FONDUL SOCIAL EUROPEAN

Programul Operaţional Capital Uman 2014-2020

Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate
conform SNC și SNCDI ale angajaților

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL

Modulul I

Noțiuni introductive cu privire la domeniul

protecției datelor cu caracter personal

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 – 2020
CONȚINUT TEMATIC:
 Cadrul legislativ actual aplicabil protecției datelor cu caracter
personal din perspectivă națională și europeană.
 GDPR – Elemente cu caracter de noutate introduse prin
noul cadru legislativ – comparație cu dispozițiile legale
actuale, ghiduri și opinii emise în domeniul protecției datelor
cu caracter personal
 Domeniul de aplicare al GDPR din punct de vedere material
și teritorial.
 Noțiuni aplicabile în domeniul protecției datelor cu caracter
personal – definiția datelor cu caracter personal, categoriile
speciale de date cu caracter personal (date sensibile),
persoanele implicate în prelucrarea datelor cu caracter
personal (persoane vizate, operator, împuternicit)
 Principiile prelucrării datelor cu caracter personal
 Noțiunea de responsabil cu protecția datelor cu caracter
personal.

1
 Cadrul legislativ actual aplicabil protecției
datelor cu caracter personal din perspectivă
națională și europeană
REGULAMENTUL nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera
circulaţie a acestor date (Regulamentul general privind protecţia datelor)

Comisia Europeană a semnalat, în anul 2012, necesitatea actualizării cadrului

normativ european aplicabil în domeniul protecţiei datelor şi a propus noi reguli utilizând
ca instrument normativ regulamentul. Regulamentul (UE) 2016/679 a intrat în vigoare pe
25 mai 2016, iar prevederile lui au început a fi aplicabile începând cu data de 25 mai
2018.
Anterior GDPR, exista Directiva 95/46/CE a Parlamentului European și a
Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și libera circulație a acestor date, care a fost
transpusă în România prin Legea nr. 677/2001. Ambele documente sunt în prezent
abrogate.

În data de 4 mai 2016 au fost publicate în Jurnalul Oficial al Uniunii Europene cele
două acte normative care compun pachetul legislativ privind protecţia datelor la
nivelul Uniunii Europene:

 Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce

priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a
acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind
protecţia datelor),

 Directiva (UE) 2016/680 referitoare la protecţia datelor personale în cadrul
activităţilor specifice desfăşurate de autorităţile de aplicare a legii.

Regulamentul (UE) 2016/679 actualizează principiile stabilite încă de acum două

decenii de Directiva 95/46/CE care și-a încetat aplicabilitatea.

 Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce

priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a
acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind
protecţia datelor)

 Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal,
cu modificările și completările ulterioare – Republicare

2
  Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a
Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27
aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea
datelor cu caracter personal şi privind libera circulaţie a acestor date şi de
abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

 Legea nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor
la prelucrarea datelor cu caracter personal de către autorităţile competente în
scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii
infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă,
precum şi privind libera circulaţie a acestor date

Ghiduri emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu

Caracter Personal

 Ghidul orientativ de aplicare a Regulamentului General privind Protecţia Datelor

destinat operatorilor, emis de Autoritatea Națională de Supraveghere a Prelucrării
Datelor cu Caracter Personal
 Ghid Întrebări și răspunsuri cu privire la aplicarea Regulamentului (UE) 2016/679

Documente ale Comitetului European pentru Protecția Datelor

 Comitetul European pentru Protecția Datelor, organ cu personalitate juridică al

Uniunii Europene este constituit în temeiul art. 68 din Regulamentul General
privind Protecția Datelor și este format din șefii autorităților naționale de
supraveghere din fiecare stat membru al Uniunii Europene și din Autoritatea
Europeană de Protecția Datelor sau reprezentanții acestora.

