Documente Academic
Documente Profesional
Documente Cultură
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
Modulul I
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 – 2020
CONȚINUT TEMATIC:
Cadrul legislativ actual aplicabil protecției datelor cu caracter
personal din perspectivă națională și europeană.
GDPR – Elemente cu caracter de noutate introduse prin
noul cadru legislativ – comparație cu dispozițiile legale
actuale, ghiduri și opinii emise în domeniul protecției datelor
cu caracter personal
Domeniul de aplicare al GDPR din punct de vedere material
și teritorial.
Noțiuni aplicabile în domeniul protecției datelor cu caracter
personal – definiția datelor cu caracter personal, categoriile
speciale de date cu caracter personal (date sensibile),
persoanele implicate în prelucrarea datelor cu caracter
personal (persoane vizate, operator, împuternicit)
Principiile prelucrării datelor cu caracter personal
Noțiunea de responsabil cu protecția datelor cu caracter
personal.
1
Cadrul legislativ actual aplicabil protecției
datelor cu caracter personal din perspectivă
națională și europeană
REGULAMENTUL nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera
circulaţie a acestor date (Regulamentul general privind protecţia datelor)
În data de 4 mai 2016 au fost publicate în Jurnalul Oficial al Uniunii Europene cele
două acte normative care compun pachetul legislativ privind protecţia datelor la
nivelul Uniunii Europene:
Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal,
cu modificările și completările ulterioare – Republicare
2
Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a
Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27
aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea
datelor cu caracter personal şi privind libera circulaţie a acestor date şi de
abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
Legea nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor
la prelucrarea datelor cu caracter personal de către autorităţile competente în
scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii
infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă,
precum şi privind libera circulaţie a acestor date
3
Ghiduri emise de Comitetul European pentru protecția datelor
4
Ghiduri adoptate de Grupul de Lucru art. 29 cu privire la Regulamentul General
privind Protecţia Datelor și aprobate de Comitetul European pentru Protecția
Datelor
În cadrul primei sale plenare, pe data de 25 mai 2018, Comitetul European pentru
Protecția Datelor a aprobat următoarele ghiduri ale Grupului de Lucru Art. 29, privind
Regulamentul General privind Protecţia Datelor, aplicabile de la această dată,
precum și alte documente:
5
simplificând, în acelaşi timp, formalităţile administrative pe care aceştia trebuie să le
parcurgă.
Conform GDPR, datele cu caracter personal vor avea acum o definiție mult mai
largă decât ceea ce există în conformitate cu Legea privind protecția datelor din (1998)
sau Directiva UE privind protecția datelor (1995).
Art. 4.1 "date cu caracter personal" înseamnă orice informație referitoare la o
persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică
identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire
la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un
identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental,
economic, cultural sau social al acelei persoane fizice.
6
Obiective:
regulamentul stabilește un set de reguli direct aplicabile în toate statele membre ale
Uniunii destinat protejării eficiente a vieții private a persoanelor fizice de pe teritoriul
Uniunii Europene
prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor.
Dreptul la Protecția datelor cu caracter personal nu este un drept absolut, acesta să
fie luat în considerare în raport cu funcția pe care o îndeplinește în societate și
echilibrat cu alte drepturi fundamentale în conformitate cu principiul proporționalității
prezentul regulament respectă toate drepturile fundamentale, libertățile și principiile
recunoscute în carte astfel cum sunt consacrate în tratate, în special respectarea
vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu
caracter personal, a libertății în gândire, de conștiință și de religie, a libertății de
exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul
la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală
religioasă și lingvistică.
7
Prevederile Regulamentului consolidează drepturile garantate persoanelor
vizate persoanele ale căror date sunt prelucrate. Astfel, dreptul la informare este
extins, în sensul că persoanele vizate pot obţine de la operatorul de date informaţii mai
clare şi cuprinzătoare cu privire la scopul şi temeiul legal în care se prelucrează datele
personale, perioada de stocare a acestora şi drepturile de care beneficiază.
Dreptul ”de a fi uitat” cu aplicabilitate în mediul on-line este consacrat expres.
Regulamentul mai prevede şi un drept nou, cel la portabilitatea datelor -mai exact
posibilitatea persoanelor vizate de a cere transferarea datelor la un alt operator de date.
Minorii beneficiază de mai multă atenţie
întrucât regulamentul stabileşte o serie de garanţii
specifice pentru a proteja cât mai eficient viaţa privată
a acestora, în special, în mediul on-line. Regulile
stabilite de Regulament vor fi aplicabile tuturor
operatorilor de date, indiferent de locul unde sunt
stabiliţi aceştia, în anumite condiţii. Astfel, în măsura
în care bunurile sau serviciile oferite de o companie
aflată în afara UE, care presupun prelucrarea datelor
personale, sunt adresate în mod vădit şi cetăţenilor
Uniunii Europene, regulile stabilite de Regulament îi
vor fi aplicabile şi acestei companii.
8
Cooperare consolidată între autorităţile de supraveghere - în cazul
prelucrărilor de date transnaţionale (cele care privesc persoane din mai multe state
membre UE), autorităţii de supraveghere din statul respectiv îi sunt oferite competenţe
pentru a se asigura, alături de autorităţile din celelalte state implicate, că datele sunt
prelucrate conform regulilor şi principiilor stabilite de Regulament.
Pentru operatorii de date: One stop shop - formalităţi reduse pentru operatorii
de date (interlocutor unic la nivel UE). Operatorii de date care îşi desfăşoară activităţile
în mai multe state membre UE îşi pot alege un singur interlocutor - autoritatea de
supraveghere din statul membru în care îşi au stabilit sediul principal.
Privacy by design – eşti dezvoltator de aplicaţii prin care se vor prelucra şi date
personale? Trebuie să te asiguri, încă din stadiul dezvoltării, că aplicaţia ta va
respecta regulile şi principiile stabilite de Regulament.
Privacy by default - furnizezi o aplicaţie care prelucrează date personale? Trebuie
să te asiguri că setările iniţiale le vor permite utilizatorilor să îşi menţină controlul
asupra vieţii lor private/ceea ce postează sau împărtăşesc cu alţi utilizatori.
9
Utilizatorul poate alege să dezvăluie mai multe informaţii/date personale, însă trebuie
să o facă în cunoştinţă de cauză, nu implicit (datorită setărilor inițiale).
10
Domeniul de aplicare teritorial
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul
activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe
teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor
persoane vizate care se află în Uniune de către un operator sau o persoană
împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de
prelucrare sunt legate de:
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent
dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
(b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
(3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un
operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în
temeiul dreptului internațional public.
11
aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau
prezice aspect privind performanța persoanei fizice la locul de muncă, preferințele
personale, interesele, fiabilitatea, comportamentul, locația sau mișcările;
e) "pseudonimie" înseamnă prelucrarea datelor cu caracter personal astfel încât datele
cu caracter personal nu mai pot fi atribuite unui anumit subiect de date fără utilizarea
unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie
păstrate separate și să facă obiectul măsurilor tehnice și organizatorice să se asigure
că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau
identificabile;
f) "sistem de evidență" înseamnă orice set structurat de date cu caracter personal care
sunt accesibile în funcție de criterii specifice, centralizate, descentralizate sau dispersate
pe o bază funcțională sau geografică;
g) "operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau
orice alt organism care, singur sau în comun cu alții, stabilește scopurile și mijloacele de
prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele unei
asemenea prelucrări sunt stabilite de legislația Uniunii sau de statul membru, operatorul
sau criteriile specifice de numire a acestuia pot fi prevăzute de legislația Uniunii sau de
statul membru;
h) "procesator" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție
sau un alt organism care prelucrează date cu caracter personal în numele operatorului;
i) "destinatar" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție
sau un alt organism, căruia i se dezvăluie datele cu caracter personal, indiferent dacă
este vorba despre un terț sau nu. Cu toate acestea, autoritățile publice care pot primi
date cu caracter personal în cadrul unei anchete anume în conformitate cu legislația
Uniunii sau a statelor membre nu sunt considerate destinatari; prelucrarea acestor date
de către autoritățile publice respective trebuie să respecte normele aplicabile privind
protecția datelor în conformitate cu scopurile prelucrării;
j) "terță parte" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție
sau un organism, altul decât persoana vizată, controlor, procesator și persoanele care,
sub directa autoritate a operatorului sau a prelucrătorului, sunt autorizate să proceseze
date cu caracter personal;
k) "consimțământul" persoanei vizate înseamnă orice indicație liberă, specifică,
informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care aceasta, printr-
o declarație sau printr-o acțiune clară afirmativă, exprimă acordul cu privire la
prelucrarea datelor cu caracter personal care o privesc sau ea;
l) "încălcarea datelor cu caracter personal" înseamnă o încălcare a securității care
duce la distrugerea, pierderea, modificarea, dezvăluirea neautorizată sau accesul la
datele cu caracter personal transmise, stocate sau prelucrate în alt mod;
m) "date genetice" înseamnă date cu caracter personal referitoare la caracteristicile
genetice moștenite sau dobândite ale unei persoane fizice care oferă informații unice
despre fiziologia sau sănătatea acelei persoane fizice și care rezultă, în special, dintr-o
analiză a unui eșantion biologic din natura persoana în cauză;
n) "date biometrice" înseamnă date cu caracter personal care rezultă din prelucrarea
tehnică specifică referitoare la caracteristicile fizice, fiziologice sau comportamentale ale
unei persoane fizice, care permit sau confirmă identificarea unică a acelei persoane
fizice, cum ar fi imaginile faciale sau datele dactiloscopice;
o) "date privind sănătatea" înseamnă date personale referitoare la sănătatea fizică
12
sau psihică a unei persoane fizice, inclusiv furnizarea de servicii de sănătate, care
dezvăluie informații despre starea sa de sănătate;
p) "sediu principal" înseamnă:
• în ceea ce privește un operator care deține unități din mai multe state membre, locul
administrației sale centrale în Uniune, cu excepția cazului în care deciziile privind
scopurile și mijloacele de prelucrare a datelor cu caracter personal sunt luate într-o altă
unitate a operatorului din Uniune și această instituție are puterea de a pune în aplicare
astfel de decizii, caz în care instituția care a luat astfel de decizii trebuie considerată a fi
principala unitate;
• în ceea ce privește un procesator cu unități din mai multe state membre, locul
administrației sale centrale în Uniune sau, în cazul în care operatorul nu are o
administrație centrală în Uniune, stabilirea procesatorului în Uniune în care se
desfășoară principalele activități de prelucrare în contextul activităților unei unități a
prelucrătorului are loc în măsura în care prelucrătorul face obiectul unor obligații
specifice în temeiul prezentului regulament;
q) "reprezentant" înseamnă o persoană fizică sau juridică stabilită în Uniune care,
desemnată de către operator sau de către prelucrător în scris în conformitate cu articolul
27 , reprezintă operatorul sau prelucrătorul în ceea ce privește obligațiile care le revin în
temeiul prezentului regulament;
r) "întreprindere" înseamnă o persoană fizică sau juridică angajată într-o activitate
economică, indiferent de forma sa juridică, inclusiv parteneriatele sau asociațiile care
desfășoară în mod regulat o activitate economică;
s) "grup de întreprinderi" înseamnă o întreprindere controlantă și întreprinderile sale
controlate;
t) "reguli corporative obligatorii" înseamnă politicile de protecție a datelor cu caracter
personal care sunt respectate de un operator sau de un operator care este stabilit pe
teritoriul unui stat membru pentru transferuri sau un set de transferuri de date cu
caracter personal către un operator sau un prelucrător din una sau maimulte țări terțe,
grupul de întreprinderi sau un grup de întreprinderi care desfășoară o activitate
economică comună;
u) "autoritate de supraveghere" înseamnă o autoritate publică independentă stabilită
de un stat membru în conformitate cu articolul 51 ;
v) "autoritatea de supraveghere în cauză" înseamnă o autoritate de supraveghere
care se ocupă de prelucrarea datelor cu character personal, deoarece:
• operatorul sau prelucrătorul este stabilit pe teritoriul statului membru al respectivei
autorități de supraveghere;
• persoanele vizate rezidente în statul membru al respectivei autorități de supraveghere
sunt afectate în mod substanțial sau pot fi afectate în mod substanțial de prelucrare; sau
• a fost depusă o plângere la această autoritate de supraveghere;
w) "prelucrare transfrontalieră" înseamnă fie:
• prelucrarea datelor cu caracter personal care are loc în contextul activităților unităților
din mai multe state membre ale unui operator de prelucrare sau al unui operator care
prelucrează în Uniune, în cazul în care operatorul sau prelucrătorul este stabilit în mai
multe state membre; sau
• prelucrarea datelor cu caracter personal care are loc în contextul activităților unei
singure unități ale operatorului sau ale prelucrătorului în Uniune, dar care afectează în
mod substanțial sau este susceptibilă să afecteze în mod substantial persoanele vizate
13
din mai multe state membre.
x) "obiecție relevantă și motivată" înseamnă o obiecție la un proiect de decizie în
ceea ce privește existența unei încălcări a prezentului regulament sau dacă acțiunea
preconizată în legătură cu operatorul sau operatorul este conformă cu prezentul
regulament, ceea ce demonstrează în mod clar importanța riscurilor prezentate de
proiectul de decizie cu privire la drepturile și libertățile fundamentale ale persoanelor
vizate și, după caz, la libera circulație
a datelor cu caracter personal în cadrul Uniunii;
y) "serviciu al societății informaționale" înseamnă un serviciu, astfel cum este definit
la articolul 1 alineatul (1) litera (b) din Directiva (UE) 2015/1535 a Parlamentului
European și a Consiliului (1);
z) "organizație internațională" înseamnă o organizație și organismele sale
subordonate reglementate de dreptul internațional public sau orice alt organism
constituit din sau în baza unui acord încheiat între două sau mai multe țări.
14
• Colectați informații de la cetățeni ai UE?
Dacă colectați informații de la cetățeni ai UE, veți intra în mod automat sub incidența
GDPR.
Cu toate acestea, în funcție de gradul de sensibilitate a informațiilor pe care le colectați
sau precesați este posibil să vă încadrați în standarde mai stricte. GDPR acoperă două
categorii de informații protejate: "personale" și "personale sensibile".
• Datele personale.
În mod similar cu vechea legislație, datele cu caracter personal conform legii GDPR se
referă la orice care poate fi utilizat pentru a identifica o persoană, incluzând, dar fără a
se limita la următoarele:
• Numele / prenumele;
• Adrese de email;
• Adrese de corespondență;
• Informație financiară;
• Fotografii / videoclipuri;
• Identificatori online (adresa IP, șiruri de caractere etc.)
15
Principiile prelucrarii datelor cu caracter personal
16
pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau
organizatorice corespunzătoare ("integritate şi confidenţialitate").
(2)Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra
această respectare ("responsabilitate").
17
Responsabilul cu protecţia datelor cu carater personal (DPO)
18
protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor
astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite
de operatori.
(5)Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi,
în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei
datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.
(6)Responsabilul cu protecţia datelor poate fi un membru al personalului operatorului
sau persoanei împuternicite de operator sau poate să îşi îndeplinească sarcinile în baza
unui contract de servicii.
(7)Operatorul sau persoana împuternicită de operator publică datele de contact ale
responsabilului cu protecţia datelor şi le comunică autorităţii de supraveghere.
19
personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a
personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra
protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35;
d)cooperarea cu autoritatea de supraveghere;
e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind
aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36,
precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.
(2)În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod
corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare natura,
domeniul de aplicare, contextul şi scopurile prelucrării.
20
Conceptul de DPO nu este nou
Cu toate că Directiva 95/46/CE 5 nu impune niciunei organizații să numească un
DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai
multe state membre. Anterior adoptării GPDR, WP29 a susținut că DPO reprezintă un
punct important al responsabilității și că numirea unui DPO poate facilita respectarea și,
în plus, poate reprezenta un avantaj competitiv pentru companii.
Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de
responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și
efectuarea sau facilitarea auditurilor - DPIA), DPO acționează ca intermediar între părțile
interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și
unitățile de afaceri din cadrul unei organizații).
DPO nu este personal responsabil în caz de nerespectare a GDPR. GDPR
spune clar că resposabil este operatorul sau persoana împuternicită de operator care
trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată
în conformitate cu disponzițiile sale (art. 24 (1)). Respectarea normelor de protecție a
datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de
operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol
crucial în a permite îndeplinirea eficientă a atribuțiilor DPO.
Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO
are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.
GDPR recunoaște DPO ca un actor-cheie în noul sistem de guvernare al protecției
datelor și stabilește condițiile pentru numirea sa, poziția și sarcinile sale.
21
Ofițerul pentru protecția datelor ține cont de legi și practici privind protecția
datelor, realizează evaluări de confidențialitate pe plan intern și asigură faptul că toate
celelalte aspecte de conformitate cu privire la date sunt actualizate.
Deși legislația UE promovează crearea de roluri de protecție a datelor, alte țări se
confruntă cu probleme legate de confidențialitatea datelor și pot necesita roluri similare
prin intermediul unor reglementări actualizate.
22
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL II
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020
1
OPERATOR
persoana fizică sau juridică, autoritatea publică, agenția sau alt organism
care, singur sau împreună cu altele, stabilește scopurile și mijloacele de
prelucrare a datelor cu caracter personal; atunci când scopurile și
mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern,
operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
prevăzute în dreptul Uniunii sau în dreptul intern
Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul
unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este
necesară o persoană care să exercite o misiune de informare, de consiliere și de control
în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018,
raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în
cazul în care operatorul sau persoana împuternicită de operator:
este o autoritate publică sau un organism public, cu excepţia instanţelor în
exercitarea funcţiei lor jurisdicţionale;
2
desfășoară o activitate principală care conduce la realizarea unei monitorizări
constante și sistematice pe scară largă a persoanelor;
desfășoară o activitate principală care constă în prelucrarea pe scară largă de date
sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase,
apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau
referitoare la condamnări penale și infracţiuni.
Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia
datelor, ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al
activităţii responsabilului în vederea asigurării respectării Regulamentului General de
Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.
Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în
vederea înţelegerii și respectării obligaţiilor prevăzute de RGPD, dialogului cu autorităţile
pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.
3
Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter
personal efectuate și pentru a răspunde noilor exigenţe, trebuie identificate, în
prealabil, cu precizie:
diferitele prelucrări de date cu caracter personal;
categoriile de date cu caracter personal prelucrate;
scopurile urmărite prin operaţiunile de prelucrare a datelor;
persoanele care prelucrează aceste date;
fluxurile de date, indicând originea și destinaţia datelor, în special pentru a
identifica eventualele transferuri de date în afara Uniunii Europene.
CINE ?
Se înscriu în evidenţa numele și coordonatele operatorului (și ale reprezentantului sau
legal) și, dupa caz, ale responsabilului cu protecţia datelor;
Se întocmește lista persoanelor împuternicite, după caz.
CE ?
Se identifică categoriile de date cu caracter personal prelucrate;
Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile
deosebite (datele privind sănătatea sau infracţiunile)
DE CE ?
Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu
caracter personal (ex. gestionarea relaţiei comerciale, managementul resurselor umane,
geolocalizare, videosupraveghere etc.)
4
UNDE ?
Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor.
Se stabilesc statele către care sunt, eventual, transferate datele.
PÂNĂ CÂND?
Se precizează, pentru fiecare categorie de date, perioada de stocare.
CUM ?
Se precizează masurile de securitate implementate pentru a reduce la minimum riscurile
de acces neautorizat la date și, în consecinţa, impactul asupra vieţii private a
persoanelor vizate.
5
- Prelucrarea efectuată vizează și categorii de date precum:
date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau
religioase, apartenenţa sindicală;
date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
date referitoare la infracţiuni sau condamnări penale;
date referitoare la minori.
- Prelucrarea efectuată implică transferuri de date în afara Uniunii Europene, către state
care nu asigură un nivel de protecţie adecvat recunoscut de Comisia Europeană.
GESTIONAREA RISCURILOR
6
Evaluarea impactului asupra protecţiei datelor permite:
realizarea unei prelucrări de date cu caracter personal sau a unui produs care
respectă viaţa privată;
estimarea impactului asupra vieţii private a persoanelor vizate;
demonstarea faptului că principiile fundamentale ale Regulamentul General privind
Protecţia Datelor sunt respectate.
Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:
(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la
persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri,
și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau
care o afectează în mod similar într-o măsură semnificativă;
(b) prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9
alineatul (1), sau a unor date cu caracter personal privind condamnări penale și
infracţiuni, menţionată la articolul 10; sau
(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de
operator pentru atenuarea acestora, se consultă Autoritatea naţională de supraveghere.
7
stocare și accesibilitatea lor, astfel încât datele cu caracter personal să nu fie
accesate, fără intervenţia persoanei, de un număr nelimitat de persoane;
sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea
unui plan de pregătire și de comunicare cu persoanele care prelucrează date
cu caracter personal;
soluţionarea plângerilor și cererilor adresate de persoanele vizate în
exercitarea drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a
acestora; exercitarea drepturilor trebuie să se poată realiza inclusiv pe cale
electronică, în cazul în care datele au fost colectate prin astfel de mijloace;
anticiparea unei posibile încălcări a securităţii datelor specificând, pentru
anumite cazuri,
obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de
ore și a persoanelor vizate în cel mai scurt timp;
asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri
tehnice și organizatorice adecvate, incluzând printre altele, după caz:
a)pseudonimizarea și criptarea datelor cu caracter personal;
b)capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și
rezistenţa
continue ale sistemelor și serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter personal și
accesul la acestea
în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii
măsurilor
tehnice și organizatorice pentru a garanta securitatea prelucrării.
8
şi se actualizează dacă este necesar.
(2)Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, măsurile
menţionate la alineatul (1) includ punerea în aplicare de către operator a unor politici
adecvate de protecţie a datelor.
9
datelor cu caracter personal;
h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra
respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor,
inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la
acestea.
În ceea ce priveşte primul paragraf litera (h), persoana împuternicită de operator
informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă
prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii
referitoare la protecţia datelor.
10
(4)Operatorul sau persoana împuternicită de acesta, precum şi, după caz,
reprezentantul operatorului sau al persoanei împuternicite de operator pun
evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.
(5)Obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau
organizaţii cu mai puţinde 250 de angajaţi, cu excepţia cazului în care prelucrarea pe
care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile
persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii
speciale de date, astfel cum se prevede la articolul 9 alineatul (1), saudate cu caracter
personal referitoare la condamnări penale şi infracţiuni, astfel cum se menţionează la
articolul 10.
11
b)dreptul intern care se aplică operatorului.
Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce priveşte
prelucrarea menţionată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei
sarcini efectuate în interes public sau în cadrul exercitării unei funcţii publice atribuite
operatorului. Respectivul temei juridic poate conţine dispoziţii specifice privind adaptarea
aplicării normelor prezentului regulament, printre altele: condiţiile generale care
reglementează legalitatea prelucrării de către operator; tipurile de date care fac obiectul
prelucrării; persoanele vizate; entităţile cărora le pot fi divulgate datele şi scopul pentru
care respectivele date cu caracter personal pot fi divulgate; limitările legate de scop;
perioadele de stocare; şi operaţiunile şi procedurile de prelucrare, inclusiv măsurile de
asigurare a unei prelucrări legale şi echitabile cum sunt cele pentru alte situaţii concrete
de prelucrare astfel cum sunt prevăzute în capitolul IX. Dreptul Uniunii sau dreptul intern
urmăreşte un obiectiv de interes public şi este proporţional cu obiectivul legitim urmărit.
(4)În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter
personal au fost colectate nu se bazează pe consimţământul persoanei vizate sau pe
dreptul Uniunii sau dreptul intern, care constituie o măsură necesară şi proporţională
într-o societate democratică pentru a proteja obiectivele menţionate la articolul 23
alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu
scopul pentru care datele cu caracter personal au fost colectate iniţial, ia în considerare,
printre altele:
a)orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi
scopurile prelucrării ulterioare preconizate; b)contextul în care datele cu caracter
personal au fost colectate, în special în ceea ce priveşte relaţia dintre persoanele vizate
şi operator;
c)natura datelor cu caracter personal, în special în cazul prelucrării unor categorii
speciale de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care
sunt prelucrate date cu caracter personal referitoare la condamnări penale şi infracţiuni,
în conformitate cu articolul 10;
d)posibilele consecinţe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
e)existenţa unor garanţii adecvate, care pot include criptarea sau pseudonimizarea.
cu consimțământul persoanelor fizice în cauză (Preambul (32), (42), (43); Art. 6 alin
(1) lit. (a) . Prelucrarea este permisă dacă persoana vizată și-a dat consimțământul
pentru prelucrare. Manifestare liber exprimată- în cunoștință de cauză (informat);-
specifică; - clară. Persoana vizată își poate retrage consimțământul în orice moment-
după retragerea consimțământului, prelucrarea poate continua numai dacă există un
alt temei pentru prelucrare)
când există o obligație contractuală (Preambul (44); Art. 6 alin. (1) lit. (b)
Prelucrarea este necesară pentru executarea unui contract la care persoana vizată
este parte sau pentru a face demersuri la cererea persoanei vizate înainte de
încheierea unui contract)
pentru a respecta o obligație legală (Preambul (45); Art.6(1) lit. (c);Art. 6 alin. (3)
Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului);
12
când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește
unui interes public (Prelucrarea este necesară pentru îndeplinirea unei sarcini care
servește unui interes public sau care rezultă din exercitarea autorității publice cu care
este învestit operatorul);
pentru a proteja interesele vitale ale unei persoane fizice (Preambul (46); Art.6(1) lit.
