
mod incompatibil cu aceste scopuri. Procesarea ulterioară a datelor
cu caracter personal  în scopul arhivării în interes public, sau scopuri
științifice și istorice de cercetare sau în scopuri statistice, nu sunt
considerate a fi incompatibile cu scopuri de prelucrare originale. Cu
toate acestea, condițiile prevăzute la articol  89 (1) (care prevede
garanții și derogări în ceea ce privește la prelucrare în astfel de
scopuri) trebuie îndeplinite.
3. Adecvarea, relevanța și limitarea  la ceea ce este necesar în
raport cu scopurile în care sunt prelucrate datele cu caracter
personal
 4. Corectitudinea și actualizarea datelor : Datele personale trebuie
să fie corecte și, dacă este necesar, să fie păstrate la zi; trebuie
luate toate măsurile necesare ca datele cu caracter personal care
sunt inexacte, având în vedere scopurile pentru care sunt
prelucrate, vor fi șterse sau rectificate fără întârziere.
5. Retenția doar pe perioada de timp necesară : Datele personale
trebuie păstrate într-o formă care să permită identificarea
persoanelor vizate nu mai mult decât este necesar pentru scopurile
pentru care sunt procesate datele cu caracter personal. Datele cu
caracter personal pot fi stocate pentru perioade mai îndelungate, în
măsura în care acestea vor fi prelucrate exclusiv în scopuri de
arhivare în interes public, sau scopuri științifice și istorice de
cercetare sau în scopuri statistice, în conformitate cu prevedrile
articolul 89 alineatele (1) și (2)sub rezerva punerii în aplicare a unor
măsuri tehnice și organizatorice adecvate.
6. Procesate de o manieră adecvată pentru asigurarea securității și
integrității acestora : Datele cu caracter personal trebuie să fie
prelucrate într-un mod care să asigure securitate adecvată a datelor
cu caracter personal, inclusiv protecția împotriva procesării
neautorizate sau ilegale și împotriva pierderi accidentale, distrugeri
sau deteriorări, utilizând corespunzător măsuri tehnice sau
organizatorice.

PRELUCRARE[3] =

Cadrul normativ implementat la nivel naţional în domeniul

protecţiei datelor cu caracter personal 

În prezent, in România, protecţia datelor cu caracter personal este

reglementată, în principal, prin Legea nr. 677 din 21 noiembrie 2001 privind
prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Acest act normativ implementează la nivel naţional prevederile Directivei nr.

95/46/CE[4], care deși excludeau din cadrul sferei de aplicare, domeniul
dreptului penal, legiuitorul român a înțeles prin Legea nr. 677/2001 să
extindă domeniul de aplicare al protecţiei datelor cu caracter personal şi în
ceea ce priveşte prelucrările de date din domeniul dreptului penal.

Cu toate acestea, în domeniul dreptului penal a fost adoptată şi Legea nr.

238/2009 privind reglementarea prelucrării datelor cu caracter personal de
către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile
de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere
şi asigurare a ordinii publice prin care a fost adoptată Decizia –cadru
2008/977/JAI privind protecţia datelor cu caracter personal prelucrate în
cadrul cooperării poliţieneşti şi judiciare în materie penală.

Întrucât delimitarea domeniului de aplicare a Legii nr. 677/2001 faţă de

Legea 238/2009 poate fi susceptibilă de a crea dificultăţi în activitatatea de
interpretare şi aplicare a legii, s-a considerat necesară elaborarea unor
norme detaliate şi unitare la nivel european pentru armonizarea nivelului de
protecţie a datelor din cadrul legislaţiilor naţionale ale Statelor membre.

Astfel că, o dată cu Regulamentul general privind protecţia datelor,

legiuitorul european a adoptat şi Directiva (UE) 2016/680 privind protecţia
persoanelor fizice referitoare la prelucrarea datelor cu caracter personal de
către autoritaţile competente în scopul prevenirii, depistării, investigării sau
urmăririi penale a infracţiunilor sau al executărilor pedepselor şi libera
circulaţie a acestor date.

Cap.II. Aspecte de noutate – modernizarea cadrului normativ

în domeniul protecţiei datelor  

Transparenţă şi consimţământ

Astfel, clarificarea noţiunii de „consimţământ” este una dintre modificările de

substanţă în ceea ce priveşte drepturile persoanei vizate. Potrivit
Regulamentului, prelucrarea datelor cu caracter personal se va realiza în
baza consimţământului persoanei vizate, operatorul fiind obligat să
demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea
datelor sale. Mai mult, sunt stabilite şi criterii de apreciere a libertăţii
consimţământului, fiind reglementată posibilitatea persoanei vizate de a-şi
retracta consimţământul cu privire la prelucrarea datelor cu caracter
personal, precum şi efectele acestei retractări.

Condițiile de obținere a consimțământului au devenit mai stricte:

 persoana vizată trebuie să aibă dreptul de a retrage consimțământul

în orice moment; și
 să există o prezumție că acordul nu va fi valabil decât dacă, el se
obţine separat pentru o prelucrare diferită.

Consimțământul nu este singurul mecanism care justifică procesarea  de

date cu caracter personal. Concepte precum necesitatea contractuală,
respectarea unei obligații legale (a unui stat membru sau a unui stat
membru UE) sau prelucrarea necesară pentru interesele legitime rămân
disponibile.

Transparenţă –  Principiul transparenţei prevede că orice informaţii şi

comunicări referitoare la prelucrarea respectivelor date cu caracter personal
sunt uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi
clar. Regulamentul combină diversele obligații privind transparența  care se
aplică în întreaga UE. Lista de informații care trebuie furnizate este de 6
pagini conform Regulament General privind Protecția Datelor (RGPD) şi
totuși, controlorii de date trebuie să atingă ceea ce nu au reușit să facă și nu
au făcut legiuitorii UE, trebuie să furnizeze informații într-un mod concis,
transparent, inteligibil și ușor accesibil. Utilizarea „icon-urilor” standard este
pusă în mișcare de către RGPD, iar Comisia are posibilitatea de a alege să le
introducă prin intermediul actelor delegate, într-o etapă ulterioară. 

