Amazing mind reader

1
Regulamentul General Privind
Protecţia Datelor (GDPR)
Regulamentul (UE) 2016/679

2
De ce GDPR LA #Tax Camp by Horatiu Hagiu
Face OP-ul/
opereaza
OP-ul pt
amenda 
Fluxuri Cifre pt
proprii care activitatea
trebuie altor
analizate pt Responsabilul
de structuri
impact GDPR
Financiar -
Contabilitate

Dpt. de baza
Proactivitate in orice
Companie

3
 Cine aplica GDPR?
Definitii GDPR (Art. 2)

„Operator” (Controller): persoana fizică sau juridică, autoritatea

publică, agenția sau alt organism care, singur sau împreună cu
altele, stabilește scopurile și mijloacele de prelucrare a datelor
cu caracter personal; in interiorul UE;

„Persoană împuternicită de operator” (Processor) înseamnă

persoana fizică sau juridică, autoritatea publică, agenția sau alt
organism care prelucrează datele cu caracter personal în
numele operatorului;
4
 Protectia datelor cu caracter personal
– GDPR – ce date sunt in scop?
• In scop sunt datele Persoanelor fizice
• Nu sunt in scop datele persoanelor juridice

Date cu caracter personal:

• nume,
• număr de identificare (CNP, nr si serie de CI, nr, pasaport),
• date de localizare (localitatea de nastere, adresa etc),
• identificator online (adresa de e-mail, IP),
• sau la unul sau mai multe elemente specifice, proprii identității sale fizice,
fiziologice, genetice, psihice, economice, culturale sau sociale – functie, imagine,
voce etc.
date cu caracter personal” înseamnă orice informații privind o persoană
fizică identificată sau identificabilă („persoana vizată”), direct sau indirect
5
 Protectia datelor – ceva nou?
• La nivelul Romanei exista Legea nr. 677 din 2001 pentru protectia
persoanelor cu privire la prelucrarea datelor cu caracter personal si libera
circulatie a acestor date
• Regulamentul (UE) 2016/679 (GDPR) este aplicabil in Statele Membre
UE incepand cu 25 mai 2018
- Intareste drepturile privind protectia datelor personale: cu scopul de a acorda
oamenilor control deplin asupra datelor lor personale pe tot parcursul
activitatilor relevante de procesare a datelor
- Are rolul de a intari drepturile şi libertăţile fundamentale ale persoanelor, în
special dreptul acestora la viaţa privată în ceea ce priveşte prelucrarea datelor
cu caracter personal.

- Are impact potential major asupra noilor oportunitati de business.

6
 Protectia datelor – ceva nou?
• Legea nr. 677 din 2001 pentru protectia persoanelor cu privire
la prelucrarea datelor cu caracter personal si libera circulatie a
acestor date
! Nici o penalizare
• GDPR - Regulamentul (UE) 2016/679 este aplicabil in Statele Membre UE
incepand cu 25 mai 2018
GDPR prevede AMENZI :
– de până la 10.000.000 EUR sau până la 2% din cifra mondială totală anuală corespunzătoare
anului financiar anterior, pentru încălcări privind obligațiile operatorului și împuternicitului;

–de până la 20.000.000 EUR sau până la 4% din cifra mondială totală anuală corespunzătoare
anului financiar anterior, pentru încălcarea principiilor de bază privind prelucrarea datelor,
inclusiv consimțământul, încălcarea drepturilor persoanelor vizate, transferurilor internaționale
de date și nerespectarea măsurilor unei autorități de supraveghere;
7
 Proiect GDPR – Ce trebuie sa facem pana pe 25.05.2018?

Tone at the top Un “sponsor” Inventarierea

(Atitudinea intern al datelor cu
conducerii) proiectului caracter
personal
si
cerintelor GDPR

Responsabil de

IMPLEMENTARE
Constintizarea

ANALIZA PREZENTULUI
proiect Stabilirea
DPO scopurilor în
care prelucrați
datele cu
caracter
personal
Temeiul legal

8
 Constientizarea cerintelor GDPR?

Guvernanta Dreptul Securitatea Transferul Principiul

datelor in persoanelor datelor datelor protectiei
contextul vizate • Pastrarea datelor • In UE/ in afara UE datelor
GDPR • Operatorii de date
personale in
siguranta
(cloud?)
• Transparenta/
trebuie sa le dea Legalitate
• Tone at the top
(Atitudinea drepturi
detinatorilor de • (virus &
conducerii) pierdere/furt laptop)
date
• Organizare
Reglementari
interne
• Alocarea de sarcini
(roluri si
responsabilitati)