3
Ghiduri emise de Comitetul European pentru protecția datelor

 Ghidul nr. 4/2020 privind utilizarea datelor de localizare și a instrumentelor de

depistare în contextul pandemiei Covid-19 - formă finală
 Ghidul nr. 2/2019 privind prelucrarea datelor în baza art. 6 alin. (1) lit. b) din
RGPD în contextual furnizării serviciilor online către persoanele vizate
 Ghidul nr. 3/2019 privind prelucrarea datelor cu caracter personal prin intermediul
mijloacelor video - formă finală
 Ghidul nr. 4/2019 privind Art. 25 Protecția datelor by design și by default -
versiune pentru consultare publică
 Ghidul Comitetului European pentru Protecția Datelor nr. 1/2019 privind Codurile
de conduită și organismele de monitorizare în temeiul Regulamentului 2016/679
privind EDPB - formă finală
 Ghidul Comitetului European pentru Protecția Datelor nr. 2/2018 privind
derogările de la art. 49 din Regulamentul 2016/679
 Ghidul Comitetului European pentru Protecția Datelor nr. 4/2018 privind
acreditarea organismelor de certificare în temeiul articolului 43 din Regulamentul
general privind protecția datelor (2016/679) - formă finală
 Ghidul Comitetului European pentru Protecția Datelor nr. 3/2018 privind domeniul
de aplicare teritorial al Regulamentul general privind protecția datelor (2016/679)
(articolul 3) - formă finală
 Ghidul Comitetului European pentru Protecția Datelor nr. 1/2018 privind
certificarea și identificarea criteriilor de certificare în conformitate cu articolele 42
și 43 din Regulamentul general privind protecția datelor (2016/679) - formă finală

Recomandări emise de Comitetul European pentru protecția datelor

 Recomandarea nr. 1/2019 privind proiectul de listă al Autorității Europene pentru

Protecția Datelor referitor la operațiuni de prelucrare care fac obiectul cerinței de
efectuare a unei evaluări a impactului asupra protecției datelor (art. 39 alin. (4)
din Regulamentul (EU) 2018/1725)

4
Ghiduri adoptate de Grupul de Lucru art. 29 cu privire la Regulamentul General
privind Protecţia Datelor și aprobate de Comitetul European pentru Protecția
Datelor

În cadrul primei sale plenare, pe data de 25 mai 2018, Comitetul European pentru
Protecția Datelor a aprobat următoarele ghiduri ale Grupului de Lucru Art. 29, privind
Regulamentul General privind Protecţia Datelor, aplicabile de la această dată,
precum și alte documente:

 Ghidul privind consimțământul în temeiul Regulamentului (UE) 2016/679

 Ghidul privind transparența în temeiul Regulamentului (UE) 2016/679
 Ghidul privind deciziile automate individuale și profilare
 Ghidul privind notificarea încălcărilor de securitate
 Ghidul privind dreptul la portabilitatea datelor, raportat la art. 20 din RGDP
 Ghidul privind evaluarea de impact al Grupului de Lucru art. 29
 Ghidul privind responsabilul pentru protecția datelor (DPO), raportat la art. 37-39
din RGDP
 Ghidul privind identificarea autorității de supraveghere lider a unui operator sau
împuternicit
 Ghidul privind aplicarea și stabilirea amenzilor administrative în sensul
Regulamentului 2016/679, WP 253
 Recomandarea privind cererea standard de aprobare a regulilor corporatiste
obligatorii pentru transferul datelor cu caracter personal, aplicabile operatorilor
WP 264 (en)
 Recomandarea privind formularul standard de solicitare a aprobării regulilor
corporatiste obligatorii pentru transferul datelor cu caracter personal, aplicabile
împuterniciților WP 265 (en)
 Documentul de poziție privind derogările de la obligația de a păstra o evidență a
activităților de prelucrare în conformitate cu art. 30 (5) din Regulamentul (UE)
2016/679 (en)
 Documentul de lucru Stabilirea unei proceduri de cooperare pentru aprobarea
"Regulilor corporatiste obligatorii" pentru operatori și împuterniciți, conform GDPR,
WP 263 rev.01 (en)
 Documentul de lucru care stabilește un tabel cu elementele și principiile care se
regăsesc în Regulile corporatiste obligatorii WP 256 rev.01
 Document de lucru care stabilește un tabel cu elementele și principiile care
trebuie găsite în Regulile corporatiste obligatorii, aplicabile împuterniciților WP
257 rev.01
 Adequacy Referential WP 254 rev.01

Regulamentul stabileşte un set unic de reguli, direct aplicabile în toate statele

membre ale Uniunii, destinat protejării mai eficiente a vieţii private a persoanelor fizice
de pe teritoriul Uniunii Europene. Principiile şi regulile stabilite de Regulament privesc un
drept fundamental al persoanei – dreptul la protecţia datelor personale, garantat de art.
8 al Cartei Drepturilor Fundamentale a UE şi art. 16 al Tratatului UE. Regulamentul
accentuează responsabilitatea operatorilor care prelucrează date personale,

5
simplificând, în acelaşi timp, formalităţile administrative pe care aceştia trebuie să le
parcurgă.