Copii şi consimţământul
Legiuitorul european a considerat necesară adoptarea unor prevederi
specifice referioare la minori, reglementând astfel condiţiile de legalitate a
consimţământului persoanei vizate în ipoteza în care acesta este un minor.

Copiii sub vârsta de 13 ani nu pot da, accepta, ei înșiși prelucrarea datelor
lor cu caracter personal în legătură cu serviciile online.

Pentru copiii cu vârste cuprinse între 13 și 15 ani (inclusiv) regula generală

este că, în situaţia în care ă o organizație solicită consimțământul de a
prelucra datele lor personale,  atunci consimțământul părinților este
obligatoriu, cu excepția cazului în care statul membru în cauză respectiv
legislația de a reduce pragul de vârstă – deși pragul nu poate scădea sub 13
ani.

Copiii în vârstă de 16 ani sau mai mari pot da consimțământul pentru

prelucrarea propriilor date personale. Nu există reguli specifice privind
acordul părinților pentru  prelucrarea datelor offline: aplicându-se 
reglementările „obişnuite” ale statelor membre privind capacitatea.

Date personale – date sensibile ( „categorii speciale de date”)

Regulamentul se aplică datelor care provin de la un individ în viaţă ce poate

fi identificat sau identificabil (de către oricine), direct sau indirect.

Recomandările RGPD evidențiază faptul că anumite categorii de date online

pot fi personale – identificatori on-line, identificatori de dispozitive, ID-urile
cookie și adresele IP  .

  În octombrie 2016, Curtea de Justiție a Uniunii Europene (CJEU) a oferit

claritatea mult așteptată cu privire la statul dinamic al  adresei IP   în cazul
lui Patrick Breyer / Germania  (C-582/14), considerând că o adresă IP
reprezintă dată cu caracter personal atunci când se deține de un ISP, dar nu
constituie dată cu caracter personal dacă este deținută de o entitate care nu
are „mijloacele ce ar putea fi folosite   în mod rezonabil pentru identificarea
individuală”.
Interesant este faptul că CJEU nu a făcut referire la orientările Grupului de
lucru Articolul 29, potrivit cărora identificatori unici care „permit persoanelor
vizate să fie  identificate în  scopul urmăririi comportamentului utilizatorului
în timpul   navigării pe diferite  site-uri web ” sunt date cu caracter personal
(Aviz 188).

„Categorii speciale de date” (numite adesea date sensibile) sunt reținute

și extinse cu scopul de   a acoperi datele genetice și date biometrice. Ca și în
cazul directivei actuale privind protecția datelor,  prelucrarea acestor date
este supusă unor măsuri mai stricte decât în cazul altor date cu caracter
personal.

Pseudonimizarea

Un alt element de noutate, prevăzut de Regulament se referă la tehnica de

procesare a datele personale, astfel încât să nu se mai poată atribui un
anumit „subiect de date” fără a utiliza informații suplimentare, informatţii ce
trebuie păstrate separat și supuse unor măsuri tehnice și organizatorice
pentru a asigura neaplicarea.

Informații pseudonimizate sunt încă o formă de date cu caracter personal,

dar se încurajează utilizarea pseudonimizării, de exemplu:

 este un factor care trebuie luat în considerare atunci când se

determină dacă prelucrarea este „incompatibilă” cu scopurile pentru
care datele cu caracter personal au fost inițial colectate și
procesate;
 este inclus ca un exemplu al unei tehnici care poate îndeplini
cerințele pentru punerea în aplicare a conceptelor ”  privacy by
design and by default”;
 poate contribui la îndeplinirea cerinţelor de securitate a datelor,
prevăzute în RGPD;
 pentru organizațiile care doresc să utilizeze date personale pentru
istoric sau cercetări științifice sau în scopuri statistice, utilizarea 
datele pseudonime este esenţială.
Datele cu caracter personal – comunicarea încălcării

Noul Regulament introduce un cadru de comunicare privind încălcarea

securității, pentru toți operatorii de date, indiferent de sectorul în care
aceştia operează.

Obligativitatea notificării (către autoritățile de supraveghere și subiecților

vizaţi) poate fi declanşată de „distrugerea accidentală sau ilegală, pierderea,
modificarea, dezvăluirea sau accesarea neautorizată a datelelo personale„.

Protecția datelor prin design /responsabilitate

Organizațiile trebuie să poată demonstra conformitatea acestora cu principiile

RGPD, inclusiv prin adoptarea anumitor „Măsuri de protecție a datelor prin
„design” (de exemplu, utilizarea tehnicileor de pseudonimizare), prin
programe de formare a personalului și prin adoptarea de politici și proceduri
adecvate.

În cazul în care va avea loc o prelucrare cu risc ridicat (cum ar fi

monitorizarea  activități, evaluări sistematice sau procesări speciale ale unor
categorii de date), trebuie să fie efectuată o evaluare detaliată a impactului
asupra vieții private („PIA”).

În cazul în care o evaluare ”PIA” are ca rezultat concluzia că există într-

adevăr un nivel de risc ridicat pentru persoanele vizate, controlorii trebuie să
notifice supraveghetorul și să obțină punctul de vedere asupra caracterului
adecvat al măsurilor  propuse de evaluarea PIA pentru a reduce riscurile de
prelucrare.