(d) Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate
sau ale altei persoane fizice)
în scopul intereselor legitime ale organizației dvs., dar numai după ce v-ați asigurat
că acest lucru nu are un impact grav asupra drepturilor și a libertăților fundamentale
ale persoanei ale cărei date le prelucrați. Dacă drepturile persoanei respective
prevalează în raport cu interesele dvs., prelucrarea nu poate fi efectuată în temeiul
unui interes legitim. Stabilirea aspectului dacă societatea/organizația dvs. are
interese legitime privind prelucrarea în raport cu cele ale persoanelor în cauză
depinde de circumstanțele individuale.
EXEMPLE:
Consimțământul
Societatea/organizația dvs. oferă o aplicație de muzică și solicitați consimțământul
cetățenilor pentru a le prelucra preferințele muzicale, cu scopul de a le oferi sugestii
personalizate privind melodiile și eventuale concerte.
Obligație contractuală
Societatea/organizația dvs. vinde produse online. Aceasta poate prelucra datele care
sunt necesare pentru a parcurge etapele premergătoare încheierii contractului la
solicitarea persoanei respective și pentru executarea contractului. Așadar, puteți
prelucra numele, adresa de livrare, numărul cardului de credit (dacă plata se efectuează
cu cardul) etc.
Obligație legală
Sunteți proprietarul unei societăți cu angajați. Pentru a obține acoperire în materie de
securitate socială, legea vă obligă să furnizați autorității relevante date cu caracter
personal (de exemplu, venitul săptămânal al angajaților dvs.).
Interes public
Exemplu: o asociație profesională, cum ar fi o asociație de tip barou sau o cameră a
profesioniștilor din domeniul medical învestită cu o autoritate oficială în acest scop,
poate efectua proceduri disciplinare împotriva unor membri ai săi.
13
Interesele legitime ale organizației dvs.
Societatea/organizația dvs. asigură securitatea rețelei sale, monitorizează utilizarea
dispozitivelor de TI ale angajaților săi. Societatea/organizația dvs. poate prelucra în mod
legitim date cu caracter personal în acest scop numai dacă alegeți metoda cel mai puțin
intruzivă în ceea ce privește drepturile angajaților dvs. la protejarea confidențialității și a
datelor, de exemplu, limitând accesibilitatea anumitor site-uri (Rețineți că acest lucru nu
este posibil în statele membre UE în care legislația națională stabilește norme mai
stricte pentru prelucrarea în contextul legat de forța de muncă.)
Conceptul de consimțământ, astfel cum a fost utilizat până în prezent în Directiva privind
protecția datelor (denumită în continuare „Directiva 95/46/CE”) și în Directiva asupra
confidențialității și comunicațiilor electronice, a evoluat. RGPD oferă clarificări
suplimentare și precizări privind cerințele pentru obținerea și dovedirea
consimțământului valabil.
14
Consimțământul rămâne unul dintre cele șase temeiuri legale de prelucrare a
datelor cu caracter personal, astfel cum sunt enumerate la articolul 6 din RGPD.
Atunci când inițiază activități care implică prelucrarea de date cu caracter personal,
operatorul de date trebuie întotdeauna să analizeze care ar fi temeiul legal adecvat
pentru prelucrarea avută în vedere.
În general, consimțământul poate constitui un temei legal adecvat doar în cazul în care
persoanei vizate i se oferă controlul și i se dă
posibilitatea reală de a face o
alegere în ceea ce privește
acceptarea sau refuzarea
termenelor oferite sau
respingerea
acestora fără a fi
prejudiciată. Atunci când
solicită consimțământul, un
operator are datoria de a evalua dacă cererea
va îndeplini toate condițiile pentru obținerea unui
consimțământ valabil. În cazul în care este obținut în deplină conformitate cu RGPD,
consimțământul este un instrument care oferă persoanelor vizate posibilitatea de a
controla dacă datele cu caracter personal care le privesc vor fi sau nu prelucrate. În caz
contrar, controlul deținut de persoana vizată devine iluzoriu, iar consimțământul nu va
constitui un temei valabil pentru prelucrare, făcând ca activitatea de prelucrare să fie
ilegală.
Articolul 4 punctul (11) din RGPD definește consimțământul ca fiind: „orice manifestare
de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care
aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu
caracter personal care o privesc să fie prelucrate”.
15
decizie reversibilă și că este menținut un anumit grad de control din partea persoanei
vizate.
Liber exprimat
Elementul „liber” implică o alegere reală și un control real din partea persoanelor vizate.
Ca regulă generală, RGPD prevede că, dacă persoana vizată nu beneficiază de o
alegere reală, se simte obligată să consimtă sau va suporta consecințe negative dacă
nu consimte, consimțământul nu va fi valabil. Dacă consimțământul este înglobat, ca
parte ce nu poate fi negociată, în cuprinsul termenelor și condițiilor, se prezumă că
acesta nu a fost exprimat în mod liber. În consecință, consimțământul nu va fi considerat
liber exprimat dacă persoana vizată nu este în măsură să refuze sau să-și retragă
consimțământul fără a fi prejudiciată. Noțiunea de dezechilibru între operator și
persoana vizată este, de asemenea, luată în considerare de RGPD. Atunci când se
evaluează dacă consimțământul este exprimat în mod liber, ar trebui să se țină seama,
de asemenea, de situația specială în care consimțământul este inclus în contracte sau
prestarea unui serviciu este condiționată de acordarea consimțământului, astfel cum se
descrie la articolul 7 alineatul (4). Articolul 7 alineatul (4) a fost redactat în mod
neexhaustiv prin utilizarea cuvintelor „printre altele”, ceea ce înseamnă că pot exista o
serie de alte situații care intră sub incidența acestei dispoziții. În termeni generali, orice
element de presiune sau de influență nepotrivită asupra persoanei vizate (care se poate
manifesta în diferite moduri) și care împiedică exprimarea voinței libere a acesteia
determină lipsa de validitate a consimțământului.
16
online nu sunt necesare pentru furnizarea serviciului de editare fotografică și ambele
depășesc serviciul de bază furnizat. Întrucât utilizatorii nu pot folosi aplicația fără a
consimți la prelucrarea datelor în aceste scopuri, nu se poate considera că un astfel de
consimțământ este acordat în mod liber.
Dezechilibrul de putere
Considerentul 4314 indică în mod clar că este improbabil ca autoritățile publice să se
poată baza pe consimțământ pentru prelucrarea datelor deoarece, ori de câte ori
operatorul este o autoritate publică, există adesea un dezechilibru evident de putere în
relația dintre operator și persoana vizată. De asemenea, este clar că, în majoritatea
cazurilor, persoana vizată nu va avea o alternativă realistă la acceptarea prelucrării (a
condițiilor de prelucrare) respectivului operator. Fără a aduce atingere acestor
considerații generale, utilizarea consimțământului ca temei legal pentru prelucrarea
datelor de către autoritățile publice nu este total exclusă în cadrul juridic al RGPD.
[Exemplu] O persoană care are în proprietate teren are nevoie de anumite autorizații
atât de la administrația publică locală, cât și de la administrația regională sau centrală pe
raza căreia se află administrația locală. Ambele organisme publice solicită aceleași
informații pentru emiterea autorizațiilor, dar nu își accesează reciproc bazele de date.
Prin urmare, ambele solicită aceleași informații, iar proprietarul trimite informațiile
solicitate ambelor organisme publice. Administrația locală și administrația regională sau
centrală solicită consimțământul acestuia pentru a fuziona dosarele, în scopul de a evita
dublarea procedurilor și a corespondenței. Ambele organisme publice garantează că
această posibilitate este opțională și că solicitările de obținere a autorizațiilor vor fi
prelucrate separat în cazul în care proprietarul nu dorește fuzionarea acestora.
Proprietarul poate decide în mod liber dacă să-și dea consimțământul pentru fuzionarea
dosarelor.
17
[Exemplu] O școală publică le solicită elevilor consimțământul pentru a le folosi
fotografiile într-o revistă tipărită pentru elevi. Exprimarea consimțământului în aceste
situații ar fi o alegere reală atât timp cât elevilor nu li se va refuza accesul la educație
sau la servicii și aceștia pot refuza utilizarea fotografiilor lor fără a fi prejudiciați în vreun
mod.
Prin urmare, cel puțin următoarele informații sunt necesare pentru obținerea unui
consimțământ valabil:
identitatea operatorului,
scopul fiecărei operațiuni de prelucrare pentru care se solicită consimțământul,
tipul de date care vor fi colectate și utilizate,
existența dreptului de retragere a consimțământului33 ,
informații privind utilizarea datelor pentru procesul decizional automatizat în
conformitate cu articolul 22 alineatul (2) litera (c)34, dacă este cazul,
cu privire la posibilele riscuri legate de transferurile de date din cauza lipsei unei
decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor adecvate,
astfel cum se descrie la articolul 46.
18
CONDIȚII SPECIALE APLICABILE ÎN CEEA CE PRIVEȘTE
CONSIMȚĂMÂNTUL MINORILOR.
Art. 8: Condiţii aplicabile în ceea ce priveşte consimţământul copiilor în legătură
cu serviciile societăţii informaţionale
(1)În cazul în care se aplică articolul 6 alineatul (1) litera (a), în ceea ce priveşte oferirea
de servicii ale societăţii informaţionale în mod direct unui copil, prelucrarea datelor cu
caracter personal ale unui copil este legală dacă copilul are cel puţin vârsta de 16 ani.
Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă şi în
măsura în care consimţământul respectiv este acordat sau autorizat de titularul
răspunderii părinteşti asupra copilului.
Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiţia
ca acea vârstă inferioară să nu fie mai mică de 13 ani.
(2)Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că
titularul răspunderii părinteşti a acordat sau a autorizat consimţământul, ţinând seama
de tehnologiile disponibile.
(3)Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre,
cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură
cu un copil.
19
RGPD creează un nivel suplimentar de protecție în cazul în care sunt prelucrate
datele cu caracter personal ale persoanelor fizice vulnerabile, în special ale copiilor.
Articolul 8 introduce obligații suplimentare pentru a asigura un nivel sporit de protecție a
datelor copiilor în legătură cu serviciile societății informaționale. Motivele pentru o
protecție sporită sunt menționate în considerentul 38: „[...] pot fi mai puțin conștienți de
riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea
datelor cu caracter personal [...]”. De asemenea, considerentul 38 prevede că „această
protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal
ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau
de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul
utilizării serviciilor oferite direct copiilor”. Cuvintele „în special” indică faptul că protecția
specifică nu se limitează la marketing sau la crearea de profiluri, ci include în mod mai
amplu „colectarea datelor cu caracter personal privind copiii”. Articolul 8 alineatul (1)
prevede că, în cazurile în care se aplică consimțământul, în legătură cu oferirea de
servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu
caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani.
Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în
măsura în care consimțământul respectiv este acordat sau autorizat de titularul
răspunderii părintești asupra copilului. În ceea ce privește limita de vârstă a
consimțământului valabil, RGPD oferă flexibilitate, statele membre putând prevedea prin
lege o vârstă inferioară, dar vârsta respectivă nu poate fi sub 13 ani. Cu privire la
consimțământul în cunoștință de cauză, informațiile trebuie să fie ușor de înțeles pentru
publicul căruia i se adresează operatorul, acordând o atenție specială situației copiilor.
Pentru a obține un „consimțământ în cunoștință de cauză” de la un copil, operatorul
trebuie să explice, folosind un limbaj clar și simplu pentru copii, modul în care
intenționează să prelucreze datele pe care le colectează. Dacă părintele este cel care ar
trebui să consimtă, atunci poate fi necesar un set de informații care să permită adulților
să ia o decizie în cunoștință de cauză.
Din cele de mai sus rezultă că articolul 8 se aplică numai în cazul în care sunt
îndeplinite următoarele condiții:
• prelucrarea se referă la oferirea de servicii ale societății informaționale în mod
direct unui copil1;
• prelucrarea se bazează pe consimțământ.
1
În conformitate cu articolul 4 punctul (25) din RGPD, un serviciu al societății informaționale înseamnă un serviciu
astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535: „(b) serviciu” înseamnă orice
serviciu al societății informaționale, adică orice serviciu prestat în mod normal în schimbul unei remunerații, la
distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului. În sensul prezentei definiții:
(i) „la distanță” înseamnă că serviciul este prestat fără ca părțile să fie prezente simultan; (ii) „prin mijloace
electronice” înseamnă că serviciul este transmis inițial și primit la destinație prin intermediul echipamentului
electronic pentru prelucrarea (inclusiv arhivarea digitală) și stocarea datelor și este transmis integral, transferat și
recepționat prin cablu, radio, mijloace optice sau alte mijloace electromagnetice; (iii) „la solicitarea individuală a
beneficiarului serviciilor” înseamnă că serviciul este prestat prin transmiterea datelor în urma solicitării individuale.”
O listă indicativă a serviciilor care nu intră sub incidența acestei definiții este prezentată în anexa I la directiva
menționată anterior. A se vedea, de asemenea, considerentul 18 din Directiva 2000/31. 61 Conform articolului 1 din
Convenția ONU cu privire la drepturile copilului, „[...] prin copil se înțelege orice ființă umană sub vârsta de 18 ani,
exceptând cazurile în care legea aplicabilă copilului stabilește limita majoratului sub această vârstă”. A se vedea
Organizația Națiunilor Unite, Rezoluția Adunării Generale 44/25 din 20 noiembrie 1989 (Convenția cu privire la
drepturile copilului).
20
Curtea Europeană de Justiție a considerat că serviciile societății informaționale
cuprind contracte și alte servicii care sunt încheiate sau transmise online. Atunci când
un serviciu are două componente independente din punct de vedere economic, una fiind
componenta online, cum ar fi oferta și acceptarea unei oferte în contextul încheierii unui
contract sau informațiile referitoare la produse sau servicii, inclusiv activitățile de
comercializare, această componentă este definită ca serviciu al societății informaționale,
cealaltă componentă fiind reprezentată de livrarea fizică sau distribuția de bunuri, care
nu este acoperită de noțiunea de serviciu al societății informaționale. Furnizarea online a
unui serviciu ar intra sub incidența termenului de serviciu al societății informaționale de
la articolul 8 din RGPD.
21
Consimțământul copiilor și răspunderea părintească
Serviciile de verificare furnizate de o parte terță de încredere pot oferi soluții care să
reducă la minimum volumul de date cu caracter personal pe care operatorul însuși
trebuie să îl prelucreze.
Pasul 1: solicită utilizatorului să declare dacă are mai mult sau mai puțin de 16 ani (sau
vârsta alternativă pentru consimțământul digital). Dacă utilizatorul declară că are vârsta
inferioară celei necesare pentru consimțământul digital:
Pasul 2: serviciul informează copilul că un părinte sau un tutore trebuie să consimtă sau
să autorizeze prelucrarea înainte ca serviciul să fie oferit copilului. Utilizatorului i se
solicită să comunice adresa de e-mail a unui părinte sau tutore.
Exemplul arată că operatorul se poate afla în situația de a arăta că s-au făcut eforturi
rezonabile pentru a se asigura obținerea unui consimțământ valabil în legătură cu
serviciile oferite unui copil. Articolul 8 alineatul (2) adaugă în mod special că: „operatorul
depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul
22
răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de
tehnologiile disponibile”
Revine operatorului sarcina de a stabili ce măsuri sunt adecvate într-o anumită situație.
Ca regulă generală, operatorii ar trebui să evite soluțiile de verificare care implică ele
însele colectarea excesivă de date cu caracter personal.
Consimtamantul acordat anterior datei de 25 mai 2018 poate ramane temei legal pentru
prelucrarea datelor cu caracter personal dacă îndeplinește condițiile Regulamentului.
23
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL III
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020
1
I. Informații introductive
Unul dintre obiectivele-cheie ale noului Regulament european general privind
protecția datelor (GDPR) este de a asigura confidențialitatea și protecția datelor cu
caracter personal ale persoanelor vizate, prin împuternicirea acestora cu anumite
drepturi; pe care le pot exercita în condiții speciale. Pe baza acestor drepturi, persoanele
vizate pot face o cerere specifică și pot fi asigurate că datele cu caracter personal nu
sunt utilizate în mod abuziv în alte scopuri decât scopul legitim pentru care au fost inițial
furnizate.
2
1. Dreptul la informare
Acest drept oferă persoanei vizate posibilitatea de a solicita informații privind
tipul de date prelucrate în legătură cu datele sale personale, precum și raționamentul
prelucrării.
Dreptul de a fi informat cuprinde obligația de a furniza "informații corecte de
procesare", de obicei printr-o notificare privind confidențialitatea. Acesta subliniază
nevoia de transparență în ceea ce privește modul în care utilizați datele cu caracter
personal.
GDPR stabilește informațiile pe care trebuie să le furnizați și când trebuie să fie
informați indivizii. Informațiile pe care le furnizați sunt determinate de faptul că ați
obținut sau nu datele personale direct de la persoane fizice. Informațiile pe care le
furnizați cu privire la prelucrarea datelor cu caracter personal trebuie să fie: concise,
transparente, inteligibile și ușor accesibile, scrise în limbaj clar, gratuite.
2. Dreptul de acces
Acest drept oferă persoanei vizate posibilitatea de a avea acces la datele sale
personale care sunt procesate. Persoanele fizice au astfel dreptul de a vizualiza propriile
date cu caracter personal, precum și de a solicita copii ale acestor date.
În cadrul GDPR, persoanele fizice vor avea dreptul să obțină:
• confirmarea faptului că datele sunt procesate;
• accesul la datele lor personale; și
• alte informații suplimentare - aceasta corespunde în mare măsură informațiilor care
trebuie furnizate într-un anunț de confidențialitate (a se vedea articolul 15).
GDPR clarifică faptul că motivul pentru care permite accesul persoanelor fizice
la datele lor personale este ca acestea să fie conștiente și să poată verifica legalitatea
procesării (considerentul 63).
3
solicitările de acces ulterioare. Taxa trebuie să se bazeze pe costul administrativ al
furnizării informațiilor.
Informațiile solicitate de către persoana vizată trebuie furnizate în termen de 30
de zile de la primirea cererii. Veți putea prelungi perioada cu încă două luni, în cazul în
care cererile sunt complexe sau numeroase. În acest caz, trebuie să informați persoana
în termen de o lună de la primirea cererii și să explicați de ce este necesară extinderea.
În cazul în care refuzați să răspundeți unei cereri (deoarece considerați că ar fi în mod
vădit nefondate, excesive, sau repetitive), trebuie să explicați refuzul. In plus, persoana
respectivă va fi informată cu privire la dreptul de a se plânge autorității de supraveghere
și la o cale de atac, fără întârzieri nejustificate și cel târziu în termen de o lună.
Pentru a furniza informațiile, trebuie să verificați identitatea persoanei care face
cererea, folosind "mijloace rezonabile".
Dacă cererea este făcută electronic, trebuie să furnizați informațiile într-un format
electronic utilizat în mod obișnuit.
GDPR include o recomandare privind cele mai bune practici care, în măsura posibilului,
ar trebui să permită organizațiilor să furnizeze accesul de la distanță la un sistem de
autoservire securizat care să le permită accesul direct la informațiile sale (considerentul
63). Acest lucru nu va fi potrivit pentru toate organizațiile, dar există câteva sectoare în
care acest lucru ar putea funcționa bine.
Dreptul de a obține o copie a informațiilor sau de a accesa date cu caracter
personal printr-un sistem securizat accesat la distanță nu ar trebui să afecteze negativ
drepturile și libertățile celorlalți.
În cazul în care procesați o cantitate mare de informații despre o persoană,
GDPR vă permite să solicitați persoanei să specifice informațiile la care se referă
cererea (considerentul 63). GDPR nu include o scutire pentru solicitările care se referă
la cantități mari de date, însă este posibil să puteți examina dacă cererea este vădit
nefondată sau excesivă.
3. Dreptul la rectificare
Acest drept oferă persoanei vizate posibilitatea de a solicita modificări ale datelor
sale personale în cazul în care persoana vizată consideră că aceste date cu caracter
personal nu sunt actualizate, complete sau exacte.
Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare
destinatar și să îi informați despre rectificare - cu excepția cazului în care acest lucru se
dovedește imposibil sau implică eforturi disproporționate.
4
Dreptul de ștergere nu oferă un drept "absolut de uitat". Persoanele fizice au
dreptul de a șterge datele cu caracter personal și de a împiedica procesarea în
circumstanțe specifice. În cazul în care datele cu caracter personal nu mai sunt
necesare în raport cu scopul pentru care au fost inițial colectate / prelucrate.
Când individul își retrage consimțământul.
Atunci când individul se opune prelucrării și nu există un interes legitim pentru
continuarea procesării.
Datele personale au fost prelucrate ilegal (adică încălcând în mod diferit GDPR).
Datele cu caracter personal trebuie să fie șterse pentru a respecta o obligație legală.
Datele personale sunt prelucrate în raport cu oferta de servicii a societății
informaționale unui copil.
În conformitate cu GDPR, acest drept nu se limitează la prelucrarea care provoacă
daune sau primejdie nejustificate și
substanțiale. Cu toate acestea, dacă
procesarea provoacă daune sau
suferințe, este posibil ca situația de
ștergere să fie mai puternică.
Există anumite circumstanțe
specifice în care dreptul de
ștergere nu se aplică.
Puteți refuza să vă conformați
unei solicitări de ștergere în cazul în care datele personale sunt procesate din
următoarele motive:
să exercite dreptul la libertatea de exprimare și de informare;
să respecte o obligație legală de îndeplinire a unei sarcini de interes public sau de
exercitare a autorității publice.
în scopuri de sănătate publică în interesul public;
arhivarea în interes public, cercetare științifică istorică sau scopuri statistice; sau
exercitarea sau apărarea revendicărilor legale.
Dreptul de ștergere a datelor personale ale copiilor
Există cerințe suplimentare atunci când solicitarea de ștergere se referă la
datele personale ale copiilor, reflectând accentul GDPR asupra protecției sporite a
acestor informații, în special în mediile online.
Dacă procesați datele personale ale copiilor, trebuie să acordați o atenție deosebită
situațiilor existente în care un copil și-a dat acordul pentru procesare și ulterior solicită
ștergerea datelor (indiferent de vârstă la momentul solicitării), în special pe site-urile de
rețele sociale și forumuri de internet. Acest lucru se datorează faptului că este posibil ca
un copil să nu fi fost pe deplin conștient de riscurile asociate procesării în momentul
consimțământului (considerentul 65).
Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare
destinatar și să îi informați cu privire la ștergerea datelor cu caracter personal - cu
excepția cazului în care acest lucru se dovedește imposibil sau implică un efort
disproporționat.
Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.
GDPR consolidează dreptul de a șterge prin clarificarea faptului că organizațiile din
mediul online care publică datele cu caracter personal trebuie să informeze alte
5
organizații care prelucrează datele cu caracter personal pentru a șterge legăturile,
copiile sau replicarea datelor cu caracter personal în cauză.
Deși acest lucru ar putea fi dificil, dacă procesați informații personale online, de
exemplu în rețele sociale, pe forumuri sau pe site-uri web, trebuie să vă străduiți să
respectați aceste cerințe. Ca și în exemplul de mai jos, pot exista situații în care
organizațiile care procesează datele cu caracter personal nu pot fi obligate să respecte
această prevedere, deoarece se aplică o derogare.
Exemplu
Un motor de căutare notifică un editor mass-media că elimină rezultatele căutării care se
leagă de un raport de știri ca urmare a unei cereri de ștergere de la un individ. Dacă
publicarea articolului este protejată de scutirea de libertatea de expresie, editorul nu are
obligația de a șterge articolul.
6
6. Dreptul la portabilitatea datelor
Acest drept oferă persoanei vizate posibilitatea de a solicita transferul datelor sale
cu caracter personal. Ca parte a unei astfel de solicitări, persoana vizată poate cere ca
datele sale personale să fie furnizate înapoi (către el sau ea) sau transferate unui alt
operator. În acest sens, datele cu caracter personal trebuie să fie furnizate sau
transferate într-un format electronic lizibil.
Dreptul la portabilitatea datelor permite persoanelor să obțină și să reutilizeze datele lor
personale în scopuri proprii în cadrul diferitelor servicii. Acest drept le permite să
deplaseze, să copieze sau să transfere datele personale cu ușurință de la un mediu IT
la altul într-un mod sigur și securizat, fără a împiedica utilizarea datelor.
Dreptul la portabilitatea datelor se aplică numai:
la datele personale pe care o persoană le-a furnizat unui controlor;
în cazul în care prelucrarea are la bază consimțământul persoanei fizice sau pentru
executarea unui contract; și
atunci când prelucrarea se face prin mijloace automate.
Trebuie să furnizați datele personale într-o formă structurată, frecvent utilizată și care
poate fi citită cu ușurință. Formatele deschise includ
fișierele CSV. Informațiile trebuie furnizate gratuit.
Este posibil să vi se solicite să transmiteți
datele direct unei alte organizații, dacă
acest lucru este fezabil din punct de
vedere tehnic. Cu toate acestea, nu
sunteți obligat să adoptați sau să
mențineți sisteme de procesare care
sunt compatibile din punct de vedere
tehnic cu alte organizații.
Dacă datele personale se referă la mai multe
persoane, trebuie să vă gândiți dacă furnizarea
informațiilor ar aduce atingere drepturilor oricărei alte persoane.
Trebuie să răspundeți fără întârzieri nejustificate și în decurs de o lună. Acest lucru
poate fi prelungit cu două luni în cazul în care cererea este complexă sau primiți o serie
de solicitări. Trebuie să informați persoana în termen de o lună de la primirea cererii și
să explicați de ce este necesară extinderea.
7. Dreptul de a obiecta
Persoanele fizice au dreptul să se opună:
prelucrarea bazată pe interese legitime sau îndeplinirea unei sarcini de interes
public/ exercitarea autorității publice (inclusiv profilarea);
marketing direct (inclusiv profilare); și
prelucrarea în scopul cercetării științifice / istorice și al statisticilor.