9
 Constientizarea cerintelor GDPR?
Guvernanta in afara multinationalelor si a societatilor
reglemenate?
ROF; Responsabil cu Inregistrari ale
Guvernanta Securitateaprotectia
Dreptul Organigrama datelor
Transferul activitatilor
Principiul de
(DPO) procesare
datelor in persoanelorPoliticidatelor
si datelor protectiei
proceduri (log-uri
contextul vizate • Pastrarea datelor • In UE/ in afara UE datelor
aplicatii)
GDPR • Operatorii de date
personale in
siguranta
(cloud?)
• Transparenta/
trebuie sa le dea Legalitate
• Tone at the top (criptolocker?pierde
Protectia datelor
(Atitudinea drepturi re/furt laptop) Analiza impactului Protectia implicita
conducerii) detinatorilor deincepand cu asupra protectiei a datelor
date momentul
• Organizare datelor
Reglementari demararii unui (DPIA)
interne proiect nou
• Alocarea de sarcini
(roluri si
responsabilitati)
Managementul riscurilor

10
 Dreptul persoanelor vizate in contextul GDPR

Transparenta Accesul persoanelor

informatiilor si Informare vizate la datele cu
comunicarilor persoanelor vizate caracter personal
(Art 13) (Art 14) (Art 15)

Rectificare Stergerea
datelor cu Dreptul la
datelor cu
caracter restrictionarea
caracter
personal prelucrarii
personal
Art 17) (Art 18)
(Art 16)

Notificarea
privind
Dreptul la Dreptul la
rectificarea sau
portabilitatea opozitie
stergerea sau
datelor
restrictionarea

1
 Cand este obligatorie numirea responsabilului cu
protectia datelor?
SC unde
operațiunile de activitățile principale
prelucrare care, ale operatorului sau
prin natura, ale persoanei
domeniul de împuternicite de
aplicare operator constau în

SPONSOR PROIECT GDPR

și/sau scopurile lor, prelucrarea pe
necesită o scară
monitorizare largă a unor
periodică și categorii speciale
sistematică a de date sau a unor
prelucrarea este date cu caracter
persoanelor vizate
efectuată de o personal privind
pe
autoritate sau un condamnări penale
scară largă, sau
organism public și infracțiuni.

DPO

1
 ? Ce trebuie sa faceti voi pentru GDPR?
1 Constientizarea riscului financiar
2 Sa transmiteti informati catre directorii companiilor cu care colaborati
Sa colaborati cu DPO si Managerul de Proiect pentru identificarile pe ariile
3
pe care le gestionati
 ? Ce trebuie sa faca compania pentru GDPR?
1 Constientizarea riscului financiar

2 Identificarea persoanelor vizate

3 Identificarea datelor cu caracter personal

4 Identificarea procesatorilor de date cu character personal in numele

companiei

5 Acte aditionale / noi contracte cu tertii cu clause nou

6 Informarea persoanelor vizate (client, angajati)

7 Management pentru client existenti; Fluxuri pentru client noi

8 Proiecte noi – analiza impactului

9 Modificari IT pentru drepturile persoanelor vizate

Multumim !

Echipa
Back up slides
 Drepturile persoanelor vizate:
Transparenta
Informare
persoana  Măsuri pentru a informa persoanele vizate
vizata
(art. 13-14, art. 15-22 & 34 din GDPR)
- scris, electronic, verbal
 Modalități de exercitare a drepturilor

In scris/  Informații concise și ușor accesibile, în

electronic/ Transparenta combinație cu pictograme
verbal
- CE acte delgate pt. pictograme standardizate

 Limbaj clar și simplu

Limbaj
Clar si
Simplu

17
Art. 13 GDPR
 Drepturile persoanelor vizate:
Informarea detinatorului de date
Varianta 1: Datele sunt colectate de la persoana vizată – în momentul obținerii
 Identitate, date de contact ale operatorului
- reprezentantului, responsabilului
 Scopul & temeiul juridic al prelucrării
 Destinatarii
 Interesele legitime (art. 6 alin. 1, lit.f)
 Transferul datelor în afara UE
 Perioada de stocare (sau criterii de stabilire)
 Drepturile persoanei

18
Art. 13 GDPR
 Drepturile persoanelor vizate:
Informarea detinatorului de date
Varianta 1: Datele sunt colectate de la persoana vizată – în momentul obținerii -
CONTINUARE
 Dreptul de a-și retrage consimțământul
- în orice moment, fără a afecta legalitatea prelucrării
 Obligativitatea furnizării datelor și consecințele nerespectării
 Dreptul de a depune plângere
 Crearea de profiluri, logica utilizată, consecințe preconizate pt. persoana
vizata
 Informații privind scopul secundar
 Excepție: dacă și în măsura în care persoana vizata deține deja
informațiile
19
Art. 13 GDPR
 Drepturile persoanelor vizate:
Informarea detinatorului de date
Varianta 2: Datele sunt colectate indirect, deci NU de la persoana vizata
In maxim 1 luna trebuie informat cu privire la:
 Identitate, date de contact ale operatorului