Contorlorii şi cei care proceseză date cu caracter personal, pot decide să

numească un Ofițer pentru protecția datelor (DPO). Acest lucru este
obligatoriu pentru organismele sectorului public implicate în anumite procese
sensibile de prelucrare sau activități de monitorizare precum şi în cazul în
care legislația naţională impune o astfel de numire (de exemplu, legea
germană va continua să solicite acest lucru şi după luna mai 2018).
Reglementarea expresă a “dreptului de a fi uitat” şi
a”dreptului la portabilitate”

Regulamentul consolidează drepturile garantate persoanelor vizate,

asigurându-le acestora posibilitatea de a obţine informaţii clare şi
cuprinzătoare cu privire la scopul şi modul în care le sunt prelucrate datele
personale, precum şi exprimând într-o manieră mai clară dreptul de a fi uitat
sau de a se opune anumitor activităţi de prelucrare sau decizii luate prin
procese automatizate. Totodată, Regulamentul prevede şi un drept nou,
respectiv dreptul la portabilitatea datelor – mai exact posibilitatea persoanei
vizate de a-şi transfera în totalitate datele pe care le-a furnizat într-un
format structurat, la un alt operator de date, oferindu-i astfel un mai bun
control asupra modului în care aceste date sunt prelucrate.

Autoritățile de supraveghere şi Comitetul european pentru

protecția datelor ( EDPB )

                                  Autoritățile de reglementare din domeniul protecției datelor cu

caracter personal sunt denumite autorități de supraveghere.

                                O singură autoritate principală de supraveghere situată în

statul membru, stat în care o organizație își are sediul „principal” va
reglementa conformitatea acestei organizații cu  RGPD.

                                Se va crea un Comitet european pentru protecția datelor

(EDPB-  European Data Protection Board), care va emite opinii cu privire la
anumite aspecte  precum și în soluționarea litigiilor ce decurg din deciziile
autorităţilor de   supraveghere.

Aplicarea extrateritorială  

                              Comparativ cu Directiva 95/46/CE privind protecţia datelor,

RGPD încearcă să extindă domeniul de aplicare al legislației UE privind
protecția datelor şi în ciuda faptului că este un regulament, va  permite
Statelor membre să legifereze în multe domenii.
Regulamentul se aplică în primul rând operatorilor stabiliţi în Uniune, ceea ce
înseamnă o unitate în exercitarea efectivă și reală a activității prin acorduri
stabile în Uniune, forma juridică a unității nefiind un factor determinant,
putand fi o sucursală sau o filială.

Astfel, în cazul procesărilor trasnfrontaliere, Regulamentul simplifică

semnificativ situaţia grupurilor cu filiale în mai multe State membre, acestea
putând să se adreseze unei autorităţi naţionale unice din ţara unde îşi au
sediul principal.

Cu toate acestea, se va aplica, de asemenea, şi operatorilor stabiliţi în afara

Uniunii, care oferă bunuri şi/sau servicii sau monitorizează persoanele aflate
pe teritoriul Uniunii. Aceşti operatori de date vor trebui să respecte regulile şi
principiile stabilite de Regulament şi să numească un reprezentant în Uniune,
sub rezerva anumitor scutiri limitate. Reprezentantul ar trebui, astfel să
accepte răspunderea pentru încălcări ale Regulamentului.

Astfel, putem afirma că una dintre cele mai importante schimbări în

Regulament este cea de a extinde aria de acoperire a legislaţiei europene
privind colectarea datelor cu caracter personal ale cetățenilor UE. Este
important să înțelegem că noile reglementări se aplică indiferent dacă
operatorul de date sau procesorul au o prezenţă fizică în UE. Din punct de
vedere practic, această aplicabilitate extrateritorială înseamnă că orice
furnizor de servicii de date care prelucrează datele cetățenilor dinUniune
trebuie să fie conformi. Implicațiile sunt importante: orice furnizor care nu
este situat sau nu are nicio prezență în Uniune este inclus. Aceasta
înseamnă, de exemplu furnizorii de servicii de cloud în SUA.

Transferul datelor în afara UE

                              În acest domeniu, Regulamentul elimină o prevedere intens

criticată în prezent şi anume obligaţia de a obţine autorizaţie de la
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter
Personal (ANSPDCP) în cazul transferurilor de date efectuate în baza
contractelor cu clauze standard sau a regulilor corporatiste obligatorii. În
realitate autoritatea efectuează doar un control formal al concordanţei dintre
informaţiile incluse în documentul în baza căruia are loc transferul şi cele din
notificarea depusă.

În prezent, transferul de date personale în baza contractelor cu clauze

standard sau a regulilor corporatiste obligatorii, trebuie să fie preautorizat de
autoritatea de supraveghere competentă.

O mare parte din Regulament se referă la procesele și cadrul legislativ pentru

protecția datelor, care are un impact limitat asupra strategiei tehnologiei. Cu
toate acestea, unele dintre caracteristicile cheie ale Regulamentului au un
impact substanțial asupra cerinţelor securității.

Astfel, în vederea unei prelucrări conforme cu prevederile Regulamentului,

operatorii de date au obligaţia de a pune în aplicare măsuri tehnice şi
organizatorice corespunzatoare, constând în adoptarea unor politici adecvate
de protecţie a datelor:

 pseudonimizarea pentru protecţia datelor atât în momentul stabilirii

mijloacelor de prelucrare a datelor, cât şi pe parcursul procesării;
 evidenţa activităţilor de prelucrare desfăşurate;
 notificarea autorității de supreveghere competente a oricărei
încălcări a securităţii datelor cu caracter personal, în termen de cel
mult 72 de ore de la data luării la cunoştinţă despre o atare
încălcare;
 desemnarea unui responsabil cu protecţia datelor.