Trebuie să opriți prelucrarea datelor cu caracter personal cu excepția cazului în care:
puteți demonstra motive legitime convingătoare pentru prelucrare, care depășesc
interesele, drepturile și libertățile individului; sau procesarea este pentru stabilirea,
exercitarea sau apărarea unor revendicări legale.
7
Trebuie să informați indivizii despre dreptul lor de a se opune "la prima comunicare" și în
avizul dvs. privind confidențialitatea. Aceasta trebuie să fie "adusă explicit în atenția
persoanei vizate și trebuie prezentată în mod clar și separat de orice altă informație".
Trebuie să opriți prelucrarea datelor personale în scopuri de marketing direct de îndată
ce primiți o obiecție. Nu există scutiri sau motive de refuz. Trebuie să vă ocupați de o
obiecție împotriva procesării pentru marketing direct în orice moment și gratuit.
Trebuie să informați indivizii despre dreptul lor de a se opune "la prima comunicare" și
în avizul dvs. privind confidențialitatea. Aceasta trebuie să fie "adusă explicit în atenția
persoanei vizate și trebuie prezentată în mod clar și separat de orice altă informație".
Persoanele fizice trebuie să aibă "motive legate de situația sa particulară" pentru a-și
exercita dreptul de a se opune prelucrării în scopuri de cercetare. Dacă efectuați
cercetări în cazul în care prelucrarea datelor cu caracter personal este necesară pentru
îndeplinirea unei sarcini de interes public, nu vi se cere să respectați o obiecție față de
procesare.
8
Exemple de acest tip includ:
decizie online de acordare a unui împrumut; și
un test de aptitudine de recrutare care utilizează algoritmi și criterii pre-
programate.
Automatizarea procesului decizional individual nu trebuie să implice profilarea, deși
deseori va face acest lucru.
GDPR definește profilarea astfel:
Art. 4 al. 4 Orice formă de prelucrare automată a datelor cu caracter personal care
constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte
personale referitoare la o persoană fizică, în special pentru a analiza sau prezice
aspecte privind performanța persoanei fizice la locul de muncă, situația economică,
sănătatea, interese, fiabilitate, comportament, locație sau mișcări.
Organizațiile obțin informații personale despre persoane dintr-o varietate de surse
diferite. Căutările pe Internet, obiceiurile de cumpărare, stilul de viață și comportamentul
colectate de pe telefoanele mobile, rețelele sociale, sistemele de supraveghere video și
Internetul obiectelor sunt exemple ale tipurilor de organizații de date pe care le-ar putea
colecta. Informațiile sunt analizate pentru a clasifica oamenii în diferite grupuri sau
sectoare, folosind algoritmi și învățarea automată. Această analiză identifică legăturile
dintre diferite comportamente și caracteristici pentru a crea profiluri pentru persoane
fizice.
Pe baza trăsăturilor altora, organizațiile folosesc profilarea pentru a:
afla ceva despre preferințele persoanelor;
prezice comportamentul lor; și / sau
lua decizii.
Acest lucru poate fi foarte util pentru organizații și persoane fizice în multe sectoare,
inclusiv asistență medicală, educație, servicii financiare și marketing.
Automatizarea procesului de luare a deciziilor și a profilului individual poate duce la
decizii mai rapide și mai coerente. Dar dacă sunt folosite iresponsabil, există riscuri
semnificative pentru persoane fizice. Dispozițiile GDPR sunt concepute pentru a
răspunde acestor riscuri.
GDPR restricționează luarea deciziilor numai în mod automatizat, inclusiv cele bazate
pe profilare, care au un efect juridic sau similar semnificativ asupra persoanelor.
Art. 22 al. 1 Persoana vizată are dreptul de a nu face obiectul unei decizii bazate
exclusiv pe prelucrarea automată, inclusiv pe profil, care produce efecte juridice care îi
privesc sau o afectează în mod semnificativ în mod similar.
9
Puteți lua numai decizii automatizate, cu efecte juridice sau cu efecte similare, dacă
decizia este:
necesară pentru încheierea sau executarea unui contract între o organizație și
persoana fizică;
autorizată prin lege (de exemplu, pentru fraudă sau evaziune fiscală); sau
pe baza consimțământului explicit al persoanei.
Dacă utilizați date personale de categorie specială, puteți efectua numai procesarea
descrisă la articolul 22 alineatul (1) dacă:
aveți consimțământul explicit al persoanei; sau
prelucrarea este necesară din motive de interes public considerabil.
Deoarece acest tip de procesare este considerat a fi de mare risc, GDPR vă cere să
efectuați o evaluare a impactului protecției datelor (DPIA) pentru a arăta că ați identificat
și evaluat ce reprezintă aceste riscuri și cum le veți aborda.
Pe lângă faptul că restricționați circumstanțele în care puteți efectua decizii individuale
automatizate, GDPR:
solicită să oferiți persoanelor informații specifice despre prelucrare;
vă obligă să luați măsuri pentru a preveni erorile, părtinirea și discriminarea; și
conferă persoanelor dreptul de a contesta și de a solicita revizuirea deciziei.
Aceste dispoziții sunt concepute pentru a spori înțelegerea persoanelor în ceea ce
privește modul în care puteți utiliza datele lor personale.
Articolul 22 se aplică numai luării automate a deciziilor individuale, inclusiv a profilării, cu
efecte juridice sau similare semnificative.
Dacă procesarea dvs. nu se potrivește cu această definiție, puteți continua să realizați
profilări și luați decizii automate, dar trebuie să respectați în continuare principiile GDPR.
Pagin CAPI
10
Drepturile persoanelor vizate
Extras din Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea
ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a
acestor date şi de abrogare a Directivei 95/46/CE
11
(b)fie să refuze să dea curs cererii.
În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat
sau excesiv al cererii.
(6) Fără a aduce atingere articolului 11, în cazul în care are îndoieli întemeiate cu privire
la identitatea persoanei fizice care înaintează cererea menționată la articolele 15-21,
operatorul poate solicita furnizarea de informații suplimentare necesare pentru a
confirma identitatea persoanei vizate.
(7) Informațiile care urmează să fie furnizate persoanelor vizate în temeiul articolelor 13
și 14 pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un
mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra
prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format
electronic, acestea trebuie să poată fi citite automat.
(8) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 92 în
vederea determinării informațiilor care urmează să fie prezentate de pictograme și a
procedurilor pentru furnizarea de pictograme standardizate.
12
(a)perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru
nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b)existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea
acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum
și a dreptului la portabilitatea datelor;
(c)atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe
articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice
moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte
de retragerea acestuia;
(d)dreptul de a depune o plângere în fața unei autorități de supraveghere;
(e)dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau
contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă
persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt
eventualele consecințe ale nerespectării acestei obligații;
(f)existența unui proces decizional automatizat incluzând crearea de profiluri, menționat
la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații
pertinente privind logica utilizată și privind importanța și consecințele preconizate ale
unei astfel de prelucrări pentru persoana vizată.
(3) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter
personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul
furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind
scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu
alineatul (2).
(4) Alineatele (1), (2) și (3) nu se aplică dacă și în măsura în care persoana vizată deține
deja informațiile respective.
13
articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la
garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora,
în cazul în care acestea au fost puse la dispoziție.
(2) Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei
vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și
transparentă în ceea ce privește persoana vizată:
(a)perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru
nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b)în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terță;
(c)existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea
acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și
a dreptului la portabilitatea datelor;
(d)atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe
articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice
moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte
de retragerea acestuia;
(e)dreptul de a depune o plângere în fața unei autorități de supraveghere;
(f)sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea
provin din surse disponibile public;
(g)existența unui proces decizional automatizat incluzând crearea de profiluri, menționat
la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații
pertinente privind logica utilizată și privind importanța și consecințele preconizate ale
unei astfel de prelucrări pentru persoana vizată.
(3) Operatorul furnizează informațiile menționate la alineatele (1) și (2):
(a)într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai
mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate
datele cu caracter personal;
(b)dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu
persoana vizată, cel târziu în momentul primei comunicări către persoana vizată
respectivă; sau
(c)dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar,
cel mai târziu la data la care acestea sunt divulgate pentru prima oară.
(4) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter
personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul
furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind
scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu
alineatul (2).
(5) Alineatele (1)-(4) nu se aplică dacă și în măsura în care:
(a)persoana vizată deține deja informațiile;
14
(b)furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi
disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în
scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva condițiilor
și a garanțiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligația
menționată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să
afecteze în mod grav realizarea obiectivelor prelucrării respective In astfel de cazuri,
operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime
ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului;
(c)obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau
de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate
pentru a proteja interesele legitime ale persoanei vizate; sau
(d)în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul
unei obligații statutare de secret profesional reglementate de dreptul Uniunii sau de
dreptul intern, inclusiv al unei obligații legale de a păstra secretul.
Art. 15 Dreptul de acces al persoanei vizate
(1) Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se
prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la
datele respective și la următoarele informații:
(a)scopurile prelucrării;
(b)categoriile de date cu caracter personal vizate;
(c)destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost
sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații
internaționale;
(d)acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele
cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a
stabili această perioadă;
(e)existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu
caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la
persoana vizată sau a dreptului de a se opune prelucrării;
(f)dreptul de a depune o plângere în fața unei autorități de supraveghere;
(g)în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată,
orice informații disponibile privind sursa acestora;
(h)existența unui proces decizional automatizat incluzând crearea de profiluri, menționat
la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații
pertinente privind logica utilizată și privind importanța și consecințele preconizate ale
unei astfel de prelucrări pentru persoana vizată.
(2) În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o
organizație internațională, persoana vizată are dreptul să fie informată cu privire la
garanțiile adecvate în temeiul articolului 46 referitoare la transfer.
(3)Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul
prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe
15
o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată
introduce cererea în format electronic și cu excepția cazului în care persoana vizată
solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod
curent.
(4) Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor
și libertăților altora.
16
(3) Alineatele (1) și (2a) nu se aplică în măsura în care prelucrarea este necesară:
(a)pentru exercitarea dreptului la liberă exprimare și la informare;
(b)pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului
Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei
sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care
este învestit operatorul;
(c)din motive de interes public în domeniul sănătății publice, în conformitate cu articolul
9 alineatul (2) literele (h) și (i) și cu articolul 9 alineatul (3);
(d)în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică
ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care
dreptul menționat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în
mod grav realizarea obiectivelor prelucrării respective; sau
(e)pentru constatarea, exercitarea sau apărarea unui drept în instanță.
Art. 18 - Dreptul la restricționarea prelucrării
(1) Persoana vizată are dreptul de a obține din partea operatorului restricționarea
prelucrării în cazul în care se aplică unul din următoarele cazuri:
(a)persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite
operatorului să verifice exactitatea datelor;
(b)prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter
personal, solicitând în schimb restricționarea utilizării lor;
(c)operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar
persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în
instanță; sau
(d)persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1),
pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului
prevalează asupra celor ale persoanei vizate.
(2) În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de
date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu
consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui
drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice
sau din motive de interes public important al Uniunii sau al unui stat membru.
(3) O persoană vizată care a obținut restricționarea prelucrării în temeiul alineatului (1)
este informată de către operator înainte de ridicarea restricției de prelucrare.
17
eforturi disproporționate. Operatorul informează persoana vizată cu privire la destinatarii
respectivi dacă persoana vizată solicită acest lucru.
18
(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la
alineatele (1) și (2) este adus în mod explicit în atenția persoanei vizate și este prezentat
în mod clar și separat de orice alte informații.
(5) În contextual utilizării serviciilor societății informaționale și în pofida Directivei
2002/58/CE, persoana vizată își poate exercita dreptul de a se opune prin mijloace
automate care utilizează specificații tehnice.
(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare
științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1),
persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune
prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care
prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.
19
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL IV
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020
1
Pentru alinierea companiei sau organizației dvs. la GDPR, vă recomandăm să
definiți și aplicați politici de confidențialitate precum și proceduri de aplicare la nivel de
organizație și extins la terții cu care cooperați și împreună să vă asigurați că respectați
prevederile și cerințele GDPR.
Pentru a evalua în mod eficient impactul RGPD asupra activităţii entităţii, este necesară
identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenţei
activităţilor de prelucrare.
Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter personal
efectuate și pentru a răspunde noilor exigenţe, trebuie identificate, în prealabil, cu
precizie:
diferitele prelucrări de date cu caracter personal;
categoriile de date cu caracter personal prelucrate;
scopurile urmărite prin operaţiunile de prelucrare a datelor;
persoanele care prelucrează aceste date;
fluxurile de date, indicând originea și destinaţia datelor, în special pentru a
identifica eventualele transferuri de date în afara Uniunii Europene.
Definiția GDPR este clară și concisă, dar cu toate acestea, există cîteva aspecte de
clarificat referitor la acesta definiție aparent simplă.
Pe de altă parte, există câteva excepții privind datele cu caracter personal în domenii
precum sănătatea publică și cercetarea științifică, deci este important să înțelegeți
impactul GDPR pentru industria dvs.
2
Datele personale care au fost supuse pseudonimiei, care ar putea fi atribuite unei
persoane fizice prin utilizarea unor informații suplimentare, ar trebui considerate a fi
informații privind o persoană fizică identificabilă (GDPR).
GDPR nu acoperă date anonime. Totuși, acoperă așa-numitele date cu caracter
personal pseudonimizate , deoarece pseudonimizarea , o "tactică" adesea folosită în,
printre altele, securitatea și analiza, poate fi inversată și, spre deosebire de datele
anonime, poate fi urmărită de o persoană fizică identificabilă - persoana vizată.
Datele generale
În mod similar cu vechea legislație, datele cu caracter personal conform legii GDPR se
referă la orice care poate fi utilizat pentru a identifica o persoană, incluzând, dar fără a
se limita la următoarele:
Adrese de email;
Numele / prenumele;
Adrese de corespondență;
Informație financiară;
Fotografii / videoclipuri;
Identificatori online (adresa IP, șiruri de caractere etc.)
Datele speciale
Trebuie să aveți o bază legală pentru procesarea dvs. în conformitate cu articolul 6 din
GDPR, exact în același mod ca și pentru orice alte date cu caracter personal. Diferența
este că va trebui, de asemenea, să îndepliniți o condiție specifică în conformitate cu
articolul 9.
Acest lucru se datorează faptului că datele din categoriile speciale sunt mai sensibile și
necesită mai multă protecție. De exemplu, informații despre persoana fizică precum:
rasă; genetica;
origine etnica; biometrie;
politică; sănătate;
religie; viața sexuală; sau
apartenența la sindicate; orientarea sexuală.
3
Datele din categoria specială sunt date personale pe care GDPR le spune că sunt mai
sensibile și necesită o protecție mai mare.
Pentru a procesa în mod legal date speciale de categorii, trebuie să identificați atât o
bază legală în conformitate cu articolul 6, cât și o condiție separată pentru prelucrarea
datelor din categoriile speciale în conformitate cu articolul 9. Acestea nu trebuie să fie
legate.
Există zece condiții pentru prelucrarea datelor din categoriile speciale în GDPR în sine,
însă Legea privind protecția datelor va introduce condiții și garanții suplimentare.
Trebuie să determinați condiția pentru prelucrarea datelor din categoriile speciale înainte
de a începe această procesare în cadrul GDPR și ar trebui să o documentați.
Legea privind protecția datelor se referă la acest tip de date într-un mod similar datelor
din categoriile speciale și stabilește condițiile specifice care oferă autoritate legală
pentru prelucrarea acestora.
De asemenea, puteți procesa acest tip de date dacă aveți autoritate oficială de a face
acest lucru, deoarece prelucrați datele într-o capacitate oficială. Nu puteți păstra un
registru cuprinzător al condamnărilor penale decât dacă o faceți în mod oficial.
Trebuie să vă stabiliți condiția pentru prelucrarea legală a datelor despre infracțiuni (sau
să identificați autoritatea oficială pentru procesare) înainte de a începe prelucrarea și ar
trebui să documentați acest lucru.
4
Fluxul de date cu caracter personal se referă la canalele prin care circulă datele
personale și identificarea lor vă permite să gestionați aceste informații și linii de
comunicare. În ideea minimizării datelor colectate vă recomandăm o revizuire a acestor
canale și reducerea lor dar cel mai important a datelor pe care le transmiteți și/sau
recepționați.
Având în vedere plaja foarte largă a acestui domeniu și implicațiile sale, există foarte
multe metode și canale prin care circulă și manipulăm date cu caracter personal.
5
Ca parte a înregistrării activităților de procesare, poate fi utilă documentarea (sau
conectarea la documentația) a altor aspecte ale conformității cu GDPR și cu Legea
privind protecția datelor din Romania.
Companiile care procesează date cu caracter personal sunt de așteptat să facă acest
lucru într-un mod legal. Adică, orice prelucrare trebuie să se bazeze, conform cu GDPR,
în baza unui scop legitim.
1.Limitarea scopului
Prelucrarea datelor cu caracter personal trebuie să se limiteze la scopul legitim pentru
care datele respective au fost colectate inițial de la persoana vizată. Aceasta interzice în
mod eficient prelucrarea datelor cu caracter personal în afara scopului legitim pentru
care au fost colectate datele cu caracter personal.
6
2.Minimizarea datelor
La colectarea datelor, pot fi solicitate numai datele cu caracter personal necesare în
acest scop. Aceasta înseamnă că nu pot fi solicitate sau stocate alte date decât cele
necesare. Acest lucru are importanță atunci când compania dvs. analizează date. Va fi
important să se limiteze analiza datelor la un set de date anonime sau la un set de date
pentru care consimțământul a fost obținut sau dacă există un scop clar de prelucrare
legitim.
3.Acuratețea
Datele cu caracter personal ale persoanelor vizate trebuie să fie întotdeauna exacte și
actualizate, ceea ce înseamnă că controlorilor li se solicită să se asigure că datele sunt
păstrate exacte, iar persoanele vizate pot să își actualizeze datele când este necesar.
4.Integritatea și confidențialitatea
Datele personale trebuie prelucrate într-un mod care să asigure o securitate adecvată,
inclusiv protecția împotriva procesării neautorizate sau ilegale. De asemenea, controlorii
trebuie să se asigure că datele nu pot fi modificate de persoane neautorizate.
5.Limitarea stocării
Datele personale trebuie păstrate numai atunci când este necesar. Așadar, datele cu
caracter personal ar trebui șterse odată ce obiectivul legitim pentru care a fost colectat a
fost îndeplinit. Acest lucru nu este simplu și trebuie stabilit în conformitate cu legile
aplicabile care pot necesita, uneori, păstrarea datelor cu caracter personal pentru o
perioadă mai lungă decât scopul inițial prevăzut de procesare.
6.Echitabilitate și transparență
GDPR solicită ca toate prelucrările de date cu caracter personal să fie corecte; adică,
companiile nu efectuează procesări care nu sunt legitime. De asemenea, societățile ar
trebui să fie transparente în ceea ce privește prelucrarea datelor cu caracter personal și
să informeze persoana vizată în mod deschis și transparent. Aceasta înseamnă că
datele cu caracter personal ar trebui procesate dacă și numai dacă există un scop
legitim pentru prelucrarea acestor date cu caracter personal. UE GDPR cere
companiilor să practice transparența, astfel încât persoanele vizate să fie suficient de
informate cu privire la prelucrarea datelor lor personale.
Pe lângă aceste principii, este de asemenea important să fi înțeles modul în care GDPR
definește drepturile persoanelor vizate și baza juridică pentru procesarea datelor.
Responsabilitate
Așteptările conform cărora firmele sunt corecte, transparente și prelucrează datele cu
caracter personal conduc, în cele din urmă, la responsabilitate, care este un cadru de
auto-disciplină între companii.
7
Articolul 5 alineatul (2) impune operatorului:
8
Principiul responsabilității presupune că puteți demonstra că respectați GDPR și că aveți
politici și procese adecvate. Aceasta înseamnă că trebuie să puteți demonstra că ați luat
în considerare în mod corect baza legală care se aplică fiecărui scop de procesare și
care vă poate justifica decizia.
Prin urmare, trebuie să păstrați o evidență a bazei pe care vă bazați pentru fiecare scop
de procesare și o justificare a motivelor pentru care credeți că se aplică. Nu există un
formular standard pentru acest lucru, atâta timp cât vă asigurați că ceea ce înregistrați
este suficient pentru a demonstra că se aplică o bază legală.
Este responsabilitatea dvs. să vă asigurați că puteți demonstra care este temeiul legal
care se aplică scopului special de procesare.
Trebuie să includeți în avizul dvs. de confidențialitate informații despre baza dvs. legală
(sau baze, dacă se aplică mai multe). În conformitate cu prevederile privind transparența
GDPR, informațiile de care aveți nevoie pentru a oferi oamenilor includ:
scopurile propuse pentru prelucrarea datelor cu caracter personal;
baza legală pentru prelucrare.
Acest lucru se aplică dacă colectați datele personale direct de la persoana respectivă
sau colectați datele dvs. dintr-o altă sursă.
9
1. Înțelegerea comună a datelor pe care organizația le deține. Aceasta necesită
implementarea:
a. un model de date la nivel de organizație și un glosar de termeni afaceri -
aceste două elemente ajută organizația dumneavoastră să creeze o viziune
comună asupra datelor, ceea ce înseamnă că toți angajații din cadrul
organizației pot discuta despre aceleași concepte și pot folosi aceeași
terminologie pentru a descrie aceste concepte. Acest lucru va reduce în cele
din urmă ineficiențele care rezultă din mai multe medii instituționale sau de
afaceri care manipulează aceleași date.
b. clasificarea informațiilor - în funcție de riscul asociat informațiilor, trebuie luate
măsuri de control adecvate. Clasificarea informațiilor poate fi structurată în
jurul standardelor ISO care identifică trei dimensiuni distincte ale
confidențialității, integrității și disponibilității și ale evaluării pentru risc a
organizației dumneavoastră.
10
GDPR introduce o obligație pentru toate organizațiile de a raporta anumite tipuri de
încălcări ale datelor cu caracter personal către autoritatea de supraveghere competentă.
Trebuie să faceți acest lucru în termen de 72 de ore de la conștientizarea încălcării,
acolo unde este posibil.
După cum am specificat mai sus, GDPR cere ca, în caz de încălcare, operatorul să
notifice încălcarea fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72
de ore după ce a luat cunoștință de aceasta.
Acest lucru poate ridica problema când un controlor poate fi considerat a fi "conștient"
de o încălcare. WP29 consideră că un controlor ar trebui considerat ca fiind "conștient"
atunci când operatorul respectiv are un grad rezonabil de certitudine că sa produs un
incident de securitate care a dus la compromiterea datelor cu caracter personal.
Cu toate acestea, după cum sa indicat anterior, GDPR cere operatorului să pună în
aplicare toate măsurile tehnice și de protecție necesare pentru a stabili imediat dacă a
avut loc o încălcare și pentru a informa imediat autoritatea de supraveghere și
persoanele vizate. De asemenea, se precizează faptul că notificarea a fost efectuată
fără întârzieri nejustificate, luând în considerare, în special, natura și gravitatea
încălcării, precum și consecințele acesteia și efectele negative asupra persoanei vizate.
11
Exemple
1. În cazul pierderii unei chei USB cu date cu caracter personal necriptate, adesea nu
este posibil să se verifice dacă persoanele neautorizate au avut acces la aceste
date. Cu toate acestea, chiar dacă operatorul nu poate stabili dacă a avut loc o
încălcare a confidențialității, un astfel de caz trebuie notificat, deoarece există un
grad rezonabil de certitudine că sa produs o încălcare a disponibilității; controlerul ar
deveni "conștient" când a realizat că tasta USB a fost pierdută.
După ce a fost informat prima dată despre o posibilă încălcare de către o persoană
fizică, o organizație media sau altă sursă sau când ea însăși a detectat un incident de
securitate, operatorul poate întreprinde o scurtă perioadă de investigație pentru a stabili
dacă o încălcare a avut sau nu a avut loc un fapt. În această perioadă de investigație,
operatorul nu poate fi considerat "conștient". Cu toate acestea, este de așteptat ca
investigația inițială să înceapă cât mai curând posibil și să stabilească cu un grad
rezonabil de certitudine dacă a avut loc o încălcare; o investigație mai detaliată poate
urma.
Cu toate acestea, un controlor poate avea deja o evaluare inițială a riscului potențial
care ar putea rezulta dintr-o încălcare în cadrul unei evaluări a impactului privind
protecția datelor (DPIA), efectuată înainte de efectuarea operațiunii de prelucrare în
cauză. Cu toate acestea, DPIA poate fi mai generalizată în comparație cu
circumstanțele specifice ale oricărei încălcări efective și, în orice caz, va trebui făcută o
evaluare suplimentară ținând cont de aceste circumstanțe.
12
În majoritatea cazurilor, aceste acțiuni preliminare trebuie finalizate imediat după
alertarea inițială (adică când controlorul sau procesatorul suspectează că a avut loc un
incident de securitate care ar putea implica date cu caracter personal) - ar trebui să
dureze mai mult decât în cazuri excepționale.
Exemplu
13
În același timp, controlorul ar trebui să acționeze pentru a conține și recupera
încălcarea.
Documentarea încălcării ar trebui să aibă loc pe măsură ce se dezvoltă.