- reprezentantului, responsabilului
 Scopul & temeiul juridic al prelucrării
 Destinatarii
 Interesele legitime (art. 6 alin. 1, lit.f)
 Transferul datelor în afara UE
 Perioada de stocare (sau criterii de stabilire)
 Drepturile persoanei
20
Art. 14 GDPR
 Drepturile persoanelor vizate:
Informarea detinatorului de date
Varianta 2: Datele sunt colectate indirect, deci NU de la persoana vizata -
CONTINUARE
 Dreptul de a-și retrage consimțământul

- în orice moment, fără a afecta legalitatea prelucrării

 Obligativitatea furnizării datelor și consecințele nerespectării

 Dreptul de a depune plângere

 Crearea de profiluri, logica utilizată, consecințe preconizate pt. pv

 Informații privind scopul secundar

 Excepție: dacă și în măsura în care pv deține deja informațiile
 Categoriile de date
 Sursa din care provin (publice)

21
Art. 14 GDPR
 Drepturile persoanelor vizate:
Accesul la date
 Confirmarea că datele sunt/nu sunt prelucrate
 Scopul prelucrării
 Categoriile de date
 Destinatarii (și din țări terțe)
 Perioada de stocare (criterii)
 Drepturile persoanei (rectificare, ștergere, restricționare, opoziție,
de a depune plângere)
 Sursa obținerii datelor (colectare indirectă)
 Existența unui proces decizional automat
 Garanții adecvate în caz de transfer
 Furnizarea unei copii (taxă); nu afectează drepturile altora

22
Art. 15 GDPR
 Drepturile persoanelor vizate:
Rectificarea datelor

 Rectificarea / actualizarea datelor inexacte

 Fără întârzieri nejustificate

 Completarea datelor, prin declarație suplimentară, ținând

seama de scop

23
Art. 16 GDPR
 Drepturile persoanelor vizate:
Dreptul de stergere – dreptul de a fi
uitat
Fără întârzieri nejustificate, dacă:
 datele nu mai sunt necesare îndeplinirii scopului
 retragerea consimțământului și nu există alt temei pt. prelucrare
 drept de opoziție (marketing); nu există motive legitime care
să prevaleze
 date prelucrate ilegal
 obligație legală a operatorului
 servicii ale societății informaționale oferite minorilor (prel. legală
dacă are cel puțin 16 ani sau consimțăm. reprezentatului legal)

24
Art. 17 GDPR
 Drepturile persoanelor vizate:
Restrictia prelucrarii
 Persoana contestă exactitatea datelor – necesită verificare de către operator
 Prelucrare ilegală/persoana se opune ștergerii și solicită restricționarea
 Datele sunt necesare pentru constatarea, exercitarea sau apărarea unui
drept al persoanei în instanță

 Persoana își exercită dreptul la opoziție – verificarea prevalenței drepturilor

operatorului asupra celor ale persoanei vizate

Datele restricționate pot fi prelucrate dacă:

 Există consimțământul persoanei vizate

 Constatarea, exercitarea sau apărarea unui drept în instanță

 Protecția drepturilor unei alte persoane
 Motive de interes public important al UE sau al statului membru

25
Art. 18 GDPR
 Drepturile persoanelor vizate:
Notificarea privind divulgare, rectificarea
/stergerea
 Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele
orice rectificare, ștergere, restricționare

 Excepție: imposibilitate (dovedită), efort disproporționat

26
Art. 19 GDPR
 Drepturile persoanelor vizate:
Portabilitatea datelor
 Persoana vizată are dreptul de a primi datele cu caracter personal care o
privesc și pe care le-a furnizat operatorului într- un format structurat, utilizat
în mod curent și care poate fi citit automat și are dreptul de a transmite aceste
date altui
operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele
cu caracter personal
 Condiții:
 Prelucrare în baza consimțământului sau al unui contract
 Prin mijloace automate
 Transmitere directă – dacă este fezabil dpdv tehnic
 Nu aduce atingere art. 17 (dr. la ștergerea datelor-interes public)
 Nu aduce atingere drepturilor altora
27
Art. 20 GDPR
 Drepturile persoanelor vizate:
Opozitie
 Persoana vizată are dreptul de a primi datele cu caracter personal care o
privesc și pe care le-a furnizat operatorului într- un format structurat, utilizat
în mod curent și care poate fi citit automat și are dreptul de a transmite aceste
date altui
operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele
cu caracter personal
 Condiții:
 Prelucrare în baza consimțământului sau al unui contract
 Prin mijloace automate
 Transmitere directă – dacă este fezabil dpdv tehnic
 Nu aduce atingere art. 17 (dr. la ștergerea datelor-interes public)
 Nu aduce atingere drepturilor altora
28
Art. 21 GDPR