Deşi, domeniul de aplicare a Regulamentului este limitat la datele cu caracter

personal, Uniunea are o foarte largă definiţie a ceea ce reprezintă date cu
caracter personal[5]. De exemplu, o adresă IP care poate identifica un
dispozitiv al unui utilizator specific este considerată ca fiind dată cu caracter
personal. Multe organizaţii au o slabă înțelegere a domeniului de aplicare a
datelor cu caracter personal, și ineficientă (sau, mai rău nu o au) pentru a
urmări utilizarea și protecția acestor date. Regulamentul se referă în mod
egal la datele clienților și ale angajaților.
Aplicabilitate materială (art. 2 RGPD)

Aplicabilitate materială asupra tuturor prelucrărilor de date personale, cu

excepția:

 celor efectuate de o persoană fizică în cadrul unei activități exclusiv

personale sau domestice
 celor realizate de autoritățile competente în scopul prevenirii și
combaterii infracțiunilor -Directiva 2016/680
 activităților care nu intră sub incidența dreptului UE
 activităților care intră sub incidența cap. 2 titlul V din Tratatul UE

Aplicabilitate teritorială (art. 3 RGPD)

 asupra prelucrărilor efectuate de un operator sau împuternicit cu

sediul în UE
 asupra prelucrărilor de date personale ale unor persoane aflate în
UE, efectuate de un operator sau împuternicit care nu e stabilit în
UE, dacă:
 se oferă bunuri sau servicii către persoane aflate în UE
 se monitorizează comportamentul persoanelor din UE

Conformitatea continuă și de audit

Regulamentul  introduce conceptul de conformitate continuă, în care o

organizație trebuie să efectueze periodic audituri de conformitate. Acest lucru
înseamnă că nu o dată pe an, sau chiar o dată la fiecare șase luni, ci fără
îndoială, o dată pe săptămână sau chiar zilnic. În orice moment un auditor
poate solicita ca o companie să demonstreze conformitatea, iar aceasta
trebuie să fie în măsură să facă acest lucru mai mult sau mai puțin imediat.
Această acțiune plasează o cerință abruptă, ca o organizație să demonstreze
conformitatea, și ne așteptăm ca gestionarea și colectarea jurnalelor de
activitate a utilizatorilor și a datelor de acces a fi un factor-cheie pentru a
dovedi o astfel de conformitate.
Introducerea obligaţiei operatorilor de date de a ţine, în format scris (inclusiv
electronic), evidenţa activităţilor de prelucrare a datelor cu caracter personal
aflate în responsabilitatea lor, înlocuieste procedura notificării autorităţii de
supraveghere prevazuta de articolul 18 din Directiva 95/46/CE si transpusă
în legislaţia naţională în articolul 22 din Legea nr. 677/2001.

Evidenţa păstrată de operator va cuprinde:

 numele și datele de contact ale operatorului și, după caz, ale

operatorului asociat, ale
 reprezentantului operatorului și ale responsabilului cu protecţia
datelor;
 scopurile prelucrării;
 o descriere a categoriilor de persoane vizate și a categoriilor de date
cu caracter personal;
 categoriile de destinatari cărora le-au fost sau le vor fi divulgate
datele cu caracter personal, inclusiv  destinatarii din ţări terţe sau
organizaţii internaţionale;
 dacă este cazul, transferurile de date cu caracter personal către o
ţară terţă sau o organizaţie;
 internaţională, inclusiv identificarea ţării terţe sau a organizaţiei
internaţionale respective și, în cazul transferurilor menţionate la
articolul 49 alineatul (1) al doilea paragraf din Regulamentul
General;
 privind Protecţia Datelor, documentaţia care dovedește existenţa
unor garanţii adecvate;
 acolo unde este posibil, termenele-limită preconizate pentru
ștergerea diferitelor categorii de date;
 acolo unde este posibil, o descriere generală a măsurilor tehnice și
organizatorice de securitate menţionate la articolul 32 alineatul (1)
din Regulamentul General privind Protecţia Datelor.

  Astfel, toţi operatorii din sistemul public, persoanele împuternicite de

operator, precum și operatorii din  sistemul privat cu peste 250 de angajaţi,
au obligaţia cartografierii prelucrărilor de date cu caracter personal
efectuate, raportat la prevederile art. 30 din Regulamentul General privind
Protecţia Datelor

Această obligaţie nu se aplică întreprinderilor sau organizaţiilor cu mai puţin

de 250 de angajaţi, însă cu toate acestea operatorii din sistemul privat cu
mai puţin de 250 de angajaţi au obligaţia cartografierii  prelucrărilor în
cazurile în care prelucrarea pe care o efectuează este susceptibilă să
genereze un risc pentru  drepturile și libertăţile persoanelor vizate, în cazul
în care prelucrarea nu este ocazională sau prelucrarea  include categorii
speciale de date ori date cu caracter personal referitoare la condamnări
penale și infracţiuni.

Încălcarea securității datelor și notificarea obligatorie de

încălcare

Regulamentul definește o încălcare a securității datelor ca o acțiune care

duce la ” în mod accidental sau ilegal, la distrugerea, pierderea, modificarea,
sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate
sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;.”. O
încălcare gravă a securităţii datelor nu trebuie să fie neapărat cauzată de o
încălcare a securității. Cu toate acestea, Uniunea consideră că o pierdere de
date criptate nu constituie o încălcare a securităţii datelor, iar cele mai multe
companii vor folosi această orientare ca justificare pentru criptarea a cât mai
multor date, considerate necesare. Astfel o încălcare a securității nu trebuie
să conducă la o încălcare a datelor, de exemplu un hacker poate umbla în
rețeaua corporativă, dar poate fi în imposibilitatea de a scoate date în cazul
în care acestea sunt protejate sau criptate.

Regulamentul introduce conceptul de notificări obligatorii de încălcare. Astfel,

pentru aproape toate companiile din cadrul Uniunii, acest lucru va fi pentru
prima dată când, prin lege, vor trebui să admită încălcări ale securității
datelor. Operatorii de date cu caracter personal vor avea obligaţia de a
notifica autoritatea de supraveghere în cazul încălcării securităţii datelor cu
caracter personal. Regulile cu privire la notificarea autorităţilor de
supraveghere devin mult mai stricte, atât din punct de vedere al timpului cât
şi al conținutului informării. Dacă încălcările produse sunt de natură să
genereze riscuri ridicate pentru drepturile şi libertaţile persoanelor vizate,
acestea trebuie informate fără întârzieri nejustificate, de către operatori cu
privire la încălcările produse.