Conform specificațiilor GDPR Art. 35 (7), Evaluarea de impact asupra datelor personale
trebuie să acopere cel puțin următoarele aspecte:
descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor
prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu
aceste scopuri;
evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate
la alineatul (1); și măsurile preconizate în vederea abordării riscurilor, inclusiv
garanțiile, măsurile de securitate și mecanismele menite să asigure protecția
datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile
prezentului regulament
14
În concluzie, cerințele UE privind GDPR se bazează pe principii. Aceste principii se
concentrează în jurul conceptelor de responsabilitate, iar prelucrarea este legală,
corectă și transparentă.
Evidența activităților de procesare poate fi ţinută prin realizarea unui exercițiu de audit
de informații sau de cartografiere a datelor. Această activitate vă poate ajuta să aflați ce
date personale deține organizația dvs. și unde sunt localizate.
15
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL V
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020
1
Evaluarea impactului asupra protecției datelor
DPIA (DATA PROTECTION IMPACT ASSESSMENT)
2
amendă administrativă de până la 10 milioane EUR sau, în cazul unei întreprinderi,
până la 2% din cifra de afaceri
globală anuală, oricare dintre acestea este mai mare.
3
În conformitatea cu abordarea bazată pe risc implementată de RGPD, realizarea
unei DPIA nu este obligatorie pentru fiecare operațiune de prelucrare. În schimb, DPIA
este necesară numai în cazul în care un tip de prelucrare „ar putea duce la un risc ridicat
pentru drepturile și libertățile persoanelor fizice”. Simplul fapt că condițiile care
declanșează obligația de a realiza DPIA nu au fost îndeplinite nu diminuează, însă,
obligația generală a operatorilor de a implementa măsuri corespunzătoare pentru
gestionarea adecvată a riscurilor asupra drepturilor și libertăților persoanelor vizate. În
practică, acest lucru înseamnă că operatorii trebuie să evalueze în mod continuu
riscurile create de activităților lor de prelucrare pentru a identifica monentul în care un tip
de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor
fizice”.
Figura următoare ilustrează principiile de bază referitoare la DPIA din RGPD:
A. Cui se aplică DPIA? Unei singure operațiuni de prelucrare sau unui set de
operațiuni similare de prelucrare
DPIA se poate referi doar la o singură operațiune de prelucrare. Cu toate acestea, art.
35 (1) menționează că „o evaluare unică poate aborda un set de operațiuni de
prelucrare similare care prezintă riscuri ridicată similare”. Considerentul 92 adaugă
faptul că „există situații ar putea fi rezonabil și util din punct de vedere economic ca o
evaluare a impactului asupra protecției datelor să aibă o perspectivă mai extinsă decât
cea a unui singur proiect, de exemplu în cazul în care autorități sau organisme publice
4
intenționează să instituie o aplicație sau o platformă de prelucrare comună sau în cazul
în care mai mulți operatori preconizează să introducă o aplicație comună sau un mediu
de prelucrare comun în cadrul unui sector sau segment industrial sau pentru o activitate
orizontată utilizată la scară largă”. O singură DPIA poate fi folosită pentru a evalua
multiple operațiuni de prelucrare similare în ceea ce privește natura, obiectivul, contextul,
scopul și riscurile. Într-adevăr, DPIA urmărește să studieze în mod sistematic situații noi
care ar putea conduce la riscuri ridicate pentru drepturile și libertățile persoanelor fizice
și nu este necesară realizarea unei DPIA în cazurile (adică operațiunile de prelucrare
efecutate într-un context specific și pentru un anumit scop) care au fost deja studiate.
Acest lucru ar putea fi situația în care se utilizează o tehnologie similară pentru a colecta
același tip de date în aceleași scopuri.
În aceste situații, o DPIA de referință ar trebui împărțită sau pusă la dispoziția publicului,
măsurile descrise în DPIA trebuie puse în aplicare și trebuie furnizată o justificare pentru
realizarea unei DPIA unice. În situația în care operațiunea de prelucrare implică
operatori asociații, aceștia trebuie să-și definească exact obligațiile. DPIA trebuie să
stabilească partea responsabilă pentru diferitele măsuri destinate să trateze riscurile și
să protejeze drepturile și libertățile pesoanelor vizate. Fiecare operator de date ar trebui
să-și exprime nevoile și să împărtășească informații utile fără a compromite secretele
(spre exemplu: protecția secretelor comerciale, a proprietății intelectuale, a informațiilor
comerciale) sau a dezvălui vulnerabilități.
O DPIA poate fi, de asemenea, utilă pentru evaluarea impactului asupra protecției
datelor a unui produs tehnologic, de exemplu un hardware sau software, în cazul în care
acest lucru este probabil să fie utilizat de diferiți operatori de date pentru a efectua
diferite operațiuni de prelucrare. Bineînțeles, operatorul de date care utilizează produsul
rămâne obligat să-și îndeplinească propria DPIA în ceea ce privește implementarea
5
specifică, dar acesta poate fi informat în legătură cu o DPIA pregătită de furnizorul de
produse, dacă este cazul. Un exemplu ar putea fi relația dintre producătorii de contoare
inteligente și companiile de utilități. Fiecare furnizor sau procesator de produs ar trebui
să împărtășească informații utile fără a compromite vreun secret și fără a aduce riscuri
de securitate prin divulgarea vulnerabilităților.
B. Care operațiuni de prelucrare fac obiectul unei DPIA? În afară de excepții,
situațiile care sunt „susceptibile să genereze un risc ridicat”
Prezenta secțiune descrie când este și când nu este necesară realizarea unei DPIA.
Cu excepția cazului în care operațiunea de prelucrare se încadrează într-o excepție
(III.B.a), trebuie să se efectueze o DPIA în cazul în care o operațiune de prelucrare este
„susceptibilă să genereze un risc ridicat” (III.B.b).
a) Când este obligatorie DPIA?
Când prelucrarea este „susceptibilă să genereze un risc ridicat”.
GDPR nu impune efectuarea unei DPIA pentru fiecare operațiune de prelucrare care
poate conduce la riscuri pentru drepturile și libertățile persoanelor fizice. Executarea
unei DPIA este obligatorie numai atunci când prelucrarea este „susceptibilă să genereze
un risc ridicat pentru drepturile și libertățile persoanelor fizice” (art. 35 (1), ilustrat de art.
35 (3) și completat de art. 35 (4)). Este deosebit de relevant atunci când se introduce o
nouă tehnologie de prelucrare a datelor.
În situațiile în care nu este clar dacă DPIA este obligatorie, se recomandă, totuși,
efectuarea unei DPIA ca un instrument util pentru a ajuta operatorii de date să respecte
legea privind protecția datelor.
Chiar dacă DPIA ar putea fi solicitată în alte circumstanțe, art. 35 (3) oferă câteva
exemple atunci când o operațiune de prelucrare este „susceptibilă să genereze riscuri
ridicate”:
- „(a) evaluare sistematică și cuprinzătoare a aspectelor persoanle referitoare la
persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri,
și care stă la baza unor decizii care produc efecte juridice privind peroana fizică sau
care o afectează în mod similar într-o măsură semnificativă;
- (b) prelucrarea pe scară largă a unor categorii speciale de date, menționată la art. 9 (1)
sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționat
la art. 10; sau
- (c) monitorizare sistematică pe cară largă a unei zone accesibilte publicului”.
După cum indică expresia „în special” din teza introductivă a art. 35 (3) din RGPD,
aceasta este o listă neexhaustivă. Pot exista operațiuni de prelucrare „cu risc ridicat”
care nu sunt cuprinse în această listă, dar prezintă totuși riscuri la fel de mari. Aceste
operațiuni de prelucrare ar trebui, de asemenea, să facă obiectul DPIA. Din acest motiv,
criteriile prezentate mai jos depășesc uneori o explicație simplă a ceea ce ar trebui
înțeles prin cele trei exemple menționate la art. 35 (3) din RGPD.
Pentru a oferi un set mai precis de operațiuni de prelucrare care necesită o DPIA
datorită riscului ridicat inerent, ținând seama de elementele speciale ale art. 35 (1) și
ale art. 35 (3) a)-c), la adoptarea la nivel național a listei în conformitate cu art. 35 (4) și
Considerentele 71, 75 și 91 și alte referințe RGPD la operațiunile de prelucrare
„susceptibile să conducă la un risc ridicat” trebuie luate în considerare următoarele
nouă criterii.
1. Evaluarea sau scoring, inclusiv profilarea și preconizarea, în special din „aspecte
privind performanța persoanei vizate la locul de muncă, situația economică, starea de
6
sănătatea, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația
sau deplasările” (Considerentele 71 și 91). Astfel de exemple ar putea include o instituție
financiară care își monitorizează clienții printr-o bază de date de tip credit sau printr-o
bază de date destinată spălării banilor sau combaterea finanțării terorismului sau a unei
baze de date împotriva fraudei sau a unei companii de biotehnologie care oferă teste
genetice direct consumatorilor pentru a evalua și prezice riscurile pentru boală/sănătate
sau pentru a crea un profil de comportabment sau de marketing bazat pe utilizarea sau
navigarea pe site-ul său web.
2. Proces decizional automatizat cu efecte legale sau similare semnificative:
prelucrare care vizează luarea deciziilor asupra persoanelor vizate care produc „efecte
juridice privind prsoana fizică” sau care „o afectează în mod similar într-o măsură
semnificativă” (art. 35 (3) a)). Spre exemplu, prelucrarea poate conduce la excluderea
sau discriminarea persoanelor. Prelucrarea cu efect redus sau fără efect asupra
persoanelor nu corespunde acestui criteriu specific.
3. Monitorizare sistematică: prelucrare folosită pentru a observa, monitoriza sau
controla persoanele vizate, incluzând colectarea de data prin rețele sau „monitorizarea
sistematică a unei zone accesibile publicului” (art. 35 (3) c)). Acest tip de monitorizare
reprezintă un criteriu deoarece datele cu caracter personal pot fi colectate în situații în
care persoanele vizate pot să nu fie conștiente de cine colectează datele și modul în
care acestea vor fi utilizate. În plus, poate fi imposibil ca persoanele să nu fie supuse
unei astfel de prelucrării în spațiul (sau zonele publice) accesibile publicului.
4. Date sensibile sau date de natură foarte personală: acestea includ categorii
speciale de date cu caracter personal așa cum sunt definite în art. 9 (spre exemplu
informații privind opiniile politice al persoanelor fizice), precum și date cu caracter
personal privind condamnările penale sau infracțuni așa cum sunt definite în art. 10.
Un exemplu ar fi un spital general care păstrează dosarele medicale ale pacienților sau
un anchetator privat care păstrează detaliile infractorilor.
Dincolo de aceste prevederi ale RGPD, anumite categorii de date pot fi considerate că
ar crește riscul posibil pentru drepturile și libertățile persoanelor. Aceste date cu caracter
personal sunt considerate ca fiind date sensibile (deoarece acest termen este înțeles în
mod obișnuit) deoarece sunt legate de activitățile casnice și private (cum ar fi
comunicațiile electronice a căror confidențialitate ar trebui protejată) sau deoarece
respectivele date influențează exercitarea unui drept fundamental (cum ar fi datele de
localizare a căror colectare pune la îndoială libertatea de mișcare) sau pentru că
încălcarea lor implică în mod clar efecte grave asupra vieții de zi cu zi a persoanei vizate
(cum ar fi datele financiare care ar pute fi folosite pentru fraudarea plăților). În acest
sens, ar putea fi relevant dacă datele au fost deja puse la dispoziția publicului de către
persoana vizată sau de terți. Faptul că datele cu caracter personal sunt disponible în
mod public poate fi considerat un factor în evaluarea dacă datele se preconizează a fi
utilizate în continuare în anumite scopuri. Acest criteriu poate include, de asemenea,
date cum ar fi documentele personale, e-mailurile, jurnalele, notele de la cititorii
electronici echipate cu funcții de notare și informații foarte personale conținute în
aplicațiile de log.
5. Date prelucrate pe scară largă: RGPD nu definește ce înseamnă scară largă, însă
Considerentul 91 oferă anumite linii directoare. În orice caz, se recomandă luarea în
considerare, în special, a următorilor factori pentru a se determina dacă o prelucrare
este efectuată pe scară largă:
7
a. numărul persoanelor vizate, ori un număr exact ori un procent din populația relevantă;
b. volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
c. durata sau permanența activității de prelucrare a datelor;
d. suprafața geografică a activității de prelucrare.
6. Potrivirea sau combinarea seturilor de date, spre exemplu, provenind de la două
sau mai multe operațiuni de prelucrare a datelor efectuate în scopuri diferite și/sau de
diverși operatori de date într-un mod care ar depăși așteptările rezonabile ale persoanei
vizate.
7. Date privind persoanele vizate vulnerabile (Considerentul 75): prelucrarea acestui
tip de date esteun criteriu din cauza dezechilibrului de putere crescut între persoanele
vizate și operatorul de date, ceea ce înseamnă că persoanele ar putea să nu fie în stare
să își dea cu ușurință consimțământul sau să se opună prelucrării datelor lor sau să își
exercite drepturile. Persoanele vizate vulnerabile pot include copiii (pot fi considerați
incapabili să se opună sau să consimtă sau să se opună în mod deliberat la prelucrarea
datelor lor), angajați, segmente mai vulnerabile ale populației care necesită protecție
specială (persoane bolnave, solicitanți de azil sau vârstnici, pacienți etc.) și, în orice caz,
poate fi identificat un dezechilibru în relația dintre poziția persoanei vizate și operator.
Utilizare inovatoare sau implementarea unor noi soluții tehnologice sau organizaționale
cum ar fi combinarea utilizării amprentei digitale cu recunoașterea facială pentru
îmbunătățirea controlului accesului fizic etc. RGPD clarifică (art. 35 (1) și Considerentele
89 și 91) faptul că utilizarea unei noi tehnologii, definită în „conformitate cu nivelul atins
al cunoștințelor tehnologice” (Considerentul 91), poate declanșa necesitatea realizării
unei DPIA. Acest lucru se datorează faptului că utilizarea unei astfel de tehnologii poate
implica noi forme de colectare și utilizarea a datelor, eventual cu un risc ridicat pentru
drepturile și libertățile persoanelor fizice. Într-adevăr, consecințele personale și sociale
ale desfășurării unei noi tehnologii pot fi necunoscute. O DPIA va ajuta operatorul să
înțeleagă și să abordeze astfel de riscuri. Spre exemplu, anumite aplicații „Internet of
Things” ar putea avea un impact semnificativ asupra vieții cotidinene și a vieții private a
persoanelor fizice; și, prin urmare, necesită o DPIA.
9. Atunci când prelucrarea în sine „împiedică persoanele fizice să-și exercite un
drept sau să utilizeze un serviciu sau un contract” (art. 22 și Considerentul 91). Acestea
includ operațiuni de prelucrare care vizează permiterea, modificarea sau refuzarea
accesului persoanelor fizice la un serviciu încheierea unui contract. Un exemplu ar putea
fi atunci când o bancă își verifică clienții prin compararea cu o bază de date referitoare la
credit pentru a decide acordarea unui împrumut. În majoritatea cazurilor, un operator de
date poate considera că o prelucrare ce îndeplinește 2 criterii ar necesita realizarea unei
DPIA.
În general, se consideră că atunci când o prelucrare îndeplinește mai multe criterii, cu
atât este mai probabil ca aceasta să prezinte un risc ridicat pentru drepturile și libertățile
persoanelor vizate și, prin urmare, să impună efectuarea unei DPIA, indiferent de
măsurile pe care operatorul le are în vedere să le adopte.
Totuși, în anumite situații, un operator poate considera că prelucrarea care îndeplinește
un singur criteriu necesită efectuarea unei DPIA.
Următoarele exemple ilustrează modul în care criteriile trebuie folosite pentru a analiza
dacă o anumiă operațiune de prelucrare necesită o DPIA:
8
Este posibil
ca DPIA
Exemple de
Posibile criterii relevante să fie
prelucrare
necesară?
9
Stocarea în scop de - Date sensibile.
arhivare a datelor - Date privind persoanele vizate
personale sensibile vulnerabile.
pseudonimizate - Împiedică persoana vizată să-și
privind persoanele vizate exercite un drept sau să utilizeze un
vulnerabile din proiectele serviciu sau un contract.
de cercetare sau studii
clinice.
Prelucrarea „datelor - D ate sensibile sau date de natură NU
personale de la pacienți foarte personală.
sau clienți de către un - Date privind persoanele vizate
anumit vulnerabile.
medic, un alt profesionist O revistă online care folosește o listă
în domeniul sănătății sau de corespondență pentru a trimite un
un avocat”(Considerentul abonament generic zilnic abonaților
91). săi.
- Date prelucrare pe scară largă.
Un site web de comerț - Evaluare sau scoring
electronic care afișează
anunțuri pentru piese de
mașini de epocă care
implică profiluri limitate
bazate pe elemente
vizionate sau
achiziționate pe site-ul
propriu.
10
b) Când nu este obligatorie DPIA?
Când prelucrarea nu este „susceptibilă să genereze un risc ridicat” sau când există
DPIA similară sau când a fost autorizată anterior mai 2018 sau când există un temei
legal sau când inclusă în lista operațiunilor de prelucrare
pentru care DPIA nu este obligatorie.
11
suferit modificări de la verificarea prealabilă. Întradevăr, „Deciziile adoptate ale Comisiei
și autorizațiile autorităților de supraveghere emise pe baza Directivei 95/46/CE rămân în
vigoare până când vor fi modificate, înlocuite sau abrogate” (Considerentul 171).
În schimb, aceasta înseamnă că orice prelucrare a datelor ale cărei condiții de aplicare
(domeniul de aplicare, scopul, datele personale colectate, identitatea operatorilor sau
destinatarilor datelor, perioada de păstrare a datelor, măsurile tehnice și organizatorice
etc.) s-au schimbat de la verificarea prealabilă efectuată de autoritatea de supraveghere
sau funcționarul în materie de protecție a datelor și care ar putea genera un risc ridicat
ar trebui să facă obiectul unei DPIA.
Mai mult, o DPIA ar putea fi necesară după o schimbare a riscurilor rezultate din
operațiunile de prelucrare, de exemplu pentru că o nouă tehnologie a intrat în uz sau
pentru că datele cu caracter personal sunt utilizate într-un alt scop. Operațiile de
prelucrare a datelor pot evolua rapid și pot apărea noi vulnerabilități. Prin urmare,
trebuie remarcat faptul că revizuirea unei DPIA nu este utilă numai pentru îmbunătățirea
continuă, dar este, de asemenea, esențială pentru menținerea nivelului de protecție a
datelor într-un mediu în schimbare în timp.
O DPIA poate deveni, de asemenea, necesară deoarece contextul organizațional sau
societal pentru activitatea de prelucrare s-a schimbat, de exemplu, deoarece efectele
anumitor decizii automate au devenit mai semnificative sau noile categorii de persoane
vizate devin vulnerabile la discriminare.
Fiecare dintre aceste exemple ar putea constitui un element care să conducă la o
schimbare a riscului care rezultă din activitatea de prelucrare în cauză. Dimpotrivă,
anumite schimbări ar putea reduce riscul. De exemplu, o operațiune de prelucrare ar
putea evolua astfel încât deciziile să nu mai fie automate sau dacă o activitate de
monitorizare nu mai este sistematică. În acest caz, revizuirea analizei de risc realizate
poate arăta că efectuarea unei DPIA nu mai este necesară.
Ca o chestiune de bună practică, o DPIA ar trebui să fie revizuită continuu și reevaluată
în mod regulat. Prin urmare, chiar dacă o DPIA nu este necesară la data de 25 mai 2018,
va fi necesar, la momentul oportun, ca operatorul să realizeze o astfel de DPIA ca parte
a obligațiilor sale generale de responsabilitate.
12
DPIA este un proces în desfășurare, în special în cazul în care o operațiune de
prelucrare este dinamică și este supusă unor schimbări continue.
Efectuarea unei DPIA este un proces continuu, nu un exercițiu unic.
c) Cine are obligația să efectueze DPIA? Operatorul, împreună cu DPO și împuterniciți.
Operatorul este responsabil pentru realizarea unei DPIA (art. 35 (2)). DPIA poate fi
realizată și de altcineva din interiorul sau exteriorul organizației, dar operatorul rămâne
în cele din urmă responsabil pentru această sarcină. De asemenea, operatorul trebuie
să solicite avizul responsabilului cu protecția datelor (DPO), în cazul în care acesta este
desemnat (art. 35 (2)) și acest aviz, precum și deciziile luate de operator, ar trebui să fie
documentate în cadrul DPIA. De asemenea, DPO ar trebui să monitorizeze funcționarea
DPIA (art. 39 (1) litera (c)).
Dacă prelucrarea este efectuată parțial sau în totalitate de persoana împuternicită de
operator, persoana împuternicită de operator va ajuta operatorul la realizarea DPIA și va
oferi informațiile necesare (în conformitate cu art. 28 (3) litera f)).
Operatorul trebuie „să solicite avizul persoanelor vizate sau al reprezentanților acestora”
(art. 35 (9)), „acolo unde este cazul”.
Se consideră că:
- aceste opinii ar putea fi solicitate printr-o varietate de mijloace, în funcție de context (de
exemplu, un studiu generic referitor la scopul și mijloacele operațiunii de prelucrare, o
întrebare adresată reprezentanților personalului sau sondajele obișnuite transmise
viitorilor clienți ai operatorului de date) asigurându-se că operatorul are o bază legală
pentru prelucrarea datelor personale implicate în căutarea unor astfel de opinii. Deși
trebuie menționat faptul că acordul de prelucrare nu este în mod evident o modalitate de
a căuta opiniile persoanelor vizate;
- în cazul în care decizia finală a operatorului de date diferă de opiniile persoanelor
vizate, motivele continuării sau nu ar trebui documentate;
- operatorul ar trebui, de asemenea, să documenteze justificarea că nu a solicitat opiniile
persoanelor vizate, în cazul în care decide că acest lucru nu este adecvat, de exemplu
dacă acest lucru ar compromite confidențialitatea planurilor de afaceri ale societăților
sau ar fi disproporționat sau imposibil de realizat.
Pe final, definirea și documentarea altor roluri și responsabilități specifice, în funcție de
politica, procesele și regulile interne este o bună practică, de exemplu:
- atunci când unitățile de afaceri specifice pot propune efectuarea unei DPIA,
respectivele unități ar trebui să furnizeze date pentru DPIA și ar trebui să fie implicate în
procesul de validare al DPIA;
- se recomandă solicitarea avizului din partea experților independenți din diferite
profesii24 (avocați, experți IT, experți în securitate, sociologi, etică etc.), dacă este cazul;
- trebuie definite în mod contractual rolurile și responsabilitățile persoanelor
împuternicite de operator; iar DPIA trebuie să fie efectuată cu ajutorul persoanei
împuternicite de operator, ținând seama de natura prelucrării și de informațiile
disponibile pentru persoana împuternicită de operator (art. 28 (3) f));
- responsabilul șef cu securitatea informațiilor (Chief Information Security Officer), dacă
este desemnat, precum și DPO, ar putea sugera că operatorul să efectueaze o DPIA pe
o anumită operațiune de prelucrare și ar trebui să ajute părțile interesat cu privire la
metodologie, să contribuie la evaluarea calității evaluării riscului și dacă riscul rezidual
este acceptabil și să dezvolte cunoștințe specifice contextului operatorului de date;
13
- responsabilul șef cu securitatea informațiilor (Chief Information Security Officer), dacă
este numit, și/sau departamentul IT, ar trebui să ofere asistență operatorului și ar putea
propune efectuarea unei DPIA pentru o anumită operațiune de prelucrare, în funcție de
cerințele de securitate sau operaționale..
c) Care este metodologia pentru efectuarea DPIA? Metodologii diferite, dar criterii
comune RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și
Considerentele 84 și 90):
- „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării”;
- „o evaluare a necesității și proporționalității prelucrării”;
- „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
- „măsurile preconizate în vederea:
abordării riscurilor
demonstrării conformității cu dispozițiile prezentului Regulament”.
Figura următoare ilustrează procesul generic iterativ pentru realizarea unei DPIA:
Descrierea
prelucrării
preconizate
Evaluarea
Monitorizare și necesității și
revizuire proporționalității
Măsuri deja
Documentare preconizate
Toate cerințele relevante stabilite în RGPD oferă un cadru larg, generic pentru
proiectarea și realizarea unei DPIA. Implementarea practică a unei DPIA va depinde de
cerințele stabilite în RGPD care pot fi completate cu orientări practice mai detaliate. Prin
14
urmare, implementarea DPIA este scalabilă. Acest lucru înseamnă că și un operator de
date mic poate proiecta și implementa o DPIA care este potrivită pentru operațiunile de
prelucrare a acestuia.
Considerentul 90 al RGPD conturează o serie de componente ale DPIA care se
suprapun cu componente bine definite ale managementului riscului (de exemplu, ISO
3100026). În ceea ce privește managementul riscurilor, DPIA vizează „gestionarea
riscurilor” asupra drepturilor și libertăților persoanelor fizice, utilizând următoarele
procese, prin:
- stabilirea contextul: „ținând cont de natura, obiectivul, contextul și scopurile prelucrării
și sursele riscului”;
- evaluarea riscurilor: „evaluarea probabilității și gravității deosebite a riscului ridicat”;
- tratarea riscurilor: „atenuarea acestui risc” și „asigurarea protecției datelor cu caracter
personal” și „demonstrarea conformității cu dispozițiile prezentului Regulament”.
Notă: DPIA potrivit RGPD reprezintă un instrument de gestionare a riscurilor pentru
drepturile persoanelor vizate și, prin urmare, prezintă perspectiva acestora, ca în
anumite domenii (de exemplu, securitatea societății). În schimb, gestionarea riscurilor în
alte domenii (de exemplu, securitatea informațiilor) se concentrează asupra organizației.
RGPD oferă operatorilor de date flexibilitatea de a determina structura și forma exactă a
DPIA, pentru a permite ca aceasta să se potrivească practicilor de lucru existente.
Există un număr de procese diferite stabilite în UE și în întreaga lume care iau în
considerare componentele descrise în Considerentul 90. Cu toate acestea, indiferent de
forma sa, DPIA trebuie să fie o evaluare reală a riscurilor, permițând operatorilor
adoptarea de măsuri în vederea atenuării acestora.
Ar putea fi utilizate metodologii diferite (a se vedea Anexa 1 pentru exemple de
metodologii de evaluare a impactului asupra protecției datelor și a vieții private) pentru a
contribui la punerea în aplicare a cerințelor de bază stabilite în RGPD. Au fost
identificate criterii comune pentru a permite existența unor astfel de abordări diferite și,
în același timp, pentru a permite operatorilor să respecte RGPD (a se vedea anexa 2).
Respectivele criterii clarifică cerințele de bază ale Regulamentului și oferă suficiente
posibilități pentru diferite forme de punere în aplicare. Aceste criterii pot fi folosite pentru
a arăta că o anumită metodologie DPIA îndeplinește standardele cerute de RGPD.
Depinde de operatorul de date să aleagă o metodologie, însă această metodologie ar
trebui să fie conformă cu criteriile prevăzute în Anexa 2.
Pe final, atunci când este necesar, „operatorul efectuează o analiză pentru a evalua
dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției
datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile
de prelucrare” (art. 35 (11)).
d) Există vreo obligație de a publica DPIA? Nu, dar publicarea unui rezumat poate
oferi încredere, iar DPIA integrală poate fi comunicată autorității de supraveghere în
cazul unei consultări prealabile sau la solicitarea DPO.
Publicarea unei DPIA nu este o cerință legală a RGPD, este decizia operatorului de a
face acest lucru. Cu toate acestea, operatorii ar trebui să ia în considerare cel puțin
publicarea unor părți, cum ar fi un rezumat sau o concluzie a DPIA.
Scopul unui astfel de proces ar fi să contribuie la încurajarea încrederii în operațiunile de
prelucrare ale operatorului și să demonstreze responsabilitatea și transparența. Este o
practică deosebit de bună de a publica o DPIA atunci când membrii publicului sunt
15
afectați de operațiunea de prelucrare. Acest lucru ar putea fi, în special, cazul în care o
autoritate publică efectuează o DPIA.
DPIA publicată nu trebuie să conțină întreaga evaluare, mai ales atunci când DPIA ar
putea să prezinte informații specifice privind riscurile de securitate pentru operatorul de
date sau să dezvăluie secrete comerciale sau informații comerciale sensibile. În aceste
condiții, versiunea publicată ar putea constitui doar un rezumat al principalelor constatări
ale DPIA sau chiar doar o afirmație potrivit căreia a fost efectuată o DPIA.
Mai mult, în cazul în care o DPIA dezvăluie riscuri reziduale ridicate, operatorul de date
va trebui să solicite consultări prealabile pentru prelucrarea de la autoritatea de
supraveghere (art. 36 (1)). Ca parte a acestui fapt, DPIA trebuie să fie furnizată complet
(articolul 36 (3) (e)). Autoritatea de supraveghere poate să furnizeze opinia sa și nu va
compromite secretele comerciale sau nu va dezvălui vulnerabilitățile privind securitatea,
sub rezerva principiilor aplicabile în fiecare stat membru privind accesul public la
documentele oficiale.
E . Când trebuie consultată autoritatea de supraveghere? Când riscurile residuale
sunt ridicate
Așa cum a fost explicat mai sus:
- o DPIA este necesară atunci când o operațiunie de prelucrare „este susceptibilă să
genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice” (art. 35 (1), a se
vedea III.B.a). Ca exemplu, prelucrarea pe scară largă a datelor privind starea de
sănătate este considerată ca fiind susceptibilă să genereze un risc ridicat și necesită o
DPIA;
- atunci este responsabilitatea operatorului de date să evalueze riscurile pentru
drepturile și libertățile persoanelor vizate și să identifice măsurile prevăzute pentru a
reduce aceste riscuri la un nivel acceptabil și pentru a demonstra conformitatea cu
RGPD (art. 35 (7), a se vedea III.C.c).
Un exemplu ar putea fi utilizarea unor măsuri de securitate tehnice și organizaționale
adecvate (criptarea eficientă a discului complet, gestionarea robustă a cheilor, controlul
adecvat al accesului, copiile securizate etc.) pe lângă politicile existente (notificarea,
consimțământul, dreptul de acces, dreptul de a se opune etc.) pentru stocarea datelor
cu caracter personal pe computerele portabile.
În exemplul computerulului portabil de mai sus, în cazul în care riscurile au fost
considerate suficient de reduse de către operatorul de date și în urma citirii art. 36 (1) și
a Considerentelor 84 și 94, prelucrarea poate continua fără consultarea autorității de
supraveghere. În cazurile în care riscurile identificate nu pot fi abordate suficient de
către operatorul de date (adică riscurile reziduale rămân ridicate), operatorul de date
trebuie să consulte autoritatea de supraveghere.
Un exemplu de risc rezidual ridicat inacceptabil include cazurile în care persoanele
vizate pot întâmpina consecințe semnificative sau chiar ireversibile pe care nu le pot
depăși (de exemplu: accesul ilegal la datele care duc la amenințarea vieții persoanelor
vizate, concediere, risc financiar) și/sau când pare evident că riscul va avea loc (de
exemplu: prin faptul că nu este capabil să reducă numărul de persoane care accesează
datele datorită modalităților de partajare, de utilizare sau distribuție sau atunci când
vulnerabilitatea bine cunoscut nu este înlăturată).
Este necesară consultarea cu autoritatea de supraveghere de fiecare dată când
operatorul de date nu poate găsi suficiente măsuri pentru a reduce riscurile la un nivel
acceptabil (adică riscurile reziduale sunt încă ridicate).
16
În plus, operatorul va trebui să consulte autoritatea de supraveghere atunci dreptul
intern impune operatorilor să consulte autoritatea de supraveghere și/sau să obțină
autorizarea prealabilă din partea acesteia în ceea ce privește prelucrarea de către un
operator pentru îndeplinirea unei sarcini exercitate de operator în interes public, inclusiv
prelucrarea în legătură cu protecția socială și sănătatea publică (art. 36(5)).
Cu toate acestea, trebuie precizat faptul că obligațiile de a păstra o evidență a DPIA și
de a actualiza DPIA în timp util rămân, indiferent dacă este necesară sau nu consultarea
autorității de supraveghere în funcție de nivelul riscului rezidual.
CONCLUZII ȘI RECOMANDĂRI
DPIA reprezintă o modalitate utilă pentru operatorii de date de a implementa sisteme de
prelucrare a datelor care respectă RGPD și pot
fi obligatorii pentru anumite tipuri de
operațiuni de prelucrare. Acestea sunt
scalabile și pot lua forme diferite, dar RGPD
stabilește cerințele de bază ale unei DPIA
eficiente.
Operatorii de date ar trebui să considere
că realizarea unei DPIA reprezintă o
activitate utilă și pozitivă care ajută la
respectarea legislației.
17
- să consulte autoritatea de supraveghere atunci când nu a reușit să stabilească
suficiente măsuri pentru atenuarea riscurilor ridicate;
- să revizuiască periodic DPIA și procesele pe care le evaluează, cel puțin atunci când
există o schimbare a riscului reprezentat de prelucrarea operațiuinii;
- să documenteze deciziile luate.
Operatorii de date pot utiliza următoarele criterii pentru a evalua dacă o DPIA sau o
metodologie de realizare a unei DPIA este suficient de cuprinzătoare pentru a se
conforma RGPD:
se furnizează o descriere sistematică a prelucrării (art. 35 (7) a)):
se ține cont de natura, domeniul de aplicare, contextul și scopurile prelucrării
(Considerentul 90);
se inregistrează datele cu caracter personal, destinatarii, și perioada pentru care
datele cu caracter personal sunt stocate;
se furnizează o descriere funcțională a operațiunii de prelucrare;
18
se identifică activele pe care se bazează datele cu caracter personal (hardware,
software, rețelele, persoanele, documentele pe suport hartie sau canalele de
transmitere pe suport de hartie);
se ține cont de respectarea codurilor de conduită aprobate (art. 35 (8));
se evaluează necesitatea și proporționalitatea (art. 35 (7) b)
se determină măsurile preconizate in vederea conformării cu Regulamentul (art. 35
(7) d) și Considerentul 90), avand in vedere:
măsuri care contribuie la proporționalitatea și necesitatea prelucrării pe baza:
· scopurilor determinate, explicite și legitime (art. 5 (1) b));
· legalitatea prelucrării (art. 6);
· adecvate, relevante și limitate la ceea ce este necesar (art. 5 (1) c));
· perioadă de stocare limitată (art. 5 (1) e));
măsuri care contribuie la drepturile persoanelor vizate:
· informațiile furnizate persoanei vizate (art. 12, 13 și 14);
· dreptul de acces și dreptul la portabilitatea datelor (art. 15 și 20);
· dreptul la rectificare și dreptul la ștergere (art. 16, 17 și 19);
· dreptul la opoziție și dreptul la restricționarea prelucrării (art. 18, 19 și 21);
· relațiile cu persoanele imputernicite de operator (art. 28);
· garanțiile pentru transferurile internaționale (Capitolul V);
· consultarea prealabilă (art. 36).
se gestionează riscurile pentru drepturile și libertățile persoanelor vizate (art. 35 (7) c)):
se analizează originea, natura, particularitatea și gravitatea riscurilor (a se vedea
Considerentul 84) sau, mai exact, pentru fiecare risc (acces ilegal, modificări
nedorite și dispariția datelor) din perspectiva persoanelor vizate:
se ține cont de sursele riscurilor (Considerentul 90);
se identifică impactul posibil asupra drepturilor și libertăților persoanelor
vizate in cazul unor evenimente ce includ accesul ilegal, modificările
nedorite sau dispariția datelor;
se identifică amenințările care ar putea conduce la accesul ilegal,
modificarea nedorită sau dispariția datelor;
se estimează probabilitatea și gravitatea (Considerentul 90);
se determină măsurile preconizate pentru atenuarea respectivelor riscuri (art. 35
(7) d) și Considerentul 90);
sunt implicate părțile interesate:
se solicită avizul DPO (art. 35 (2));
se solicită, acolo unde este cazul, avizul peroanelor vizate sau al reprezentanților
acestora (art. 35 (9)).
19
Asigurarea protecției datelor începând cu momentul
conceperii și în mod implicit (conceptul de data
protection by design and by default)
Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal,
operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea
protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot
apărea pe parcursul efectuării prelucrărilor de date, precum:
breșe de securitate;
solicitări privind exercitarea drepturilor persoanelor vizate;
modificarea datelor cu caracter personal colectate;
schimbarea prestatorului.
Organizarea procedurilor interne implică, în special:
luarea în considerare a protecţiei datelor cu caracter personal încă de la
momentul conceperii (privacy by design) unei aplicaţii sau a unei prelucrări:
minimizarea colectării datelor în funcţie de scop, cookie-uri, perioada de stocare,
informaţiile furnizate persoanelor vizate, obţinerea consimţământului persoanelor
vizate, securitatea și confidenţialitatea datelor cu caracter personal, garantarea
rolului și responsabilităţii părţilor implicate în efectuarea prelucrării datelor;
aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în
mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare
pentru fiecare scop specific al prelucrării (privacy by default), având în vedere:
volumul de date colectate, gradul de prelucrare a acestora, perioada de stocare și
accesibilitatea lor, astfel încât datele cu caracter personal să nu fie accesate, fără
intervenţia persoanei, de un număr nelimitat de persoane;
sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui
plan de pregătire și de comunicare cu persoanele care prelucrează date cu
caracter personal;
soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea
drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora;
exercitarea drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în
cazul în care datele au fost colectate prin astfel de mijloace;
anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite
cazuri, obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72
de ore și a persoanelor vizate în cel mai scurt timp;
asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri
tehnice și organizatorice adecvate, incluzând printre altele, după caz:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea
și rezistenţa continue ale sistemelor și serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și
accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau
tehnică;
20
d) un proces pentru testarea, evaluarea și aprecierea periodice ale
eficacităţii măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
21
Transferul de date cu caracter personal – regim juridic
aplicabil, drepturi și obligații în funcție de natura
destinatarului (inclusiv transferul către țări terțe)
GDPR art. 44 prevede “Principiul general al transferurilor” în care se specifică faptul că:
„Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt
destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională
are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt
respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru
transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație
internațională către o altă țară terță sau la o altă organizație internațională. Toate
dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a
persoanelor fizice garantat prin prezentul regulament nu este subminat.”
Este de reținut că, orice transfer internațional de date cu caracter personal de către un
operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții:
22
Transferuri pe baza adecvării
Transferuri supuse garanțiilor adecvate
Aplicabilitatea unor reguli corporative obligatorii
Exemplu
Un e-mail simplu care conține date personale este trimis la o adresă internă de e-mail a
grupului, care include adrese situate în afara UE, formează deja un transfer internațional
de date.
Deci, mai întâi, este important să determinați datele pe care o organizație le colectează
și procesează (maparea datelor), acoperind categoriile de date deținute și procesate de
fiecare departament, precum și transferurile și dezvăluirile de date între ele și părți terțe.
Următorul pas ar fi să se stabilească dacă datele cu caracter personal sunt
transferate într-o țară din afara UE;
Locul de depozitare a datelor cu caracter personal
Țările sau jurisdicțiile din care pot fi accesate datele cu caracter personal
Entitățile cărora le pot fi dezvăluite datele cu caracter personal și temeiurile legale
pentru divulgare.
Lista țărilor sau jurisdicțiilor implicate în fluxul transfrontalier de date
Acum, datorită creșterii digitalizării și adoptării de tehnologii - servicii cloud și analize de
date - și implementarea reglementărilor cu domeniu de aplicare internațional, există o
posibilitate foarte mare ca o organizație să transfere datele personale în străinătate
zilnic.
De reținut: atunci când se transferă date internaționale, trebuie respectat principiul
protecției adecvate .
În absența unei decizii de adecvare, clauzelor contractuale standard (”SCC“) regulilor
corporative obligatorii (”BCR“) și derogări specifice sunt instrumente alternative de
transfer.
De asemenea, rețineți că, din cauza GDPR, Spațiul Economic European (”SEE”) va fi
disponibil și pentru procesatori și prelucrători din UE dintr-o țară din afara UE, BCR vor fi
de asemenea disponibile între parteneri de afaceri și introduc noi instrumente pentru
transferurile internaționale: "Coduri de conduită aprobate" și "Mecanismul de certificare".
Fluxurile de date cu caracter personal către și din țările din afara Uniunii și organizațiile
internaționale sunt necesare pentru extinderea comerțului internațional și a cooperării
internaționale.
Creșterea acestor fluxuri a generat noi provocări și preocupări în ceea ce privește
protecția datelor cu caracter personal. Cu toate acestea, atunci când datele cu caracter
personal sunt transferate din Uniune către controlori, prelucrători sau alți destinatari din
țări terțe sau organizații internaționale, nivelul de protecție a persoanelor fizice asigurat
în Uniune prin prezentul regulament nu trebuie să fie subminat, inclusiv în cazurile de
transferuri ulterioare a datelor cu caracter personal din țara terță sau organizația
internațională către controlorii, prelucrătorii din aceeași țară sau dintr-o altă țară terță
sau organizație internațională.
În orice caz, transferurile către țări terțe și organizații internaționale pot fi efectuate
numai în deplină conformitate cu GDPR.
Normele UE privind protecția datelor se aplică în Spațiul Economic European (”SEE”),
care include toate țările UE și țările din afara UE, Islanda, Liechtenstein și Norvegia.
23
Atunci când datele cu caracter personal sunt transferate în afara Spațiului Economic
European, se prevăd măsuri de protecție speciale pentru a se asigura că protecția
călătorește cu datele.
Reforma legislației UE privind protecția datelor adoptată în 2016 oferă un set diversificat
de mecanisme de transfer de date către țări terțe: decizii de adecvare, norme
contractuale standard, reguli corporative obligatorii, mecanisme de certificare, coduri de
conduită, așa-numitele "derogări" etc.
În timp ce arhitectura regimului transferurilor internaționale este similară cu cea din
Directiva privind protecția datelor din 1995, reforma simplifică și extinde utilizarea
mecanismelor existente și introduce noi instrumente pentru transferurile internaționale.
24
aveți grijă la noile transferuri propuse și asigurați-vă că adoptați soluții de transfer
adecvate;
pentru toate transferurile, păstrați o evidență a detaliilor sale și a soluției de
transfer pe care ați aplicat-o.
aveți grijă de actualizările legate de GDPR din partea autorităților de
supraveghere și a Comisiei, care ar putea oferi îndrumări utile cu privire la
măsurile de siguranță care se vor potrivi cel mai bine necesităților dvs.
25
certificarea conform unui mecanism de certificare aprobat, astfel cum este
prevăzut în GDPR;
clauzele contractuale convenite de autoritatea de supraveghere competentă; sau
dispozițiile introduse în acordurile administrative dintre autoritățile publice sau
organismele autorizate de autoritatea de supraveghere competentă.
26
Primele trei derogări nu sunt disponibile pentru activitățile autorităților publice în
exercitarea puterilor lor publice.
În ceea ce privește transferurile de date către o țară terță, GDPR introduce norme
specifice, și anume:
Transferurile de date către o țară terță pot fi efectuate numai pe baza unei
decizii a Comisiei Europene prin care se stabilește că o anumită țară, teritoriu sau sector
terță asigură un nivel adecvat de protecție (în prezent, astfel de decizii sunt emise
pentru Argentina, Israel, Canada, Noua Zeelandă, Elveția și va rămâne în vigoare în
cadrul GDPR până la abrogare sau modificare; pentru transferul de date către SUA,
programul Privacy Shield se aplică pe bază de auto- certificare - entitățile care participă
la program sunt considerate a asigura un nivel adecvat de protejarea datelor).
În lipsa unei decizii relevante din partea Comisiei Europene, transferul de date
către o țară terță fără a fi nevoie de consimțământul autorității de protecție a datelor
poate avea loc numai dacă sunt furnizate garanții adecvate, cum ar fi utilizarea Regulilor
Corporative obligatorii (BCR) aprobată de autoritatea competentă pentru protecția
datelor cu caracter personal (o soluție deosebit de favorabilă corporațiilor internaționale)
sau clauzele contractuale standard adoptate de Comisia Europeană (clauze controlor-
controlor sau controlor-procesor) sau utilizarea unui cod de conduită sau certificare
aprobat mecanism.
În absența unei decizii relevante din partea Comisiei Europene, transferul de
date către o țară terță poate avea loc cu permisiunea autorității de protecție a datelor, de
exemplu, în temeiul unei clauze contractuale ad-hoc între operatorul sau prelucrătorul și
operatorul sau procesor din țara terță.
Atunci când nu este posibilă utilizarea opțiunilor menționate mai sus, transferul
de date către o țară terță poate avea loc numai după îndeplinirea condițiilor prevăzute la
articolul 49 din GDPR, care prevede derogări (excepții) în situații speciale. Aceste
derogări includ, de exemplu, consimțământul explicit și voluntar al persoanei vizate
pentru transferul propus, după ce a fost informat cu privire la posibilele riscuri ale unor
astfel de transferuri pentru persoana vizată, necesitatea transferului de date pentru
îndeplinirea unui contract între persoana vizată și controlorul sau necesitatea
transferului de date pentru exercitarea sau apărarea revendicărilor legale.
27
caracter personal.
GDPR oferă, de asemenea, o suită de noi mecanisme de transfer. Acestea includ coduri
de conduită aprobate, mecanisme de certificare, sigilii și mărci. În cazul în care acestea
sunt invocate ca o garanție adecvată pentru transferurile de date, acestea trebuie
furnizate împreună cu angajamentele obligatorii și executorii ale controlorului sau
prelucrătorului destinatar din țara terță.
GDPR clarifică faptul că garanțiile corespunzătoare menționate nu necesită nici o
autorizare specifică din partea niciunei autorități de supraveghere.
Până în prezent, regimurile de aprobare a transferurilor au variat semnificativ între
statele membre - cerințele de depunere și / sau de autorizare diferite au reprezentat o
durere de cap pentru companiile internaționale în special.
28
adecvate.
De asemenea, trebuie remarcat faptul că, din motive de interes general, statele membre
pot stabili în mod expres limite pentru transferul anumitor categorii de date cu caracter
personal către o țară terță sau o organizație internațională.
GDPR cere contractul obligatoriu care reglementează orice numire a procesorului de
date trebuie să stipuleze că procesatorul poate procesa numai datele personale
relevante pe instrucțiunile documentate de la operator, inclusiv cu privire la transferuri
(cu excepția cazului în care transferul este cerut de lege).
Așteptăm orientări suplimentare cu privire la modul în care aceste instrucțiuni trebuie să
fie detaliate. Acest lucru ar putea fi dificil de îndeplinit în practică atunci când vânzătorii
au stabilit operațiuni extensive de prelucrare în străinătate, care sunt utilizate ca parte a
ofertei lor standard.
GDPR cere ca atât controlorii, cât și operatorii să țină o evidență a transferurilor de
date cu caracter personal către o țară terță sau o organizație internațională, identitatea
țării sau a organizației relevante, precum și detalii cu privire la ce decizie de adecvare
sau de protecție a fost aplicată pentru fiecare transfer.
Aceste obligații au fost introduse ca parte a unei cerințe de guvernanță internă.
În conformitate cu GDPR, trebuie sa desfășurați un audit al transferurilor de date.
Iată cele mai importante întrebări care trebuie adresate organizației dvs. includ:
Transferați date personale în străinătate - mergeți în afara UE?
Cui trimiteți date și de ce?
Destinatarii procesează date personale în numele dvs. sau partajați datele cu o
organizație terță parte pentru a le utiliza în scopuri proprii?
Împărțiți datele în interiorul grupului - (ar putea ca BCR să fie un exemplu atractiv
pentru dvs. în cadrul GDPR)?
29
Conceptul de securitate al prelucrării datelor cu
caracter personal. Încălcarea securității datelor cu
caracter personal
O încălcare a datelor cu caracter personal înseamnă o încălcare a securității care duce
la distrugerea, pierderea, modificarea, dezvăluirea neautorizată sau accesul la date cu
caracter personal accidentale sau ilegale. Acestea includ încălcări care sunt rezultatul
cauzelor accidentale și deliberate. De asemenea, înseamnă că o încălcare este mai
mult decât pierderea datelor cu caracter personal.
Ca parte a oricărei încercări de remediere a unei încălcări, controlorul ar trebui mai întâi
să poată recunoaște unul. GDPR definește o "încălcare a datelor cu caracter personal"
la articolul 4 alineatul (12): "O încălcare a securității care duce la distrugerea, pierderea,
modificarea, dezvăluirea neautorizată sau accesul la datele personale transmise,
stocate sau prelucrate în alt mod, în mod accidental sau ilegal".
Înțelegem prin "distrugerea" datelor cu caracter personal: datele nu mai există sau nu
mai există într-o formă care este de nici o folosință pentru controlor.
Exemplu: Un alt exemplu de pierdere poate fi cazul în care singura copie a unui set de
date cu caracter personal a fost criptată prin ransomware sau a fost criptată de controlor
folosind o cheie care nu mai este în posesia sa.
30
Consecința unei astfel de încălcări este aceea că operatorul nu va fi capabil să asigure
respectarea principiilor referitoare la prelucrarea datelor cu caracter personal, așa cum
este prevăzut la articolul 5 din GDPR. Acest lucru evidențiază diferența dintre un
incident de securitate și o încălcare a datelor cu caracter personal - în esență, în timp ce
toate încălcările datelor cu caracter personal sunt incidente de securitate, nu toate
incidentele de securitate sunt în mod necesar încălcări ale datelor cu caracter personal.
31
"Încălcarea distanței" - în cazul în care există o pierdere accidentală sau
neautorizată a accesului sau distrugerea datelor cu caracter personal.
Exemplu: Exemple de pierderi de disponibilitate includ unde datele au fost șterse fie
accidental, fie de către o persoană neautorizată sau, în exemplul datelor criptate în
siguranță, cheia de decriptare a fost pierdută.
În cazul în care controlerul nu poate restabili accesul la date, de exemplu, dintr-o copie
de rezervă, atunci aceasta este considerată ca o pierdere permanentă de disponibilitate.
O pierdere de disponibilitate poate apărea, de asemenea, în cazul în care a existat o
întrerupere semnificativă a serviciului normal al unei organizații, de exemplu, în cazul
unei întreruperi a alimentării sau a unui atac de refuz al serviciului, ceea ce face ca
datele personale să nu fie disponibile.
Ca și în cazul pierderii sau distrugerii permanente a datelor cu caracter personal (sau
într-adevăr, a oricărui alt tip de încălcare), o încălcare care implică pierderea temporară
a disponibilității trebuie documentată în conformitate cu articolul 33 alineatul (5).
Acest lucru îi ajută pe controlor să demonstreze responsabilitatea față de autoritatea de
supraveghere, care poate solicita înregistrarea acestor înregistrări.
Se poate pune întrebarea dacă o pierdere temporară a disponibilității datelor cu caracter
personal ar trebui considerată o încălcare și, dacă este cazul, una care trebuie notificată.
Articolul 32 din GDPR, "securitatea prelucrării", explică faptul că, atunci când se
implementează măsuri tehnice și organizatorice pentru a asigura un nivel de securitate
adecvat riscului, ar trebui să se ia în considerare, printre altele, "capacitatea de a
asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și
serviciilor de procesare "și" capacitatea de a restabili disponibilitatea și accesul la datele
cu caracter personal în timp util în cazul unui incident fizic sau tehnic ".