Măsuri tehnice în vederea unei prelucrări conforme cu

prevederile Regulamentului  

Vizibilitatea mărită a evaluării riscurilor, controalelor și atenuarea efectelor

nu vor conduce doar la noi procese, ci și la noi tehnologii care să sprijine şi
să pună  în aplicare aceste procese.

În vederea unei prelucrări conforme cu prevederile Regulamentului operatorii

de date au obligaţia de a adopta măsuri tehnice adecvate atât pentru
prelucrara datelor cât şi în vederea asigurării unui nivel corespunzator de
securitate a acestora.

Automatizarea clasificării datelor poate rezolva această problemă

fundamentală, existînd și alte abordări pentru identificarea și securizarea
datelor sensibile. În plus, unele controale de bază ale securităţii vor fi
îmbunătățite: accesul la informații sensibile va fi controlat mai bine, ceea ce
înseamnă o identitate și un management al accesului integrat în document și
in fluxurile de proces mai bune.

O serie de tehnologii vor ajuta organizațiile să realizeze conformitatea cu

noua reglementare. Unele dintre cele mai evidente capabilități includ
prevenirea pierderilor de date (DLP) și clasificarea acestora .

Mai multe organizații vor revizui actul normativ și vor ajunge la concluzia că
cel mai sigur pariu pentru ele va fi sa cripteze toate datele cu caracter
personal aflate sub controlul lor. Interesul față de tehnologiile de criptare a
crescut semnificativ odată cu elaborarea inițială a Regulamentului. Principalul
motiv pentru acest lucru este că, într-un caz în care datele sunt pierdute în
afara organizației, dar acestea sunt criptate, acest lucru nu va constitui o
încălcare a protecţiei  datelor. Acest lucru se datorează faptului că în mod
corespunzător datele criptate nu sunt accesibile de către persoane
neautorizate.

Cu toate acestea, criptarea nu este atât de simplă. Datele sunt deținute în

mod obișnuit într-un număr de platforme și locații iar o politică de „cripteaza
totul” trebuie să o acopere aceste medii eterogene. De exemplu, organizațiile
ar trebui să implementeze această politică de criptare de securitate a datelor
la cea mai largă scară de dispozitive și platforme, de la dispozitive iOS și
Android, cloud și dispositive de stocare date, mass-media externă, la PC-uri
și laptop-uri Apple Mac.

Un regim bazat pe politici de protecție a datelor, care implică criptarea atunci

când este cazul, este o abordare mai inteligentă. Un astfel de regim ar
cuprinde:

 acces securizat şi criptat la date din mai multe puncte terminale

dintr-o platformă de management comun, pentru ușurința
administrării;
 generarea automata a traseelor de audit automate, care oferă
dovada securității datelor end-to-end;
 interdicția datelor cu caracter personal neprotejate de a părăsi
organizația pe memorii flash USB sau pe alte dispositive;
 protecția datelor de accesul nejustificat, reducând astfel riscul de
încălcări interne de amenințări din interior.

Criptarea ajută la protejarea atât împotriva probabilității unei încălcări a

securității, cât și impotriva consecințelor negative ale acestei încălcării, atât
pentru persoanele ale căror date sunt compromise cât și pentru operatorii în
ceea ce privește atenuarea obligațiilor, ca urmare a încălcării.

Managementul accesului şi identităţii

Managementului accesului şi identităţii (IAM) este o categorie importantă a

tehnologiei în efectuarea conformităţii Regulamentului, deoarece printr-un
IAM eficient, o organizație este în măsură să demonstreze cine are sau a
avut acces la ce, de ce, când și ce au făcut cu acel acces; acesta este un
principiu fundamental al protejării datelor importante. Stabilirea, controlul și
gestionarea acestui sistem ar trebui să fie o sursă primară de protecție
pentru toate datele sensibile. Cu alte cuvinte, o înțelegere fermă a ceea ce
înseamnă: cine are acces la ce, cine a aprobat acest acces și ceea ce au făcut
cu acest acces.

Componentele cheie ale IAM ce trebuie controlate, auditate și gestionate

includ conturile (sau identitățile), care sunt baza pentru acces; mecanismul
de autentificare – cum ar fi o parolă sau un token – care permit accesul
bazat pe identități; și autorizaţii, sau “colectii” de drepturi asociate cu
identitatea și invocate de activitatea de autentificare.

Aceste componente pot fi împărțite în trei categorii principale, fiecare dintre

acestea fiind relevante pentru reglementare:

 Managementul accesului: tehnologii și practici care permit

utilizatorilor adecvați accesul la resurse, inclusiv aplicații, rețele și
baze de date. Tehnologii care ajută la managementul accesului
securizat includ: un singur “sign-on”, managementul accesului web,
management al administrării parolei, autentificarea multi – factor și
managementul directorial.
 Managementul privind gestionarea contului: tehnologii și practici
care controlează și monitorizează utilizarea acreditărilor
administrative, inclusiv cele referitoare la aplicații, rețele,
infrastructură și servere. Tehnologiile privilegiate de gestionare a
contului elimină schimbul de acreditări, deleagă drepturi bazate pe
rol şi nevoie, şi activitățile de audit efectuate cu acreditări.
 Administrarea identității: Tehnologii și practici care asigură
activitățile de atestare/ recertificare necesare prin reglementări și
bune practici. Administrarea, în esență, asigură că oamenii potriviți
au dreptul de acces la resursele potrivite în mod corect.

Această abordare “criminalistică” este importantă, deoarce în a decide

gravitatea incălcării şi a nivelului amenzii aplicate, Autoritatea de
Supraveghere va evalua orice deficienţă în regimul de conformitate. Firmelor
care pot demonstra controale puternice de acces (pentru identitate,
autentificare și autorizare), precum și o capacitate de a urmări evenimentele
care au dus la încălcare, li se va acorda clemență.

Securitatea reţelei

Este tentant să credem că o protecție tradițională nu mai este necesară, sau

a fost marginalizată. Cu toate acestea, rămâne situatia în care atacurile sunt
mai susceptibile de a fi efectuate în rețea.