Exemplu : În contextul unui spital, dacă datele medicale critice despre pacienți nu sunt
disponibile, chiar și temporar, acest lucru ar putea prezenta un risc pentru drepturile și
libertățile persoanelor; de exemplu, operațiunile pot fi anulate și viețile sunt expuse
riscului.
Dimpotrivă, în cazul în care sistemele unei companii media nu sunt disponibile timp de
mai multe ore (de exemplu, din cauza unei întreruperi a alimentării cu energie electrică),
în cazul în care întreprinderea respectivă este împiedicată să trimită buletine de știri
abonaților săi, este puțin probabil ca aceasta să prezinte un risc pentru drepturile și
libertățile persoanelor .
Trebuie remarcat faptul că, deși o pierdere a disponibilității sistemelor operatorului poate
fi doar temporară și nu poate avea un impact asupra persoanelor, este important ca
operatorul să ia în considerare toate consecințele posibile ale unei încălcări, deoarece
este posibil să fie nevoie de notificare pentru alte motive.
Exemplu : Infecția prin ransomware (software rău intenționat care criptează datele
32
controlerului până la rambursarea acestuia) ar putea duce la pierderea temporară a
disponibilității în cazul în care datele pot fi restabilite din copia de rezervă. Cu toate
acestea, a avut loc încă o intrare în rețea și ar putea fi necesară notificarea în cazul în
care incidentul este calificat drept încălcare a confidențialității (adică datele personale
sunt accesate de atacator), ceea ce reprezintă un risc pentru drepturile și libertățile
persoanelor.
Posibilele consecințe ale încălcării securității datelor cu caracter personal
O încălcare poate avea o serie de efecte adverse semnificative asupra persoanelor,
ceea ce poate duce la daune fizice, materiale sau nemateriale. GDPR explică faptul că
aceasta poate include pierderea controlului asupra datelor personale, limitarea
drepturilor lor, discriminarea, furtul de identitate sau fraudarea, pierderea financiară,
inversarea neautorizată a pseudonimiei, deteriorarea reputației și pierderea
confidențialității datelor cu caracter personal protejate prin secretul profesional . Poate
include și orice alt dezavantaj economic sau social semnificativ pentru acei indivizi.
În consecință, GDPR cere operatorului să notifice o încălcare a autorității de
supraveghere competente, cu excepția cazului în care este puțin probabil ca acest lucru
să ducă la riscul apariției unor astfel de efecte adverse. În cazul în care există un risc
probabil ridicat de apariție a acestor efecte adverse, GDPR cere operatorului să
comunice încălcarea persoanelor afectate de îndată ce este posibil în mod rezonabil.
Importanța identificării unei încălcări, evaluarea riscului pentru persoane și apoi
notificarea, dacă este necesar, este evidențiată în considerentul 87 al GDPR:
"Trebuie să se verifice dacă au fost puse în aplicare toate măsurile tehnologice
adecvate și organizatorice pentru a stabili imediat dacă a avut loc o încălcare a datelor
cu caracter personal și pentru a informa prompt autoritatea de supraveghere și
persoana vizată. Faptul că notificarea a fost efectuată fără întârzieri nejustificate ar
trebui stabilită ținând seama, în special, de natura și de gravitatea încălcării datelor cu
caracter personal, precum și de consecințele și efectele sale negative asupra persoanei
vizate. O astfel de notificare poate duce la o intervenție a autorității de supraveghere în
conformitate cu sarcinile și competențele sale stabilite în prezentul regulament. "
Dacă controlorii nu notifică autorității de supraveghere sau persoanelor vizate o
încălcare a datelor sau ambele, chiar dacă sunt îndeplinite cerințele articolelor 33 și /
sau 34, atunci autoritatea de supraveghere este prezentată cu o alegere care trebuie să
includă luarea în considerare a tuturor măsurilor corective măsurile pe care le are la
dispoziție, care ar include luarea în considerare a impunerii amenzii administrative
adecvate, care să însoțească o măsură corectivă în temeiul articolului 58 alineatul (2)
sau pe cont propriu.
33
a) pseudonimizarea şi criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa
continue ale sistemelor şi serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la
acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor
tehnice şi organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile
prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de
distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la
datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(3) Aderarea la un cod de conduită aprobat, menţionat la articolul 40, sau la un
mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizată ca element
prin care să se demonstreze îndeplinirea cerinţelor prevăzute la alineatul (1) din
prezentul articol.
(4) Operatorul şi persoana împuternicită de acesta iau măsuri pentru a asigura faptul că
orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei
împuternicite de operator şi care are acces la date cu caracter personal nu le
prelucrează decât la cererea operatorului, cu excepţia cazului în care această obligaţie îi
revine în temeiul dreptului Uniunii sau al dreptului intern.
Art. 33: Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu
caracter personal
(1) În cazul în care are loc o încălcare a securităţii datelor cu caracter personal,
operatorul notifică acest lucru autorităţii de supraveghere competente în temeiul
articolului 55, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72
de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este
puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În
cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de
ore, aceasta este însoţită de o explicaţie motivată pentru întârziere. (La data de 23 mai
2018 Art. 33, alin. (1) din capitolul IV, secțiunea 2 rectificat de punctul 8 din Rectificare
din 23 mai 2018)
(2) Persoana împuternicită de operator înştiinţează operatorul fără întârzieri nejustificate
după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
(3) Notificarea menţionată la alineatul (1) cel puţin: a) descrie caracterul încălcării
securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi
numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul
aproximativ al înregistrărilor de date cu caracter personal în cauză; b) comunică numele
şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact
de unde se pot obţine mai multe informaţii; c) descrie consecinţele probabile ale
încălcării securităţii datelor cu caracter personal; d) descrie măsurile luate sau propuse
spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu
caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale
efecte negative.
(4) Atunci când şi în măsura în care nu este posibil să se furnizeze informaţiile în acelaşi
timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
(5) Operatorul păstrează documente referitoare la toate cazurile de încălcare a
securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în
34
care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi
a măsurilor de remediere întreprinse. Această documentaţie permite autorităţii de
supraveghere să verifice conformitatea cu prezentul articol.
Art. 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu
caracter personal
(1) În cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă
să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul
informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
(2) În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul
articol se include o descriere într-un limbaj clar şi simplu a caracterului încălcării
securităţii datelor cu caracter personal, precum şi cel puţin informaţiile şi măsurile
menţionate la articolul 33 alineatul (3) literele (b), (c) şi (d).
(3) Informarea persoanei vizate menţionată la alineatul (1) nu este necesară în cazul în
care oricare dintre următoarele condiţii este îndeplinită: a) operatorul a implementat
măsuri de protecţie tehnice şi organizatorice adecvate, iar aceste măsuri au fost aplicate
în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu
caracter personal, în special măsuri prin care se asigură că datele cu caracter personal
devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi
criptarea; b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat
pentru drepturile şi libertăţile persoanelor vizate menţionat la alineatul (1) nu mai este
susceptibil să se materializeze; c) ar necesita un efort disproporţionat. În această
situaţie, se efectuează în loc o informare publică sau se ia o măsură similară prin care
persoanele vizate sunt informate într-un mod la fel de eficace.
(4) În cazul în care operatorul nu a comunicat deja încălcarea securităţii datelor cu
caracter personal către persoana vizată, autoritatea de supraveghere, după ce a luat în
considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să
genereze un risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate
decide că oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.
35
Răspunderea și sancțiunile aplicabile în cazul
nerespectării legislației în domeniul protecției datelor
cu caracter personal
În cazul în care considerați că vă sunt încălcate drepturile aveți dreptul de a depune o
plângere la ANSPDCP - Autoritatea Națională de Supraveghere a Protecției Datelor cu
Caracter Personal.
În prezent cadrul legislativ a cărui aplicare este asigurată de către ANSPDCP este
compus din:
Directiva Parlamentului European nr. 95/46/CE a Parlamentului European
Convenția nr. 108 pentru protecția pentru protecția persoanelor referitor la
prelucrarea automatizată a datelor cu caracter personal
Regulamentul UE nr. 11/2013 al Comisiei din 24 iunie 2013
Directiva Parlamentului European nr. 2002/58/CE a Parlamentului European și a
Consiliului privind confidențialitatea și comunicațiile electronice
Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor
cu caracter personal și libera circulație a acestor date din 25 Mai 2018,
Regulamentul UE nr. 679/2016 cunoscut ca GDPR.
Persoanele fizice ale căror date cu caracter personal sunt prelucrate se pot adresa în
scris Autorității de Supraveghere (ANSPDCP) în cazul în care apreciază că le-au fost
încălcate drepturile prevăzute de Legea nr. 677/2001, cu condiția:
de a nu fi introdus anterior o acțiune în justiție, cu același obiect și aceleași părți,
numai după ce s-au adresat în prealabil operatorului reclamat.
Mesajul ANSPDCP în secțiunea dedicate plângerilor din siteul oficial al autorității este
( https://www.dataprotection.ro/?page=Plangeri_pagina_principala ):
Înainte de a depune o plângere vă rugăm să consultați ”Condițiile procedurale privind
adresarea unei plângeri admisibile” reglementate în Procedura de soluționare a
plângerilor aprobată Decizia nr. 133/2018.
36
puteţi adresa Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter
Personal cu plângere însoţită de dovezi.”
Amenzi administrative
Amenzile administrative sunt mai degrabă discreționare decât obligatorii; acestea
trebuie să fie impuse de la caz la caz și trebuie să fie "eficiente, proporționale și cu efect
de descurajare".
37
Regulamentul prevede două niveluri de
amenzi administrative care pot fi
percepute:
Până la 10 milioane EUR sau 2% la
cifra de afaceri anuală globală -
oricare dintre acestea este mai
mare.
Până la 20 de milioane de euro,
sau 4% din cifra de afaceri globală
anuală - oricare dintre acestea este
mai mare.
38
cuprinde mai multe măsuri corective.
Nu este întotdeauna necesară completarea măsurii prin utilizarea unei alte măsuri
corective.
De exemplu: Eficacitatea și disuasivitatea intervenției autorității de supraveghere, luând
în considerare în mod corespunzător ceea ce este proporțional cu acel caz specific, se
poate realiza numai prin amendă.
39
mai gravă încălcare.
(4)Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică
amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de
până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului
financiar anterior, luându-se în calcul cea mai mare valoare
(5)Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică
amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de
până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului
financiar anterior, luându-se în calcul cea mai mare valoare
(8)Exercitarea de către autoritatea de supraveghere a competențelor sale în temeiul
prezentului articol are loc cu condiția existenței unor garanții procedurale adecvate în
conformitate cu dreptul Uniunii și cu dreptul intern, inclusiv căi de atac judiciare eficiente
și dreptul la un proces echitabil.
40
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL VI
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020
1
Competențele autorității de supraveghere. Conceptul
de autoritate de supraveghere principală conform
GDPR
În conformitate cu prevederile Regulamentului nr. 679 din 27 aprilie 2016 privind
protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter
personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor), publicat în Jurnalul Oficial al Uniunii
Europene, seria L, nr. 119 din 4 mai 2016, denumit în continuare Regulamentul general
privind protecţia datelor, autoritatea națională de protecția datelor este
responsabilă de monitorizarea aplicării prezentului regulament, în vederea
protejării drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce
priveşte prelucrarea şi în vederea facilitării liberei circulaţii a datelor cu caracter
personal în cadrul Uniunii.
Fiecare autoritate de supraveghere beneficiază de independenţă deplină în
îndeplinirea sarcinilor sale şi exercitarea competenţelor sale în conformitate cu
prezentul regulament.
Totodată, conducerea fiecărei autorităţi de supraveghere, în cadrul îndeplinirii
sarcinilor şi al exercitării competenţelor sale în conformitate cu prezentul regulament,
rămâne independentă de orice influenţă externă directă sau indirectă şi nici nu solicită,
nici nu acceptă instrucţiuni de la o parte externă.
Aplicarea, pe data de 25 mai 2018, a Regulamentului general privind protecţia datelor
a condus la necesitatea armonizării prevederilor naționale care reglementau domeniul
protecției datelor cu caracter personal cu dispozițiile acestui act normativ european.
În acest context, prin Legea nr. 129/2018 de modificare și completare a Legii nr.
102/005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) s-a urmărit,
în principal, asigurarea competențelor și sarcinilor de monitorizare și control ale
Autorității Naționale de Supraveghere în acord cu prevederile art. 55-59 din
Regulamentul (UE) 2016/679, asigurând în acest mod un cadru legal adecvat pentru
respectarea drepturilor specifice ale persoanelor fizice în domeniul prelucrării datelor
cu caracter personal (dreptul de informare, dreptul de acces, dreptul la rectificare,
dreptul la restricționarea prelucrării, dreptul la ștergerea datelor – dreptul ”de a fi uitat”,
dreptul de opoziție, dreptul la portabilitatea datelor), precum și o interacțiune eficientă
în relația administrație-cetățeni.
2
Printre principalele atribuţii ale Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal și ale președintelui acesteia, stabilite în
acord cu elementele de noutate aduse de Regulamentul (UE) 2016/679, enumerăm:
- monitorizarea aplicării unitare a legislației privind protecția datelor cu caracter
personal, de către toate entitățile care au calitatea de operatori de date;
- reglementarea, prin elaborarea de decizii și instrucțiuni cu caracter obligatoriu, care
se publică în Monitorul Oficial al României;
- avizarea proiectelor de acte normative în materie de protecție a datelor cu caracter
personal;
- îndrumarea, prin activitatea de consiliere, inclusiv a Parlamentului, Guvernului și
altor autorități sau instituții publice și a entităților ce au calitatea de operatori de date,
precum și informarea persoanelor vizate și a publicului asupra a obligațiilor ce le
revin în temeiul legislației în domeniul protecției datelor personale, respectiv
drepturilor garantate de lege;
- controlul îndeplinirii obligațiilor legale de către operatorii de date cu caracter
personal, prin intermediul competențelor de investigare a încălcării drepturilor
persoanelor vizate, din oficiu sau la primirea unei plângeri ori sesizări;
- aplicarea măsurilor corective în situațiile în care se constată încălcări ale legislației
în domeniu;
- cooperare și asistență reciprocă cu autoritățile de supraveghere din celelalte state
membre, precum și de cooperare cu Comisia Europeană și Comitetul european
pentru protecția datelor, în cadrul mecanismului de asigurare a coerenței aplicării
Regulamentului general pentru protecția datelor pe teritoriul întregii Uniuni;
- informare a Parlamentului, Guvernului, Comisiei europene și a Comitetului
european pentru protecția datelor, asupra activităţii proprii, prin intermediul raportului
anual de activitate.
3
Articolul 36
Consultarea prealabilă
(1) Operatorul consultă autoritatea de supraveghere înainte de prelucrarea atunci
când evaluarea impactului asupra protecției datelor prevăzută la articolul 35 indică
faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de
operator pentru atenuarea riscului.
(2) Atunci când consideră că prelucrarea prevăzută menționată la alineatul (1) ar
încălca prezentul regulament, în special atunci când riscul nu a fost identificat sau
atenuat într-o măsură suficientă de către operator, autoritatea de supraveghere oferă
consiliere în scris operatorului și, după caz, persoanei împuternicite de operator, în
cel mult opt săptămâni de la primirea cererii de consultare, și își poate utiliza oricare
dintre competențele menționate la articolul 58. Această perioadă poate fi prelungită
cu șase săptămâni, ținându-se seama de complexitatea prelucrării prevăzute.
Autoritatea de supraveghere informează operatorul și, după caz, persoana
împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la orice
astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi
suspendate până când autoritatea de supraveghere a obținut informațiile pe care le-a
solicitat în scopul consultării.
(3) Atunci când consultă autoritatea de supraveghere în conformitate cu alineatul
(1), operatorul îi furnizează acesteia:
(a) dacă este cazul, responsabilitățile respective ale operatorului, ale operatorilor
asociați și ale persoanelor împuternicite de operator implicate în activitățile de
prelucrare, în special pentru prelucrarea în cadrul unui grup de întreprinderi;
(b) scopurile și mijloacele prelucrării preconizate;
(c) măsurile și garanțiile prevăzute pentru protecția drepturilor și libertăților
persoanelor vizate, în conformitate cu prezentul regulament;
(d) dacă este cazul, datele de contact ale responsabilului cu protecția datelor;
(e) evaluarea impactului asupra protecției datelor prevăzută la articolul 35; și
(f) orice alte informații solicitate de autoritatea de supraveghere.
(4) Statele membre consultă autoritatea de supraveghere în cadrul procesului de
pregătire a unei propuneri de măsură legislativă care urmează să fie adoptată de un
parlament național sau a unei măsuri de reglementare întemeiate pe o astfel de
măsură legislativă, care se referă la prelucrarea.
(5) În pofida alineatului (1), dreptul intern poate impune operatorilor să se consulte
cu autoritatea de supraveghere și să obțină în prealabil autorizarea din partea
acesteia în legătură cu prelucrarea de către un operator în vederea îndeplinirii unei
sarcini exercitate de acesta în interes public, inclusiv prelucrarea în legătură cu
protecția socială și sănătatea publică.
4
Notificarea autorității de supraveghere în cazul
încălcării securității datelor cu caracter personal
Astfel cum este detaliat mai sus, RGPD prevede că, în cazul în care are loc o încălcare,
operatorul trebuie să notifice încălcarea fără întârzieri nejustificate și, dacă este posibil,
în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta. Aceasta
poate ridica chestiunea momentului în care se poate considera că un operator „a luat
cunoștință” de o încălcare. În opinia GL29, ar trebui considerat că un operator „a luat
cunoștință” atunci când operatorul respectiv are un grad rezonabil de certitudine că s-
a produs un incident de securitate care a condus la compromiterea datelor cu caracter
personal.
Cu toate acestea, astfel cum s-a indicat anterior, RGPD impune operatorului să pună
în aplicare toate măsurile de protecție tehnice și organizatorice adecvate pentru a
stabili imediat dacă a avut loc o încălcare și pentru a informa imediat autoritatea de
supraveghere și persoanele vizate. De asemenea, acesta precizează că efectuarea
notificării fără întârzieri nejustificate ar trebui stabilită luând în considerare, în special,
natura și gravitatea încălcării, precum și consecințele și efectele negative ale acesteia
asupra persoanei vizate. Aceasta impune operatorului obligația de a se asigura că va
lua „cunoștință” de orice încălcare în timp util, astfel încât să poată lua măsurile
corespunzătoare.
Momentul exact în care se poate considera că un operator „a luat cunoștință” de o
anumită încălcare va depinde de circumstanțele încălcării specifice. În unele cazuri, va
fi relativ clar încă de la început că a existat o încălcare, în timp ce în alte cazuri poate
dura ceva timp pentru a stabili dacă datele cu caracter personal au fost compromise.
Cu toate acestea, accentul ar trebui să fie plasat pe acțiunea promptă de a investiga
un incident pentru a determina dacă a avut loc într-adevăr o încălcare a securității
datelor cu caracter personal și, în caz afirmativ, de a lua măsuri de remediere și de a
o notifica dacă este necesar.
5
Exemple
1. În cazul pierderii unei chei USB cu date cu caracter personal necriptate, adesea nu
este posibil să se verifice dacă persoane neautorizate au obținut acces la datele
respective. Cu toate acestea, chiar dacă operatorul nu poate stabili dacă a avut loc o
încălcare a confidențialității, un astfel de caz trebuie notificat deoarece există un grad
rezonabil de certitudine că s-a produs o încălcare a disponibilității; operatorul ar lua
„cunoștință” de aceasta în momentul în care își dă seama că s-a pierdut cheia USB.
2. O parte terță informează un operator că a primit în mod accidental datele cu caracter
personal ale unuia dintre clienții săi și oferă dovezi ale divulgării neautorizate. Întrucât
operatorului i s-au prezentat dovezi clare privind o încălcare a confidențialității, nu
există nicio îndoială că „a luat cunoștință” de aceasta.
3. Un operator depistează că a existat o posibilă intruziune în rețeaua sa. Operatorul
își controlează sistemele pentru a stabili dacă datele cu caracter personal stocate în
sistemul respectiv au fost compromise și confirmă acest lucru. Și în acest caz, întrucât
operatorul are acum dovezi clare despre o încălcare, nu poate exista nicio îndoială că
„a luat cunoștință” de aceasta.
4. Un infractor informatic intră în contact cu operatorul după ce a spart sistemul
acestuia, pentru a cere o răscumpărare. În acest caz, după verificarea sistemului
pentru a confirma că acesta a fost atacat, operatorul are dovezi clare că a avut loc o
încălcare și nu există nicio îndoială că a luat cunoștință de aceasta.
După ce a fost informat prima dată despre o posibilă încălcare de către o persoană, o
organizație media sau o altă sursă sau atunci când a depistat el însuși un incident de
securitate, operatorul poate întreprinde o scurtă investigație pentru a stabili dacă o
încălcare a avut loc sau nu de fapt. În această perioadă de investigație, operatorul nu
poate fi considerat ca având „cunoștință” de încălcare. Cu toate acestea, se așteaptă
ca investigația inițială să înceapă cât mai curând posibil și să stabilească cu un grad
rezonabil de certitudine dacă a avut loc o încălcare; ulterior poate urma o investigație
mai detaliată.
Odată ce operatorul a luat cunoștință de aceasta, o încălcare notificabilă trebuie să fie
notificată fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore. În
această perioadă, operatorul ar trebui să evalueze riscul potențial pentru persoane în
scopul de a determina dacă a fost declanșată obligația de notificare, precum și
acțiunea (acțiunile) necesară (necesare) pentru a remedia încălcarea. Cu toate
acestea, un operator poate dispune deja de o evaluare inițială a riscului potențial care
ar putea rezulta dintr-o încălcare, ca parte unei evaluări a impactului asupra protecției
datelor (EIPD) efectuate înainte de efectuarea operațiunii de prelucrare în cauză. Cu
toate acestea, EIPD poate fi mai generalizată în comparație cu circumstanțele
specifice ale oricărei încălcări efective și, în orice caz, va trebui efectuată o evaluare
suplimentară ținând cont de aceste circumstanțe. Pentru mai multe detalii privind
evaluarea riscului, consultați secțiunea IV.
În cele mai multe cazuri, aceste acțiuni preliminare ar trebui să fie finalizate imediat
după alerta inițială (și anume, atunci când operatorul sau persoana împuternicită de
operator suspectează că a avut loc un incident de securitate care poate implica date
cu caracter personal.) – doar în cazuri excepționale ar trebui acestea să dureze mai
mult.
Exemplu
O persoană informează operatorul că a primit, de la o entitate utilizând identitatea
operatorului, un e˗mail care conține date cu caracter personal referitoare la utilizarea
(efectivă) de către aceasta a serviciului operatorului, ceea ce sugerează că securitatea
operatorului a fost compromisă. Operatorul efectuează o scurtă investigație și
6
identifică o intruziune în rețeaua sa și dovada accesului neautorizat la datele cu
caracter personal. În acest moment, s-ar considera că operatorul are „cunoștință” de
încălcare și este necesară notificarea autorității de supraveghere, cu excepția cazului
în care este puțin probabil ca aceasta să prezinte un risc pentru drepturile și libertățile
persoanelor. Operatorul va trebui să ia măsurile corective adecvate pentru remedierea
nerespectării.
Prin urmare, operatorul ar trebui să dispună de procese interne pentru a depista și a
remedia o încălcare. De exemplu, pentru identificarea unor nereguli în prelucrarea
datelor, operatorul sau persoana împuternicită de operator poate utiliza anumite
măsuri tehnice, cum ar fi fluxul de date și analizatorii de registre, din care este posibil
să se definească evenimente și alerte prin corelarea datelor din registre. Este
important ca, atunci când se depistează o încălcare, aceasta să fie raportată în sens
ascendent către nivelul adecvat al conducerii, astfel încât încălcarea să poată fi
remediată și, dacă este necesar, să fie notificată în conformitate cu articolul 33 și, după
caz, cu articolul 34. Astfel de măsuri și mecanisme de raportare ar putea fi detaliate în
planurile de răspuns la incidente și/sau mecanismele de guvernanță ale operatorului.
Acestea vor sprijini operatorul să planifice în mod eficace și să determine cine are
responsabilitatea operațională în cadrul organizației pentru gestionarea unei încălcări,
precum și modul sau necesitatea de a modifica statutul unui incident, după caz.
Operatorul ar trebui să dispună, de asemenea, de mecanisme cu orice persoane
împuternicite de operator pe care le utilizează, care la rândul lor au obligația de a
notifica operatorul în cazul unei încălcări.
În timp ce este responsabilitatea operatorilor și a persoanelor împuternicite de operator
să pună în aplicare măsuri adecvate pentru a preveni o încălcare, a reacționa la
aceasta și a o remedia, există unele măsuri practice care ar trebui luate în toate
cazurile.
• Informațiile referitoare la toate evenimentele legate de securitate ar trebui să fie
direcționate către o persoană responsabilă sau către persoanele însărcinate cu
remedierea incidentelor, stabilirea existenței unei încălcări și evaluarea riscului.
• Ulterior, trebuie evaluat riscul la adresa persoanelor ca urmare a unei încălcări
(probabilitatea de a nu exista niciun risc, probabilitatea unui risc sau a unui risc ridicat),
secțiunile relevante ale organizației fiind informate în acest sens.
• Dacă este necesar, ar trebui să se efectueze notificarea autorității de supraveghere
și, eventual, informarea persoanelor afectate cu privire la încălcarea securității datelor.
• În același timp, operatorul ar trebui să acționeze pentru a limita și a remedia
încălcarea.
• Documentarea încălcării ar trebui să aibă loc pe măsură ce aceasta evoluează.