Pentru a combate provocările de  securitate aflate în creștere, organizațiile

migrează departe de firewall-uri tradiționale care se concentrează numai cu
privire la inspecția de pachete de statefull (SPI) la firewall-uri de ultimă
generație (NGFWs). Acestea au transformat  securitatea rețelei prin oferirea
unei protecții mult mai robuste împotriva amenințărilor emergente, oferind
pachete de inspecție profundă (DPI), de decriptare în timp real și inspectie a
sesiunilor SSL, control deplin și vizualizare a aplicării. Este important să se
poată urmări activitatea în rețea, inclusiv utilizatorii sau datele de acces,
traficul rețelei  precum și conținutul pachetelor de informaţii transmise.

E-mail-ul rămâne vehiculul cel mai utilizat pe scară largă pentru distribuirea
datelor.  Adăugând servcii de conformitate și de criptare la soluția de
securitate e-mail, va permite organizațiilor să satisfacă atât cerințele de
reglementare și cât şi cele corporative. Soluția comună permite organizațiilor
să identifice e-mail-ul pentru aplicarea politicii de conformitate; să  aplice
mai multe politici de administrare; să monitorizeze și să raporteze cu privire
la traficul de e-mail; și implicit să asigure schimbul sigur de date sensibile și
confidențiale. Abordarea corectă va fi în cele din urmă soluția (sau o
combinație de soluții), care să favorizeze fluxul securizat de date, care să
permită angajaților să folosească dispozitive și aplicații pentru a optimiza
productivitatea, cum ar fi platforme sigure de acces mobil.

Cap III. Coduri de conduită și certificare

Este încurajată elaborarea de coduri de conduită menite să contribuie la buna

aplicare a prezentului Regulament (diverse sectoare de prelucrare,
microîntreprinderi, IMM-uri etc.). Codurile de conduită pot fi elaborate de
către autoritățile de protecție a datelor, asociații sau alte organisme care
reprezintă operatorii de date.

Coduri de conduită – Elemente cheie

 Măsura în care procesarea datelor se efectuează în mod legal și

transparent
 Interesele legitime ale operatorilor de date în contexte specifice
 Modul în care subiecții își pot exercita drepturile
 Modul în care interesele minorilor sunt protejate
 Informarea publicului și a persoanelor vizate
 Modalități de asigurare a securității procesării datelor
 Instrucțiuni de notificarea autorităților/ persoanelor vizate în cazul
încălcării securității datelor
 Implementarea protecţiei datelor începând cu momentul conceperii
şi în mod implicit
 Soluționarea conflictelor între operatori și persoanele vizate

Certificare

 Mecanisme de certificare, sigilii și mărci la nivelul UE

 Necesități specifice pentru IMM-uri și microîntreprinderi
 Existența unor garanții adecvate oferite de către operatori
 Transferuri către țări terțe sau organizații internaționale
 Certificarea este voluntară
 Organismele de certificare sunt acreditate de către autoritățile de
supraveghere sau Comitetul European de Protecție a Datelor (EPDB)
 Independență și expertiză
 Conflicte de interese
 Acreditare pe maxim 5 ani
 Pentru criterii aprobate de către EPDB – sigiliul European privind
protecția datelor
 Certificare–perioadă de maxim 3 ani
 Registrual certificărilor/ sigiliilor – EPDB
Cap IV. Regimul de executare a Regulamentului

Comitetul European de Protecție a Datelor

Eficacitatea normelor juridice, în general, şi a drepturilor persoanelor vizate,

în special, depinde într-o măsură considerabilă de existenţa unor mecanisme
adecvate pentru punerea în aplicare a acestora. În conformitate cu legislaţia
europeană privind protecţia datelor, persoana vizată trebuie să fie
împuternicită în temeiul legislaţiei naţionale să îşi protejeze datele personale.
De asemenea, trebuie înfiinţate autorităţi independente de supraveghere,
conform legislaţiei naţionale, care să asiste persoanele vizate în exercitarea
drepturilor lor şi pentru a supraveghea procesul de prelucrare a datelor cu
caracter personal.

Comitetul European de Protecție a Datelor va înlocui articolul 29, care este

supravegherea curentă a unui organism. Comitetul va cuprinde șeful
autorității de supraveghere al fiecărui Stat membru și Autoritatea Europeană
pentru Protecția Datelor. Scopul principal al Comitetului este să asigure
aplicarea consecventă a Regulamentului în toate cele 28 de State membre.
De asemenea, va emite orientări, recomandări și cele mai bune practici de
distribuiţie a companiilor prin intermediul Autorităților de Supraveghere.

Autoritatea de Supraveghere

Fiecare Stat membru al Uniunii va avea o Autoritate de Supraveghere. Toate

țările Uniunii au organisme care deja îndeplinesc funcțiile generale ale unei
Autoritati de Supraveghere. Exemple sunt: Biroul Comisarului pentru
informații (ICO) pentru Regatul Unit; Comisia Naţională de informatică şi de
libertăţi (CNIL), în Franța; Comisarul federal pentru protecția datelor și
libertatea de informare (Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit – BfDI), în Germania; și De Autoriteit persoonsgegevens
(fostă Colegiul Bescherming persoonsgegevens), în Țările de Jos, Autoritatea
Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în
România.
Ierarhia executării Regulamentului (UE) 2016/2016
Comitetul European de Protecție a Datelor (la  nivel UE)

Autoritatea de Supraveghere

(la nivel național)

Ofițerul pentru protecția datelor (DPO)

(Responsabilul pentru protecția datelor)

(la nivel de companie)

Actul normativ, descrie o relație de lucru strânsă între societățile de

supraveghere, care funcționează la nivel național, și Ofițerii pentru protecția
datelor (DPO) în companii individuale. Ofițerii pentru protecția datelor trebuie
să se înregistreze la Autoritatea de Supraveghere, iar Autoritatea de
Supraveghere va monitoriza prin respectarea legăturii cu Ofițerii pentru
protecția datelor.

În cele din urmă, Autoritatea de Supraveghere este cea care decide cu privire
la măsura ce  se impune a fi luată la o întreprindere care suferă o încălcare a
datelor, și cât va fi amenda (dacă este cazul). Orice amendă va fi
proporțională cu amploarea încălcării și a gradului în care întreprinderea care
a ”deviat” de la normele stabilite a încercat să le respecte.

Ofiţerul pentru Protecţia Datelor (Responsabilul pentru

protecția datelor)

Regulamentul introduce conceptul unui responsabil pentru protecția datelor

(DPO). În conformitate cu actul normativ, numirea unui responsabil pentru
protecția datelor este obligatorie, din 25 mai 2018, raportat la dispoziţiile art.
37 – 39 din Regulamentul General privind Protecţia Datelor, pentru
majoritatea organismelor publice și orice organizație care prelucrează date
personale la scară largă.

Acest responsabil cu protecția datelor va raporta (cel mai probabil)

comitetului de audit al consiliului, nu conducerii executive, și va fi responsabil
de asigurarea respectării Regulamentului. Responsabilul pentru protecția
datelor este responsabil de efectuarea auditurilor  de conformitate, ceea ce
înseamnă că firmele vor trebui să demonstreze conformitatea lor în mod
regulat.

Responsabilul cu protecția datelor este, de asemenea, responsabil de

menținerea legăturii cu Autoritatea de Supraveghere, care cuprinde
notificarea acesteia, a tuturor activităților de prelucrare a datelor, precum și
orice încălcare a datelor.

Astfel numirea unui DPO la nivelul operatorului de date reprezintă una dintre
măsurile prin care se încearcă responsabilizarea operatorilor de date.

Drepturile persoanelor fizice

1. dreptul de informare –art. 13-14 RGPD
2. dreptulde acces –art. 15 RGPD
3. dreptul la rectificarea datelor –art. 16 RGPD
4. dreptul de a fi uitat –art. 17 RGPD
5. dreptul la restricționarea prelucrării –art. 18 RGPD
6. dreptul la portabilitatea datelor –art. 20 RGPD
7. dreptul la opoziție –art. 21 RGPD
8. dreptul de a nu fi supus unei decizii automate –art. 22 RGPD

Fata de Directiva 95/46/CE, noile drepturi ale persoanelor fizice existente in

Regulament sunt cele de la articolele 17, 18 și 20.

Dreptul la ștergerea datelor (dreptulde a fi uitat) –art. 17 RGPD

Persoana poate cere ștergerea datelorcând:

 nu mai sunt necesare

 se retrage consimțământul și nu există alt temei legal
 persoana se opune prelucrării conform art. 21 RGPD
 au fost prelucrate ilegal
 există o obligație legală a operatorului
 s-au colectat datele minorilor pentru oferirea de servicii ale societății
informaționale

Dreptul la restricționarea prelucrării –art. 18 RGPD

 pe perioada în care persoana contestă exactitatea datelor

 când prelucrarea este ilegală și persoana vizată se opune ștergerii,
solicitând restricționarea
 operatorul nu mai are nevoie de date, dar persoana le solicită
pentru o acțiune pe rol instanței
 dacă persoana s-a opus prelucrării, pe perioada verificării

Dreptul la portabilitatea datelor –art. 20 RGPD

Persoana poate obține datele furnizate operatorului, într-un format

structurat, care poate fi citit automat, dacă :

 prelucrarea este efectuată prin mijloace automate;

 dacă se bazează pe consimțământ, în temeiul art. 6 (1) lit. a) sau
art. 9 (2) lit. a) RGPD (date speciale) ori pe un contract la care este
parte.

Persoana vizată poate cere ca datele sale personale să fie transmise direct de
la un operator la altul, dacă este fezabil tehnic

Sancţiuni

Domeniul de aplicare a Regulamentului crește în mod substanțial obligațiile

companiilor care se ocupă cu prelucrarea datelor cu caracter personal ale
cetățenilor Uniunii. Penalitățile pentru nerespectare sunt substanțiale, efectul
principal va fi de a ridica protecția datelor ca un risc de afaceri direct în
consiliul de administraţie.

Dacă până în prezent sancţiunile impuse de ANSPDCP pentru nerespectarea

prevederilor privind procesarea datelor cu caracter personal au fost de
ordinul sutelor sau cel mult miilor de euro, o dată cu aplicarea
Regulamentului, cuantumul amenzilor se poate ridica la:

 000.000 euro sau în cazul unei întreprinderi, 4% din cifra de afaceri

totală realizată la nivel mondial în cursul exerciţiului financiar
anterior, luându-se în calcul cea mai mare dintre aceste valori,
pentru încălcări ce ţin de transferurile internaţionale de date,
principiile de bază privind procesarea sau drepturile persoanei
vizate; sau
 000.000 euro sau, în cazul unei intreprinderi, 2% din cifra de afaceri
totală realizată la nivel mondial în cursul exerciţiului financiar
anterior, luându-se în calcul cea mai mare dintre aceste valori,
pentru alte încălcări prevazute de Regulament.

Perspectiva de a primi o astfel de amendă devine o atenție pentru consiliul de

administraţie. Niciun membru al consiliului nu va dori să trebuiască să le
explice acționarilor de ce profitul și prețul de vînzare au scăzut din cauza unei
încălcări a securității datelor rezultând într-o amendă substanțială.
Perspectiva de a primi o astfel de amendă devine o atenție pentru consiliul de
administraţie. Niciun membru al consiliului nu va dori să trebuiască să le
explice acționarilor de ce profitul și prețul de vînzare au scăzut din cauza unei
încălcări a securității datelor rezultând într-o amendă substanțială.

Aspecte diverse

Regulamentul stabileşte obligaţia operatorului de a demonstra obţinerea

consimţământului persoanei pentru prelucrările de date personale.

Persoana vizată are dreptul să îşi retragă în orice moment consimţământul,

în situaţia în care acesta constituie temei de prelucrare a datelor.
Absenţa unei manifestări clare de acord nu poate fi privită ca o formă de
exprimare a consimţământului.