Prin urmare, ar trebui să fie clar că operatorul are obligația de a acționa în legătură cu
orice alertă inițială și de a stabili dacă într-adevăr s-a produs sau nu o încălcare.
Această perioadă scurtă permite efectuarea unor investigații și oferă operatorul ocazia
să obțină probe și alte detalii relevante. Cu toate acestea, odată ce operatorul a stabilit
cu un grad rezonabil de certitudine că a avut loc o încălcare, în cazul în care au fost
îndeplinite condițiile prevăzute la articolul 33 alineatul (1), acesta trebuie să notifice
încălcarea autorității de supraveghere fără întârzieri nejustificate și, dacă este posibil,
în termen de cel mult 72 de ore.
Dacă un operator nu acționează în timp util și devine evident că a avut loc o încălcare,
atunci acest lucru poate fi considerat o nerespectare a obligației de notificare în
conformitate cu articolul 33.
7
Articolul 32 clarifică faptul că operatorul și persoana împuternicită de acesta ar trebui
să dispună de măsuri tehnice și organizatorice adecvate în vederea asigurării unui
nivel adecvat de securitate a datelor cu caracter personal: capacitatea de a depista, a
remedia și a raporta o încălcare în timp util ar trebui considerată o parte esențială a
acestor măsuri.
Operatori asociați
Articolul 26 se referă la operatorii asociați și precizează că operatorii asociați stabilesc
responsabilitățile fiecăruia pentru respectarea RGPD. Aceasta va include stabilirea
părții care va avea responsabilitatea pentru asigurarea respectării obligațiilor
prevăzute la articolele 33 și 34. GL29 recomandă ca mecanismele contractuale dintre
operatorii asociați să includă dispoziții care stabilesc operatorul care va prelua sarcina
sau va fi responsabil pentru asigurarea respectării obligațiilor de notificare a încălcării
prevăzute în RGPD.
Obligațiile persoanei împuternicite de operator
Operatorul își păstrează responsabilitatea generală pentru protecția datelor cu
caracter personal, însă persoana împuternicită de operator are un rol important în a
permite operatorului să își respecte obligațiile; acesta include notificarea încălcării. Într-
adevăr, articolul 28 alineatul (3) precizează că prelucrarea de către o persoană
împuternicită de un operator este reglementată de un contract sau de un alt act juridic.
Articolul 28 alineatul (3) litera (f) prevede că în contract sau orice alt act juridic se
stipulează că persoana împuternicită de operator „ajută operatorul să asigure
respectarea obligațiilor prevăzute la articolele 32-36, ținând seama de caracterul
prelucrării și informațiile aflate la dispoziția persoanei împuternicite de operator”.
Articolul 33 alineatul (2) precizează că, în cazul în care un operatorul apelează la o
persoană împuternicită de operator și aceasta constată o încălcare a securității datelor
cu caracter personal pe care le prelucrează în numele operatorului, trebuie să
înștiințeze operatorul „fără întârzieri nejustificate”. Ar trebui remarcat faptul că
persoana împuternicită de operator nu trebuie să evalueze mai întâi probabilitatea unui
risc care decurge dintr-o încălcare înainte de a o notifica operatorului; operatorul
trebuie să facă această evaluare atunci când ia cunoștință de încălcare.
Persoana împuternicită de operator trebuie să stabilească doar dacă a avut loc o
încălcare și ulterior să o notifice operatorului. Operatorul se bazează pe persoana
împuternicită de acesta pentru a-și atinge obiectivele; prin urmare, în principiu, ar trebui
considerat că operatorul are „cunoștință” odată ce persoana împuternicită de acesta l-
a informat despre încălcare. Obligația persoanei împuternicite de operator de a notifica
operatorul său permite acestuia din urmă să remedieze încălcarea și să stabilească
dacă este sau nu obligat să notifice încălcarea autorității de supraveghere în
conformitate cu articolul 33 alineatul (1) și persoanelor afectate în conformitate cu
articolul 34 alineatul (1). De asemenea, operatorul ar putea dori să investigheze
încălcarea, întrucât persoana împuternicită de operator ar putea să nu fi în măsură să
cunoască toate faptele relevante cu privire la aceasta, de exemplu dacă operatorul
mai deține o copie sau o copie de rezervă a datelor cu caracter personal distruse sau
pierdute de către persoana împuternicită de operator. Acest lucru poate afecta
obligația ulterioară a operatorului de a efectua notificarea.
RGPD nu oferă un termen explicit în care persoana împuternicită de operator trebuie
să alerteze operatorul, cu excepția faptului că operatorul trebuie să facă acest lucru
„fără întârzieri nejustificate”. Prin urmare, GL29 recomandă persoanei împuternicite de
operator să transmită de îndată operatorului o notificare, furnizând informații
suplimentare despre încălcare în etape, pe măsură ce devin disponibile mai multe
8
detalii. Acest lucru este important pentru a ajuta operatorul să îndeplinească cerința
de notificare a autorității de supraveghere în termen de 72 de ore.
Astfel cum s-a explicat mai sus, contractul dintre operator și persoana împuternicită de
operator ar trebui să precizeze modul în care ar trebui îndeplinite cerințele formulate
la articolul 33 alineatul (2), în plus față de alte dispoziții din RGPD. Aceasta poate
include cerințe pentru notificarea timpurie de către persoana împuternicită de operator
care, la rândul său, contribuie la îndeplinirea obligațiilor operatorului de a raporta
autorității de supraveghere în termen de 72 de ore.
În cazul în care persoana împuternicită de operator oferă servicii mai multor operatori
care sunt toți afectați de același incident, persoana împuternicită de operator va trebui
să transmită fiecărui operator detalii despre incident.
O persoană împuternicită de operator ar putea efectua o notificare în numele
operatorului, în cazul în care operatorul a acordat persoanei împuternicite de acesta
autorizația corespunzătoare și aceasta face parte din mecanismele contractuale dintre
operator și persoana împuternicită de operator. O astfel de notificare trebuie efectuată
în conformitate cu articolele 33 și 34. Cu toate acestea, este important de reținut că
responsabilitatea juridică de notificare revine în continuare operatorului.
9
Chiar dacă nu sunt disponibile informații precise (de exemplu, numărul exact de
persoane vizate afectate), aceasta nu ar trebui să constituie o barieră pentru
notificarea în timp util a încălcării. RGPD permite aproximări în ceea ce privește
numărul de persoane afectate și numărul de înregistrări de date cu caracter personal
în cauză. Accentul ar trebui să fie plasat pe remedierea efectelor negative ale
încălcării, mai degrabă decât pe furnizarea de cifre precise. Astfel, atunci când a
devenit clar că s-a produs o încălcare într-un anumit caz, dar încă nu este cunoscută
amploarea acesteia, o notificare în etape (a se vedea mai jos) este o modalitate sigură
de a respecta obligațiile de notificare.
Articolul 33 alineatul (3) prevede că operatorul furnizează „cel puțin” aceste informații
printr-o notificare, astfel încât un operator poate, dacă este necesar, să furnizeze detalii
suplimentare. Diferitele tipuri de încălcări (confidențialitate, integritate sau
disponibilitate) ar putea necesita furnizarea de informații suplimentare pentru a explica
pe deplin circumstanțele fiecărui caz.
Exemplu
Ca parte a notificării adresate autorității de supraveghere, un operator poate considera
că este util să menționeze numele persoanei împuternicite de operator, dacă aceasta
se află la originea unei încălcări, în special dacă aceasta a condus la un incident care
afectează înregistrările de date cu caracter personal ale multor altor operatori care
utilizează aceeași persoană împuternicită de operator.
În orice caz, autoritatea de supraveghere poate solicita detalii suplimentare în cadrul
investigației sale cu privire la o încălcare.
Notificarea în etape
În funcție de natura încălcării, poate fi necesară o investigație suplimentară efectuată
de către operator pentru a stabili toate faptele relevante referitoare la incident. Prin
urmare, articolul 33 alineatul (4) prevede că:
„Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același
timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate”.
Aceasta înseamnă că RGPD recunoaște că operatorii nu vor avea întotdeauna toate
informațiile necesare cu privire la o încălcare în termen de 72 de ore de la luare la
cunoștință a acesteia, întrucât detaliile complete și ample cu privire la incident nu pot
fi disponibile întotdeauna în această perioadă inițială. Ca atare, RGPD permite o
notificare în etape. Probabil că acest lucru va fi valabil, de asemenea, pentru încălcări
mai complexe, cum ar fi anumite tipuri de incidente de securitate cibernetică atunci
când, de exemplu, poate fi necesară o anchetă criminalistică detaliată pentru a stabili
pe deplin natura încălcării și măsura în care au fost compromise datele cu caracter
personal. În consecință, în multe cazuri, operatorul va trebui să efectueze mai multe
investigații și să revină cu informații suplimentare la o dată ulterioară. Acest lucru este
permis în cazul în care operatorul prezintă motive pentru întârziere, în conformitate cu
articolul 33 alineatul (1). GL29 recomandă ca, atunci când operatorul notifică pentru
prima dată autoritatea de supraveghere, acesta ar trebui să informeze, de asemenea,
autoritatea de supraveghere în cazul în care nu dispune încă de toate informațiile
necesare și va furniza mai multe detalii ulterior. Autoritatea de supraveghere ar trebui
să convină asupra modului și momentului în care ar trebui furnizate informații
suplimentare. Acest lucru nu împiedică operatorul să furnizeze informații suplimentare
în orice altă etapă, în cazul în care i se aduc la cunoștință detalii suplimentare relevante
despre încălcare care trebuie furnizate autorității de supraveghere.
Obiectul cerinței de notificare este de a încuraja operatorii să acționeze cu
promptitudine cu privire la o încălcare, să o limiteze și, dacă este posibil, să recupereze
datele cu caracter personal compromise și să solicite avizul competent al autorității de
10
supraveghere. Notificarea autorității de supraveghere în primele 72 de ore poate
permite operatorului să se asigure că deciziile privind notificarea sau lipsa notificării
persoanelor sunt corecte.
Cu toate acestea, scopul notificării autorității de supraveghere nu este numai de a
obține îndrumări asupra necesității de a informa persoanele afectate. În anumite
cazuri, va fi evident că, având în vedere natura încălcării și gravitatea riscului,
operatorul va trebui să notifice persoanele afectate fără întârziere. De exemple, dacă
există o amenințare imediată de furt de identitate sau în cazul în care categoriile
speciale de date cu caracter personal sunt divulgate online, operatorul ar trebui să
acționeze fără întârzieri nejustificate pentru a limita încălcarea și pentru a o comunica
persoanelor vizate (a se vedea secțiunea III). În circumstanțe excepționale, acest lucru
ar putea avea loc chiar înainte de notificarea autorității de supraveghere. La un nivel
mai general, notificarea autorității de supraveghere nu poate servi drept justificare
pentru necomunicarea încălcării către persoana vizată atunci când acest lucru este
necesar.
De asemenea, ar trebui să fie clar că, după efectuarea unei notificări inițiale, un
operator ar putea să transmită actualizări autorității de supraveghere în cazul în care
într-o investigație ulterioară se descoperă dovezi că incidentul de securitate este limitat
și că nu a avut loc de fapt nicio încălcare. Aceste informații ar putea fi adăugate ulterior
informațiilor deja furnizate autorității de supraveghere, iar incidentul să fie înregistrat
corespunzător ca nefiind o încălcare. Nu există nici o sancțiune pentru raportarea unui
incident care în cele din urmă se dovedește a nu fi o încălcare.
Exemplu
Un operator notifică autorității de supraveghere în termen de 72 de ore de la detectarea
unei încălcări că a pierdut o cheie USB care conține o copie a datelor cu caracter
personal ale unora dintre clienții săi. Mai târziu, cheia USB este găsită, fiind îndosariată
greșit în incinta operatorului și este recuperată. Operatorul furnizează informații
actualizate autoritatea de supraveghere și solicită modificarea notificării.
Ar trebui remarcat faptul că o abordare pe etape a notificării se aplică deja în
conformitate cu obligațiile existente din Directiva 2002/58/CE, Regulamentul 611/2013
și pentru alte incidente auto˗raportate.
Notificări amânate
Articolul 33 alineatul (1) precizează că, în cazul în care notificarea către autoritatea de
supraveghere nu se face în termen de 72 de ore, aceasta este însoțită de motive
întârzierii. Această dispoziție, împreună cu noțiunea de notificare în etape, recunoaște
că un operator nu poate fi întotdeauna în măsură să notifice o încălcare în termenul
respectiv și că o notificare întârziată poate fi admisă.
Un astfel de scenariu ar putea avea loc în cazul în care, de exemplu, un operator
suportă mai multe încălcări de confidențialitate similare într-o perioadă scurtă de timp,
care afectează în același mod un număr mare de persoane vizate. Un operator ar
putea lua cunoștință de o încălcare și, în timp ce începe investigația și înainte de
notificare, poate depista alte încălcări similare, care au cauze diferite. În funcție de
circumstanțe, este posibil ca operatorul să necesite ceva timp pentru a stabili
amploarea încălcărilor și, mai degrabă decât să notifice fiecare încălcare în mod
individual, operatorul pregătește în schimb o notificare semnificativă care reprezintă
mai multe încălcări foarte asemănătoare, cu posibile cauze diferite. Acest lucru ar
putea conduce la întârzierea notificării transmise autorității de supraveghere cu mai
mult de 72 de ore după ce operatorul a luat cunoștință de încălcări.
Strict vorbind, fiecare încălcare individuală este un incident raportabil. Cu toate
acestea, pentru a evita o sarcină excesivă, operatorul ar putea să prezinte o notificare
11
„grupată” care să reprezinte toate încălcările în cauză, cu condiția să se refere la
aceleași tipuri de date cu caracter personal afectate în același mod, într-un interval de
timp relativ scurt. În cazul în care are loc o serie de încălcări care privesc diferite tipuri
de date cu caracter personal, a căror securitate a fost încălcată în moduri diferite,
notificarea ar trebui să se desfășoare în mod normal, fiecare încălcare fiind raportată
în conformitate cu articolul 33.
În timp ce RGPD permite notificări întârziate într-o anumită măsură, acest lucru nu
trebuie văzut ca o situație care are loc în mod regulat. Trebuie subliniat faptul că
notificările grupate pot fi efectuate, de asemenea, pentru mai multe încălcări similare
raportate în decurs de 72 de ore.
12
Încălcări care au loc în unități din afara UE
Articolul 3 se referă la domeniul teritorial de aplicare a RGPD, inclusiv atunci când
acesta se aplică prelucrării datelor cu caracter personal de către un operator sau o
persoană împuternicită de operator care nu este stabilită în UE. În special, articolul 3
alineatul (2) prevede:
„Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor
persoane vizate care se află în Uniune de către un operator sau o persoană
împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de
prelucrare sunt legate de:
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent
dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
(b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.”
Articolul 3 alineatul (3) este, de asemenea, relevant și prevede:
„Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un
operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în
temeiul dreptului internațional public.”
În cazul în care un operator care nu este stabilit în UE face obiectul dispozițiilor
articolului 3 alineatul (2) sau alineatul (3) și se confruntă cu o încălcare, acesta este
obligat, prin urmare, să respecte obligațiile de notificare prevăzute la articolele 33 și
34. Articolul 27 impune unui operator (și persoanei împuternicite de operator) să
desemneze un reprezentant în UE, în cazul în care se aplică articolul 3 alineatul (2).
În astfel de cazuri, GL29 recomandă ca notificarea să fie făcută autorității de
supraveghere din statul membru în care este stabilit reprezentantul în UE al
operatorului.
În mod similar, în cazul în care o persoană împuternicită de operator face obiectul
dispozițiilor articolului 3 alineatul (2), aceasta se află sub incidența obligațiilor asumate
de persoanele împuternicite de operator, din care cea care prezintă o importanță
deosebită în cazul de față este obligația de a notifica o încălcare operatorului în
conformitate cu articolul 33 alineatul (2).
13
acest caz, ar fi necesară informarea persoanelor vizate, chiar dacă datele în sine
făceau obiectul unor măsuri de criptare adecvate.
De asemenea, GL29 a explicat că o situație similară ar fi cea în care date cu caracter
personal, cum ar fi parolele, au fost criptate și securizate utilizând o valoare aleatorie
(„salt”), valoarea algoritmului de criptare (hash) a fost calculată cu o funcție hash de
ultimă generație cu cheie criptografică, cheia utilizată pentru a cripta datele nu a fost
compromisă în nicio încălcare și cheia utilizată pentru a cripta datele au fost generată
astfel încât să nu poată fi identificată prin mijloace tehnologice disponibile de nicio
persoană care nu este autorizată să o acceseze.
În consecință, dacă datele cu caracter personal au fost făcute în esență neinteligibile
pentru părțile neautorizate și există o copie sau o copie de rezervă, în cazul unei
încălcări a confidențialității care implică date cu caracter personal criptate în mod
corespunzător ar putea să nu fie necesară notificarea autorității de supraveghere.
Aceasta se datorează faptului că este puțin probabil ca o astfel de încălcare să
reprezinte un risc pentru drepturile și libertățile persoanelor. Bineînțeles, acest lucru
înseamnă că nici persoana nu va trebui să fie informată, întrucât probabil nu există un
risc ridicat. Cu toate acestea, ar trebui să se țină seama de faptul că, deși inițial nu
este necesară notificarea în cazul în care probabil nu există un riscuri pentru drepturile
și libertățile persoanelor, acest lucru se poate schimba în timp, iar riscul ar trebui
reevaluat. De exemplu, în cazul în care se constată ulterior că a fost compromisă
cheia sau este expusă o vulnerabilitate în software-ul de criptare, este posibil ca
notificarea să fie în continuare necesară.
În plus, ar trebui remarcat faptul că, dacă există o încălcare într-un caz în care nu
există copii de rezervă ale datelor cu caracter personal criptate, atunci va exista o
încălcare a disponibilității, care ar putea prezenta riscuri pentru persoane și, prin
urmare, poate necesita notificare. În mod similar, în cazul în care are loc o încălcare
care implică pierderea datelor criptate, chiar dacă există o copie de rezervă a datelor
cu caracter personal, aceasta ar putea fi totuși o încălcare raportabilă, în funcție de
perioada de timp necesară pentru recuperarea datelor din copia de rezervă și de
efectul lipsei de disponibilitate asupra persoanelor. Astfel cum prevede articolul 32
alineatul (1) litera (c), un factor important de securitate este „capacitatea de a restabili
disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul
în care are loc un incident de natură fizică sau tehnică”.
Exemplu
O încălcare care nu ar necesita notificarea autorității de supraveghere ar fi pierderea
unui dispozitiv mobil criptat securizat, utilizat de operator și personalul său. În cazul în
care cheia de criptare rămâne în posesia securizată a operatorului și aceasta nu este
singura copie a datelor cu caracter personal, datele cu caracter personal nu ar fi
accesibile unui atacator. Aceasta înseamnă că este puțin probabil ca încălcarea să
genereze un risc pentru drepturile și libertățile persoanelor vizate în cauză. Dacă
ulterior devine evident că a fost compromisă cheia de criptare sau că software-ul sau
algoritmul de criptare este vulnerabil, atunci riscul pentru drepturile și libertățile
persoanelor fizice se va schimba și, prin urmare, notificarea poate deveni necesară.
Cu toate acestea, va constitui o nerespectare a articolului 33 dacă un operator nu
notifică autoritatea de supraveghere într-o situație în care datele nu au fost criptate
securizat. Prin urmare, atunci când selectează software de criptare, operatorii ar trebui
să evalueze cu atenție calitatea și aplicarea corectă a criptării oferite, pentru a înțelege
ce nivel de protecție oferă de fapt și dacă acesta este adecvat riscurilor prezentate. De
asemenea, operatorii ar trebui să fie familiarizați cu specificul funcționării produsului
lor de criptare. De exemplu, un dispozitiv poate fi criptat odată ce este oprit, dar nu în
14
timp ce se află în modul „standby”. Unele produse care utilizează criptarea au „chei
prestabilite” care trebuie să fie modificate de către fiecare client pentru a fi eficace. De
asemenea, criptarea poate fi considerată adecvată în prezent de către experți din
domeniul securității, dar poate deveni depășită în câțiva ani, ceea ce înseamnă că este
discutabil dacă datele ar fi suficient de criptate de produsul respectiv și ar oferi un nivel
adecvat de protecție.
Concluzie
GDPR introduce o obligație pentru toate organizațiile de a raporta anumite tipuri
de încălcări ale datelor cu caracter personal către autoritatea de supraveghere
competentă. Trebuie să faceți acest lucru în termen de 72 de ore de la
conștientizarea încălcării, acolo unde este posibil.
Dacă încălcarea este susceptibilă să ducă la un risc ridicat de a afecta drepturile și
libertățile persoanelor, trebuie să le informați și pe acei indivizi fără întârzieri
nejustificate.
Ar trebui să vă asigurați că aveți proceduri robuste de detectare, investigație
și raportare internă. Acest lucru va facilita luarea deciziilor cu privire la necesitatea
notificării sau nu a autorității de supraveghere relevante și a persoanelor afectate.
De asemenea, trebuie să păstrați o evidență a oricăror încălcări ale datelor cu
caracter personal, indiferent dacă vi se cere să notificați.
15
În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent și ireparabil,
plângerea către autoritatea de supraveghere nu poate fi înaintată mai devreme de
15 zile de la înaintarea unei plângeri cu același conținut către operator.
Dacă plângerea este găsită întemeiată, autoritatea de supraveghere poate dispune
suspendarea provizorie sau încetarea prelucrării datelor, ștergerea parțială sau
integrală a prelucrării datelor și poate să sesizeze organele de urmărire penală sau
să intenteze acțiune în justiție. Decizia trebuie motivată și se comunică părților
interesate în termen de 30 de zile de la data primirii plângerii.
Când a avut loc o încălcare a datelor cu caracter personal, trebuie să stabiliți
probabilitatea și severitatea riscului care rezultă în drepturile și libertățile
cetățenilor. Dacă este probabil că va exista un risc, atunci trebuie să informați
ANSPDCP; dacă este puțin probabil, atunci nu trebuie să raportați. Cu toate
acestea, dacă decideți că nu este necesar să raportați încălcarea, trebuie să
puteți justifica această decizie, deci ar trebui să o documentați.
16
DIAGRAMĂ CARE PREZINTĂ CERINȚELE DE NOTIFICARE
17
Contact ANSPDCP
Sediul Autorității Naționale de Supraveghere a Prelucrării Datelor cu
Caracter Personal: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal
010336, București, Romania
Telefon: +40.318.059.211 / +40.318.059.212
Sit web: www.dataprotection.ro
E-mail: anspdcp@dataprotection.ro
18
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL VII
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020
CONȚINUT TEMATIC:
Desemnarea responsabilului cu protecția datelor cu caracter
personal
Rolul și atribuțiile responsabilului cu protecția datelor cu caracter
personal
Poziția responsabilului cu protecția datelor cu caracter personal în
cadrul organizației
Principiul obiectivității în desfășurerea sarcinilor și activităților
responsabilului cu protecția datelor cu caracter personal (garanțiile
care permit responsabilului cu protecția datelor cu caracter
personal să-și îndeplinescă sarcinile în mod independent).
Conflictul de interese cu alte structuri din cadrul organizației
Obligațiile organizației față de responsabilul cu protecția datelor cu
caracter personal. Resursele de care trebuie să beneficieze
responsabilul cu protecția datelor cu caracter personal în vederea
îndeplinirii sarcinilor
Obligațiile responsabilului cu protecția datelor cu caracter personal
din perspectiva dezvoltării profesionale continue (inclusiv a
personalului organizației). Metode de responsabilizare a
personalului organizației
Răspunderea responsabilului cu protecția datelor cu caracter
personal
1
2
2
3
3
4
Calități și competențe:
Trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt necesare
anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și
o anumită poziție în cadrul organizației.
Trebuie să aibă anumite calități profesionale, astfel:
experiență în legislația și practicile de protecție a datelor la nivel național și
european, precum și o înțelegere adecvată a RGPD;
nivelul necesar de cunoștințe în domeniul protecției datelor în funcție de
operațiunile de prelucrare a datelor efectuate și de nivelul de protecție
necesar pentru datele cu caracter personal prelucrate;
să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de
informații și necesitățile de securitate și protecție a datelor prelucrate de
operator;
în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor
trebuie să dețină, de asemenea, cunoștințe privind reglementările legale
referitoare la organizarea și funcționarea acestora, precum și a procedurilor
interne administrative ce vizează desfășurarea activității.
4
5
5
6
6
7
În instituțiile și organismele UE, DPO este numit pentru o perioadă cuprinsă între 2 și 5
ani, poate fi reînnoit pentru o perioadă de maxim 10 ani și poate fi revocat numai cu
consimțământul EUPD.
În concluzie, DPO este acolo pentru a asista organizația în menținerea respectării
protecției datelor. Acestea ar trebui să ofere consultanță de specialitate, să sprijine
evaluările de impact și auditurile privind protecția datelor și să acționeze ca intermediar
între persoanele vizate, unitățile de afaceri ale organizației și autoritatea de
supraveghere.
Totodată, detaliile de contact ale DPO trebuie să fie disponibile publicului pentru accesul
persoanelor vizate, de exemplu pe pagina "Politica de confidențialitate" a unui site web,
iar angajații ar trebui să știe cine este DPO și cum să se angajeze cu aceștia.
Mai exact, DPO este autoritatea internă pentru îndrumarea privind protecția datelor
pentru toate activitățile care implică date cu caracter personal. Orice proiect nou, de
exemplu: arhitectură, proiectare sau plan care include date cu caracter personal ar
trebui să aibă contribuția unui DPO.
În schimb, disponibilitatea DPO pentru toate echipele este esențială. Orientarea DPO nu
trebuie neapărat urmată, dar dacă nu este, atunci acest lucru ar trebui să fie documentat
în mod explicit cu privire la motivul și la evaluarea riscurilor.
7
8
Accesul necesar la alte servicii precum resurse umane, juridic, IT, securitate etc. astfel
încât DPO să beneficieze de un sprijin esențial, reacții și informații din partea altor
servicii.
• Pregătire continuă. DPO trebuie să aibă posibilitatea de a rămâne la curent cu evoluțiile
în domeniul protecției datelor. Obiectivul ar trebui să fie de a crește în mod constant
nivelul de expertiză al DPO, iar acesta ar trebui încurajat să participe la cursuri de
formare în legătură cu protecția datelor și la alte forme de dezvoltare profesională, cum
ar fi participarea la foruri privind protecția vieții private, seminare, etc.
• Având în vedere mărimea și structura organizației, ar putea fi necesară crearea unei
echipe DPO (un DPO și personalul său).
În general, cu cât operațiunile de prelucrare sunt mai complexe sau/și mai sensibile, cu
atât mai mult DPO trebuie să beneficieze de resurse. Funcția de protecție a datelor
trebuie să fie finanțată în mod eficient și suficient în ceea ce privește prelucrarea datelor
efectuată. În special, operatorii/persoanele împuternicite de operator trebuie să se
asigure că DPO „nu primește niciun fel de instrucțiuni în ceea ce privește
îndeplinirea sarcinilor sale”.
Considerentul 97 adaugă faptul că DPO „indiferent dacă este sau nu angajat al
operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod
independent”.
De asemenea, art. 38 (3) din GDPR stabilește anumite garanții de bază pentru a se
asigura că DPO este în măsură să-și îndeplinească sarcinile cu un grad suficient de
autonomie în cadrul organizației.
În special, operatorii/persoanele împuternicite de operator trebuie să se asigure că DPO
„nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale”.
Considerentul 97 adaugă faptul că DPO „indiferent dacă este sau nu angajat al
operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod
independent”.
Totodată, operatorul sau persoana împuternicită de operator este responsabil pentru
respectarea legislației privind protecția datelor și trebuie să poată demonstra
conformitatea.
8
9
efectueze o evaluare a impactului asupra protecției datelor, dar operatorul sau persoana
împuternicită de operator nu este de acord cu evaluarea DPO. Într-o astfel de situație,
DPO nu poate fi demis pentru oferirea acestui sfat. Sancțiunile pot lua o varietate de
forme și pot fi directe sau indirecte. Acestea ar putea consta, de exemplu, în lipsa sau
întârzierea promovării; prevenirea de la avansarea în carieră; negare de beneficii pe
care alți angajați le primesc.
Nu este necesar ca aceste sancțiuni să fie realizate efectiv, o simplă amenințare este
suficientă atât timp cât acestea sunt folosite pentru a sancționa DPO pe motive legate
de activitățile sale de DPO.
Ca o regulă normală de management și cum ar fi cazul pentru orice alt angajat sau
contractant în conformitate cu, și sub rezerva, dreptul intern în domeniul muncii sau
contractelor și cel penal aplicabil, un DPO ar putea fi totuși demis, în mod legal, din alte
motive decât cele privind îndeplinirea sarcinilor sale în calitate de DPO (de exemplu, în
caz de furt, hărțuire fizică, psihologică sau sexuală sau abatere gravă similară). În
acest context, trebuie remarcat faptul că RGPD nu specifică modul în care și când un
DPO poate fi demis sau înlocuit de către o altă persoană. Cu toate acestea, cu cât
contractul unui DPO este mai stabil și există mai multe garanții împotriva a concedierii
abuzive, cu atât mai probabil DPO va fi în măsură să acționeze în mod independent.
Prin urmare, WP29 ar saluta eforturile organizațiilor în acest sens.
Conflict de interese
Art. 38(6) permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea,
este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu
generează un conflict”. Absența conflictului de interese este strâns legată de obligația de
a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia
îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor
conflicte de interese. Acest lucru presupune, în special, faptul că DPO nu poate deține o
poziție în cadrul organizației care ar conduce la posibilitatea ca DPO să stabilească
scopurile și mijloacele de prelucrare a datelor cu caracter personale. Acest lucru trebuie
luat în considerare de la caz la caz, ținându-se cont de structura organizațională
specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care
poate intra în conflict pot include funcții de conducere (cum ar fi director executiv,
director operațional, director financiar, șeful serviciului medical, șeful departamentului de
marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în
același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili
scopurile și mijloacelor de prelucrare. În plus, un conflict de interese poate apărea, de
asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte
oporatorul sau persoana împuternicită de operator în instanță, în cazurile care implică
probleme de protecție a datelor.
În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru
operatori și persoanele împuternicite de operatori ar putea fi:
9
10
Potrivit art. 38 (3) din GDPR, DPO nu poate „fi demis sau sancționat de operator sau
de către persoana împuternicită de operator pentru îndeplinirea sarcinilor sale”.
Cerință care întărește autonomia DPO și ajută la asigurarea că acesta acționează în
mod independent și se bucură de o protecție suficientă în îndeplinirea sarcinilor sale în
ceea ce privește protecție a datelor.
10
11
dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă să
continue sau nu prelucrarea și ce garanții să pună în aplicare) respectă RGPD.
în acest sens, dacă incidentul de securitate a fost generat chiar de către Responsabilul
cu Protectia Datelor, de neîndeplinirea sau îndeplinirea necorespunzătoare a sarcinilor
incredintate privind prelucrarea datelor, acesta va răspunde disciplinar, administrativ sau
civil în faâa operatorului sau persoanei împuternicite, ori, după caz, penal dacă acțiunile
ori inacțiunile sale constituie elementele constitutive ale unei infracțiuni .
De asemenea, în situația în care Responsabilul pentru Protecția Datelor este un salariat
al operatorului sau persoanei împuternicite, iar în urma unui incident de securitate
generat din culpa sa, se angajează răspunderea patrimonială a angajatorului,
operatorul-angajator (sau persoana împuternicită de operator, după caz) se va putea
întoarce impotriva salariatului sau Responsabil pentru Protecția Datelor, în temeiul art.
254 din Codul Muncii, potrivit căruia “salariații răspund patrimonial, în temeiul normelor
și principiilor răspunderii civile contractuale, pentru pagubele materiale produse
angajatorului din vina și în legatură cu munca lor”.
Concluzionând, Responsabilul pentru Protecția Datelor, deși poate juca un rol-cheie în
ceea ce privește raportarea și gestionarea incidentului de securitate privind datele cu
caracter personal, acesta nu va prelua răspunderea angajatorului (fie acesta un operator
de date cu caracter personal, fie o persoană împuternicită de operator) în fața Autorității
de Supraveghere ori a altor instituții abilitate.
Răspunderea Responsabilului pentru Protecția Datelor este, asadar, una personaă în
relația cu autoritățile, independenta de răspunderea angajatorului sau, atunci când fapta
generatoare de incident de securitate a Responsabilului intrunește caracteristicile unei
11
12
12
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL VIII
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020
CONȚINUT TEMATIC:
1. Cerințe în vigoare aplicabile în domeniul securității
informaționale – roluri, responsabilități și autorități
2. Organizarea securității informației, implementarea securității
informațiilor
3. Ciclul de viață al sistemelor informatice
4. Integrarea securității și a vieții private în ciclul de viață
5. Controlul calității sistemelor informatice
6. Securitatea administrării activelor
7. Securitatea în software și proceduri
8. Securitatea aplicată tehnologiilor și documentației informatice
9. Cadrul general al evaluării și gestionării riscurilor
10. Criterii de evaluare a riscului
11. Metodologii de analiză și evaluare a riscurilor de securitate
a informațiilor
12. Evaluarea riscurilor
1
2
2
3
Prin Hotărârea Guvernului nr. 494/2011 s-a înfiinţat Centrul Naţional de Răspuns la
Incidente de Securitate Cibernetică - CERT-RO, cu atribuţii atât în cadrul sectorului
public, cât şi în sectorul privat, instituţie care poate emite alerte şi atenţionări cu privire la
activităţi premergătoare atacurilor cibernetice.
3
4
4
5
5
6
Datorită dezvoltării tehnologice din domeniului IT, informaţiile circulă cu o viteză foarte
mare, accesul utilizatorului fiind aproape instantaneu, via internet sau intranet.
Informațiile unei companii se pot regăsi: în format tipărit, stocate în sistemele informatice
și bineînțeles în mintea utilizatorului prin parole, username etc. .
Situaţii de forţă majoră (Inundaţii, incendii, cutremure sau furtuni) care pot
distruge sau limita accesul (documentele nemaifiind disponibile în timp util).
O actualizare nereușită de software care poate perturba sau modifica datele.
Indisponibilitatea (din cauza unei boli, unui accident etc.) a singurei persoane
care cunoștea informația.
Divulgarea de informații confidențiale (intenționat sau neintenționat) către
persoane neautorizate.
6
7
Vulnerabilităţile
Vulnerabilitățile în domeniul securității informatice pot fi împărțite în mai multe categorii:
tehnice, legate de procedurile de acces ale angajaților în sistemele IT, organizatorice
sau erori umane.
De aceea, este bine ca într-o companie politicile de acces să fie implementate după
analiza de risc, ea făcând parte din metodologia conceptului de securitate şi este
aplicată în toate etapele de dezvoltare a acesteia.
Prezentare generală,
Domeniul de aplicare,
Standarde de securitate,
Ghid de aplicare,
Definiții,
Istoricul versiunilor.
ISO 17799,
Health Insurance Portability and Accountability Act (HIPAA)
Personally identifiable information (PII)
ISO 27001
ITIL
ISO 17799
Specifică cele mai bune practici pentru managementul securității informației. Acest
standard împarte managementul securității informațiilor în diferite categorii, după cum
urmează:
7
8
evaluarea riscurilor,
politici de securitate,
organizarea securităţii,
protecţia activelor,
securitatea personalului,
securitatea fizică și a mediului înconjurător,
managementul comunicării și funcționării,
controlul accesului,
sistemul de întreținere,
continuitatea afacerii.
ISO 27001
Conţine modelul de "plan-do-check-act" şi anume planificare definire, implementare
folosire, monitorizare evaluare şi în ultimă fază menţinerea şi îmbunătăţirea
performanţelor.
ITIL
Constă în orientări şi în cele mai bune practici care descriu modul în care un "IT Service
Management (ITSM)" poate fi pus în aplicare printr-un ciclu de viaţă.
8
9
Figura 2: Ciclul de viaţă ITIL (ITIL® v3 Foundation Study Guide, taruu LLC, 2009)
9
10
Ameninţări :
Privilage Escalation,
Worm Virus,
Trojan Virus,
Logic Bomb,
Spyware,
Rootkit,
Keylogger.
Protecţie
Pentru a ne proteja împotriva atacurilor şi a ameninţărilor trebuie să ne întărim
securitatea dispozitivelor de reţea, să utilizăm filtre MAC, să utilizăm standarde de
control al accesului la reţea precum 802 lx şi politici de grup. Sistemele trebuie
monitorizate şi updatate continuu şi erorile apărute ca urmare a monitorizării trebuie
reparate.
Cantitativă prin care se calculează costul pentru fiecare risc şi ce pierderi poate
aduce acesta.
Aşteptarea de pierdere unică (APU) = valoarea bunului ($) x factorul de expunere (%)
10
11
Minimizarea riscurilor se poate face prin audituri interne de securitate periodice şi prin
asigurarea respectării politicilor și procedurilor de securitate.
În ziua de azi, vedem din ce în ce mai multe ştiri despre atacuri informatice, adevărate
războaie cibernetice cu efecte dezastruoase.
11
12
12
13
13
14
14
15
Personal angajat
Este vital ca personalul dvs. să înțeleagă importanța protejării datelor personale; că sunt
familiarizați cu politica de securitate a organizației dvs.; și că au pus în practică
procedurile de securitate. Deci, trebuie să oferiți o pregătire inițială și perfecționată
adecvată și aceasta ar trebui să acopere:
• obligațiile organizației dvs. în temeiul Legii privind protecția datelor și restricțiile privind
utilizarea datelor cu caracter personal;
• responsabilitățile membrilor personalului individual pentru protejarea datelor cu
caracter personal, inclusiv posibilitatea ca aceștia să comită infracțiuni dacă încearcă în
mod deliberat să acceseze sau să dezvăluie informații fără autorizare;
• procedurile adecvate de identificare a apelanților;
• pericolele persoanelor care încearcă să obțină date cu caracter personal prin
înșelăciune (de exemplu, pretinzând că sunt persoana despre care se află informația
sau făcând atacuri de "phishing") sau prin convingerea dvs. de a modifica informațiile
atunci când nu ar trebui să faceți acest lucru; și
• orice restricții pe care organizația dvs. le pune în legătură cu utilizarea personală a
computerelor sale de către personal (pentru a evita, de exemplu, infecția cu viruși sau
spam).
Eficacitatea formării personalului depinde de faptul că persoanele în cauză sunt în
primul rând sigure. Legea privind protecția datelor vă solicită să luați măsuri rezonabile
pentru a asigura fiabilitatea oricărui personal care are acces la date cu caracter
personal.
Exemplu
O organizație verifică identitatea angajaților săi atunci când sunt recrutați solicitând să
vadă pașapoartele sau permisele de conducere înainte de a începe să lucreze. Obține,
de asemenea, referințe adecvate pentru a confirma fiabilitatea acestora. Contractul
standard de angajare al organizației stabilește ceea ce personalul poate și nu poate
face cu datele personale la care au acces.
Siguranță fizică
Măsurile tehnice de securitate pentru protecția informațiilor computerizate sunt de o
importanță evidentă. Cu toate acestea, multe incidente de securitate se referă la furtul
sau pierderea echipamentului sau la abandonarea computerelor vechi sau a
înregistrărilor tipărite.
Securitatea fizică include lucruri precum calitatea ușilor și a încuietorilor și dacă spațiile
sunt protejate de alarme, iluminat de securitate sau CCTV. Totuși, aceasta include și
modul în care controlați accesul la sedii, controlați vizitatorii, eliminați deșeurile de hârtie
și păstrați siguranța echipamentului portabil.
15
16
Exemplu
Ca parte a măsurilor sale de securitate, o organizație se asigură că informațiile de pe
computerele portabile eliberate personalului sunt protejate prin criptare și că ecranele de
birou de la birourile sale sunt poziționate astfel încât să nu poată fi văzute de trecătorii
obișnuiți. Deșeurile de hârtie sunt colectate în recipiente sigure și sunt sfărâmate la fața
locului la sfârșitul fiecărei săptămâni.
Securitatea calculatorului
Securitatea calculatorului este în continuă evoluție și este o zonă tehnică complexă. În
funcție de cât de sofisticate sunt sistemele dvs. și de expertiza tehnică a personalului
dvs., este posibil să aveți nevoie de sfaturi de specialitate în domeniul securității
informațiilor, care depășesc sfera acestui ghid. O listă de surse utile de informații despre
securitate este furnizată la sfârșitul acestui capitol. Ar trebui să luați în considerare
următoarele principii directoare atunci când decideți partea mai tehnică a securității
informațiilor.
Siguranța computerului dvs. trebuie să fie adecvată dimensiunii și utilizării sistemelor
organizației dvs.
După cum sa menționat mai sus, ar trebui să țineți cont de evoluțiile tehnologice, dar, de
asemenea, aveți dreptul să luați în considerare costurile atunci când decideți ce măsuri
de securitate să ia.
Măsurile dvs. de securitate trebuie să fie adecvate practicilor dvs. comerciale. De
exemplu, dacă aveți personal care lucrează de acasă, trebuie să puneți măsuri pentru a
vă asigura că acest lucru nu compromite securitatea.
Măsurile pe care le luați trebuie să fie adecvate naturii datelor cu caracter personal pe
care le dețineți și prejudiciului care ar putea rezulta dintr-o încălcare a securității.
Cerințele GDPRului vis a vis de securitatea datelor
GDPR cere ca datele personale să fie prelucrate într-o manieră care să le garanteze
securitatea. Aceasta include protecția împotriva prelucrării neautorizate sau ilegale și
împotriva pierderii, distrugerii sau deteriorării accidentale. Aceasta impune utilizarea
unor măsuri tehnice sau organizatorice adecvate.
În conformitate cu articolul 32, în mod similar articolului 17 din directivă, controlorii și
prelucrătorii trebuie să "implementeze măsuri tehnice și organizatorice adecvate", ținând
seama de "stadiul tehnicii și costurile implementării" și "natura, domeniul de aplicare,
contextul și scopurile prelucrării, precum și riscul variabilității și gravității diferitelor
drepturi și libertăți ale persoanelor vizate. "Spre deosebire de directivă, cu toate
acestea, GDPR oferă sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea
fi considerate" adecvate riscului, ".
Pseudonimizarea și criptarea datelor cu caracter personal.
Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența
proceselor și serviciilor de procesare.
16
17
17
18
Re-identificare
Acest proces restabilește informațiile inițiale într-un set de date pseudonime. Pentru a
re-identifica datele, va trebui să folosiți o serie de structuri de mapare inversă construite
pe măsură ce datele sunt pseudonimizate. Există câteva cazuri de utilizare pentru re-
identificare. Un exemplu ar fi transmiterea datelor pseudonime către un sistem extern de
procesare. Odată ce informația procesată este returnată, aceasta va fi re-identificată și
împinsă la dosarul pacientului potrivit.
Identificatori
Identificatorii sunt elemente de date care pot identifica direct indivizii. Exemple de
identificatori includ, dar nu se limitează la numele, adresa de e- mail, numărul de telefon,
adresa de domiciliu, numărul de securitate socială, numărul cardului medical (vezi postul
anterior pentru o listă completă a identificatorilor HIPAA). În unele cazuri, este nevoie de
mai mult de o variabilă de identificare pentru a identifica o persoană în mod unic. De
exemplu, numele "John Smith" apare de mai multe ori în paginile albe. Cu toate
acestea, trebuie să combinați numele cu un număr de telefon pentru a identifica dreptul
de John Smith.
Cvasi-identificatorilor
Acestea sunt elemente de date care nu identifică direct o persoană, dar care oferă
suficiente informații pentru a restrânge în mod semnificativ căutarea unui anumit individ.
Unele cvasi-identificatori au fost studiate pe larg. Acestea includ sexul, data nașterii și
codul poștal / codul poștal. Cvasi- identificatorii sunt în mare măsură dependenți de tipul
de set de date. De exemplu, sexul nu va fi un cvasi-identificator semnificativ dacă toate
persoanele fizice sunt femei. Un alt lucru interesant despre cvasi-identificatori: ele sunt
18
19
categorice în natură, cu un set finit de valori discrete. Cu alte cuvinte, sexul, datele de
naștere pe o perioadă de mai puțin de 150 de ani și adresa sunt finite. Acest lucru face
căutările simple. Persoanele fizice sunt relativ ușor de identificat folosind cvasi-
identificatori.
Non-identificatorii
Aceste elemente de date pot conține informații personale despre persoane, dar nu sunt
utile pentru reconstituirea informațiilor inițiale. De exemplu, un indicator privind dacă o
persoană are alergii la polen ar fi cel mai probabil un element de date care nu identifică.
Incidența alergiei la polen este atât de mare în populație încât nu ar fi un bun
discriminator printre indivizi. Din nou, elementele de date fără identificatori depind de
seturile de date. Într-un context diferit, acest element de date vă poate permite să
identificați indivizii.
Concluzie
“Organizatiile pot remedia expunerea la vulnerabilitati si pregati
protectii potrivite prin definirea si executia proactiva a unui plan
care urmeaza bunele practici si foloseste cele mai noi tehnologii
automatizate pentru a face acel plan repetabil”
Carl Banzhof, “ Strategies to Protect against Network Security
Vulnerabilities”
19
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290
RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL VIII
Securitatea informației
Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020
6) Navigarea pe Internet
Unele site-uri web pot contine Spyware sau Adware care
se pot instala automat pe calculator
2. Fundamente privind vulnerabilităţile
sistemelor informatice
Cauzele vulnerabilitatilor (IV)
Elemente majore
1. Inventarierea bunurilor (assets inventory)
2. Administrarea fluxului de informatii
3. Evaluarea nivelului de risc al bunurilor si
vulnerabilitatilor
4. Urmarirea remedierii
5. Planul de raspuns
4. Bune practici privind procesul de
management al vulnerabilitatilor
1. Inventarierea bunurilor (I)
a) Provocari
Lipsa resurselor si a uneltelor
Lipsa responsabilitatii
Management al schimbarii neadecvat
Servere/statii instalate neautorizat
Limite neclare ale retelelor
4. Bune practici privind procesul de
management al vulnerabilitatilor
1. Inventarierea bunurilor (II)
b) Bune practici
Stabilirea unui singur punct de autoritate pentru
inventariere (PVG –Patch & Vulnerability Group), diferit
de administratorii locali
Avizarea utilizatorilor de persoanele pe care trebuie sa le
contacteze in cazul unei schimbari
Actualizarea inventarului prin intermediul unui proces de
management al schimbarii
Folosirea unei scheme consistente de numerotare a
bunurilor
Validarea regulata (ex. anuala) a inventarului
4. Bune practici privind procesul de
management al vulnerabilitatilor
2. Administrarea fluxului de informatii (I)
a) Provocari
Exista un flux constant de informatii despre noi
vulnerabilitati, virusi, si amenintari
Cantitate mare de date
Identificarea vulnerabilitatilor si amenintarilor care
sunt relevante organizatiei
Multitudinea de surse
Lipsa unui ghid de raspuns la incidente
4. Bune practici privind procesul de
management al vulnerabilitatilor
2. Administrarea fluxului de informatii (II)
b) Bune practici
Stabilirea unei echipe CSIRT (Computer Security
Incident Response Team) care sa evalueze continuu
nivelul amenintarilor in organizatie
Transmiterea de informatii de catre CSIRT catre
utilizatorii finali folosind un mailing list si mentinerea
unui site web cu sfaturi
Crearea de ghiduri pentru raspuns la incidente
destinate utilizatorilor
Crearea unui format de alerta standardizat
4. Bune practici privind procesul de
management al vulnerabilitatilor
3. Evaluarea nivelului de risc al bunurilor si
vulnerabilitatilor (I)
a) Provocari
Lipsa informatiilor – despre bunuri, designul retelei,
procese, etc.
Lipsa resurselor
Lipsa unui control al schimbarilor
Stabilirea bunurilor pentru care se face evaluarea
4. Bune practici privind procesul de
management al vulnerabilitatilor
3. Evaluarea nivelului de risc al bunurilor si vulnerabilitatilor
(II)
b) Bune practici (I)
Documentarea proceselor de evaluare a noilor
vulnerabilitati pe masura ce sunt anuntate
Metoda de asignare consistenta a riscului
Publicarea nivelului de risc si a definitiei pentru acel nivel
Utilizarea unui inventar exact (vezi Inventarierea bunurilor)
Implementarea proceselor de managementul schimbarii
Crearea unei documentatii ce contine uneltele de
remediere folosite si rezolvarea pe care o ofera, locatia
implementarii
4. Bune practici privind procesul de
management al vulnerabilitatilor
3. Evaluarea nivelului de risc al bunurilor si vulnerabilitatilor
(II)
b) Bune practici (II)
Obtineti permisiune inclusiv in controlul schimbarii pentru
a rula scanari, in cazul in care provocati o indisponibilitate a
resurselor din retea
Testati noile verificari intr-un laborator, pentru a identifica
false pozitive, false negative, si indisponibilitatea serviciilor
Creati politici personalizate in functie de OS sau de
standardul in industrie (SANS Top20, Windows Top 10
Vulns)
Documentati scanarea printr-o procedura de operare
standard
4. Bune practici privind procesul de
management al vulnerabilitatilor
4. Urmarirea remedierii si raportare
a) Provocari
Conectarea personalului corect cu bunurile ce
trebuie remediate
Stabilirea responsabilitatii pentru actualizarea si
remedierea sistemelor vulnerabile
Crearea de rapoarte relevante
4. Bune practici privind procesul de
management al vulnerabilitatilor
4. Urmarirea remedierii si raportare
b) Bune practici
Folositi o unealta care are o metoda de notificare a
proprietarilor bunurilor ca au vulnerabilitati de remediat
Stabiliti impreuna cu managementul tipurile de rapoarte
pe care le doresc si puteti sa le oferiti
Obtineti suportul managementului pentru stabilirea unui
interval de timp pentru remediere si a consecintelor daca
nu sunt remediate sistemele
Concentrati-va pe vulnerabilitatile importante
clasificandu-le in functie de nivelul vulnerabilitatii si al
bunului afectat
4. Bune practici privind procesul de
management al vulnerabilitatilor
5. Planul de raspuns
a) Provocari
Transmiterea informatiilor de catre CSIRT catre
persoanele potrivite
Eliminarea activitatii duplicate in cadrul diferitelor
echipe
Lipsa informatiilor despre activitatile ce trebuie
efectuate de fiecare echipa
4. Bune practici privind procesul de
management al vulnerabilitatilor
5. Planul de raspuns
Bune practici
Stabilirea unui plan documentat, si publicat, pe care CSIRT si
ceilalti angajati cheie sa il inteleaga si sa il urmeze
Oferiti informatii rapide si exacte catre personalul tehnic si
catre utilizatorii finali
Asigurati-va ca personalul help-desk este notificat si informat
cum sa trateze situatia
CSIRT si echipa de evaluare a vulnerabilitatilor trebuie sa aiba
la indemana informatiile despre retea, pentru a actiona rapid
la nivelul intregii organizatii
4. Bune practici privind procesul de
management al vulnerabilitatilor
5. Planul de raspuns
Trebuie sa includa:
1. http://andrei.clubcisco.ro/cursuri/master/set-materii-
3/managementul-securitatea-informatiei.html