Spre exemplu, în cazul căsuţelor bifate (prin care este prestabilit acordul) nu
poate fi prezumat un consimţământ exprimat în cunoştinţă de cauză.

În cazul în care datele sunt prelucrate în mai multe scopuri, este important
ca operatorul de date să poată demonstra că a obţinut acordul persoanei
pentru a-i prelucra datele în toate acele scopuri.

Regulamentul stabileşte obligaţia operatorului de date de a asigura un

anumit nivel de transparenţă faţă de persoanele vizate.

Acestea trebuie să ştie cine este operatorul de date, scopul în care le vor fi
prelucrate datele, ce date sunt utilizate, ce drepturi le sunt garantate, cum îşi
pot exercita aceste drepturi şi cine sunt/vor fi terţii cărora operatorul le va
dezvălui datele, dacă este cazul.

În cazul în care sunt prelucrate date personale ale minorilor, operatorul de

date trebuie să ofere informaţiile respective utilizând un limbaj cât mai
simplu şi clar, astfel încât copilul/minorul să poată înţelege cu uşurinţă scopul
şi modul în care îi vor fi prelucrate datele personale.

Proximitatea faţă de persoana vizată – autoritatea de supraveghere din statul

membru în care se află persoana vizată acţionează ca interlocutor/punct de
contact atunci când operatorul de date este stabilit într-un alt stat.

În cazul prelucrărilor de date care vizează persoane din mai multe state
membre, fiecare persoană are posibilitatea de a se adresa (după caz, de a
depune plângere) autorităţii de supraveghere din statul (membru UE) în care
îşi are domiciliul/reşedinţa. În acest fel, este asigurată implicarea autorităţii
de supraveghere din statul membru în care se află persoana în procedura de
adoptare a unei decizii în cazul unui operator de date stabilit într-un alt stat
membru.
Cooperare consolidată între autorităţile de supraveghere – în cazul
prelucrărilor de date transnaţionale (cele care privesc persoane din mai multe
state membre UE), autorităţii de supraveghere din statul respectiv îi sunt
oferite competenţe pentru a se asigura, alături de autorităţile din celelalte
state implicate, că datele sunt prelucrate conform regulilor şi principiilor
stabilite de Regulament.

Cum se evaluează ?
•Scopul/ baza legală

Baza legală pentru •Procesări în afara scopului declarat inițial

procesare

•Mecanismele de consimțământ

•Acces
•Corectare

•Revocarea consimțământului

Drepturile persoanelor
•Restricționarea procesării
vizate

•Ștergere a datelor

•Portare

•Numirea unui reprezentant în UE

•Sunt toate fluxurile de date personale documentate

•Actualizarea continua a măsurilor de protecție a

Obligațiile operatorilor
datelor

•Aderarea la coduri de conduită și certificare

Informarea persoanelor •Dreptul la opoziție cu  privire la procesarea cu scopul

vizate marketingului direct
 •Cum își pot exercita drepturile

•Informarea ințială este revizuită periodic

•Inventarul/ clasificarea DCP

•Evaluări periodice de securitate/Monitorizare

•Măsuri de securizare (pseudonimizare, criptare)

•Măsuri de continuitate
Securitatea și integritatea
datelor
•Trasabilitatea datelor și activităților de procesare

•Mecanisme pentru distrugerea sigură a DCP

•Mecanisme pentru retenția și protecția înregistrarilor

•Proceduri de identificare și notificare

•Instruirea angajaților

Încălcări ale securității

•Existența planurilor de răspuns la incidente  
datelor

•Notificari primite de la terțe părți (contracte)

•Măsuri proporționale cu riscurile

•Dezvoltarea de noi aplicații
Protectia datelor în mod
 
implicit
•Pseudonimizare/ criptare implementate implicit

•Consultarea autorităților

Evaluarea impactului •Se efectueaza DPIA când este necesar

asupra protecției datelor  
(DPIA) •Implicarea DPO

Responsabilul pentru •Numirea unui DPO  

protecția datelor (DPO)
 •Definirea rolului DPO

•Datele de contact ale DPO sunt publice

•Implicarea DPO în activitățile care au legătură cu

protecția datelor

•Documentarea transferurilor
•Mecanisme de protecție pentru transferuri în  alte
țări

•Măsuri de securitate impuse furnizorilor

Transferuri de date  
•Acord pentru transferul datelor către un
subcontractor

•Returnarea datelor la expirarea contractelor

Cum se implementează[6] ?

Bibliografie

1. Tratatul privind Uniunea Europeană și Tratatul privind funcționarea

Uniunii Europene 2012/C 326/01, articolul 288 para.2;
2. http://www.dataprotection.ro/;
3. GDPR implementation assessment, aprilie 2017, document
prezentare Star Storage S.A., elaborat Emilian STANESCU;
4. Testare, evaluare si aprecierea periodică a eficacității măsurilor
tehnice și organizatorice, 23 februarie 2017, Conferinta Romsym
Data, prezentare Adrian MUNTEANU;
 5. Ghid orientativ de aplicare a Regulamentului General privind
Protecţia Datelor destinat operatorilor, Autoritatea Naţională de
Supraveghere a Prelucrării Datelor cu Caracter Personal;

[1] Tratatul privind Uniunea Europeană și Tratatul privind funcționarea

Uniunii Europene 2012/C 326/01, articolul 288 para.2

[2] http://www.dataprotection.ro/?page=Regulamentul_nr_679_2016

[3] Adrian MUNTEANU, Testare, evaluare si aprecierea periodică a eficacității

măsurilor tehnice și organizatorice, 23 februarie 2017, Conferinta Romsym
Data

[4] Directiva 95/46/CE, articolul 3 aliniat (2),

[5]  Directiva privind protecţia datelor, articolul 2 litera (a);

[6] Emilian STANESCU, GDPR implementation assessment, aprilie 2017,

document prezentare Star Storage S.A