Pachetul legislativ privind protecția datelor adoptat în mai 2016 urmărește să

pregătească Europa pentru era digitală. Peste 90 % dintre europeni au afirmat că
doresc să aibă aceleași drepturi de protecție a datelor peste tot în UE și indiferent de
locul în care sunt prelucrate datele.

Regulamentul este un pas esențial pentru consolidarea drepturilor fundamentale ale

cetățenilor în era digitală și simplificarea normelor pentru întreprinderi pe piața unică
digitală. În același timp, acest pachet unic pune capăt fragmentării anterioare și elimina
sarcinile administrative costisitoare care revin întreprinderilor.

Regulamentul 679/2016, stabilește normele referitoare la protecția persoanelor fizice

în ceea ce privește prelucrarea datelor cu caracter personal și normele privind libera
circulație a datelor cu caracter personal. Protejează drepturile și libertățile fundamentale
ale persoanelor fizice, în special dreptul lor la protecția datelor cu caracter personal.

Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu

caracter personal este un drept fundamental.

Conform GDPR, datele cu caracter personal vor avea acum o definiție mult mai
largă decât ceea ce există în conformitate cu Legea privind protecția datelor din (1998)
sau Directiva UE privind protecția datelor (1995).
Art. 4.1 "date cu caracter personal" înseamnă orice informație referitoare la o
persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică
identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire
la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un
identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental,
economic, cultural sau social al acelei persoane fizice.

Scopul principal al regulamentului este de a adapta şi actualiza

principiile de prelucrare a datelor personale în acord cu evoluţia
actuală a tehnologiei şi uniformizarea domeniului protecţiei datelor cu
caracter personal la nivelul Uniunii Europene.

6
 Obiective:
 regulamentul stabilește un set de reguli direct aplicabile în toate statele membre ale
Uniunii destinat protejării eficiente a vieții private a persoanelor fizice de pe teritoriul
Uniunii Europene
 prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor.
Dreptul la Protecția datelor cu caracter personal nu este un drept absolut, acesta să
fie luat în considerare în raport cu funcția pe care o îndeplinește în societate și
echilibrat cu alte drepturi fundamentale în conformitate cu principiul proporționalității
 prezentul regulament respectă toate drepturile fundamentale, libertățile și principiile
recunoscute în carte astfel cum sunt consacrate în tratate, în special respectarea
vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu
caracter personal, a libertății în gândire, de conștiință și de religie, a libertății de
exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul
la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală
religioasă și lingvistică.

GDPR – Elemente cu caracter de noutate introduse prin noul

cadru legislativ
Deși multe companii au adoptat deja proceduri privind confidențialitatea în
conformitate cu directiva, GDPR conține o serie de noi protecții pentru persoanele vizate
din UE și amenință cu amendă și penalități semnificative pentru controlorii și prelucrătorii
de date neconforme odată cu intrarea în vigoare în primăvara anului 2018.

Acest nou regulament consolidează directiva privind protecția datelor,

actualizându-l pentru a face față provocărilor moderne
ale rețelelor sociale, cloud computing și alte
domenii de îngrijorare legate de confidențialitatea
internetului. Chiar dacă de atunci au existat norme
suplimentare privind aspectele specifice ale
utilizării datelor cu caracter personal și ale vieții
private, GDPR este o schimbare majoră, cu un vast
set de reguli și consecințe enorme în multe
domenii.
Pentru a atinge respectarea standardelor
GDPR, trebuie luate măsuri, pornind de la
conștientizarea GDPR și includerea mai multor aspecte ale strategiei de afaceri și ale
managementului informațiilor GDPR, precum și alte măsuri de precauție referitoare la
datele personale care cuprind diverse sarcini, și discipline precum securitatea
informatică.
Noul regulament introduce, de asemenea, "categorii speciale" de date cu
caracter personal care se referă în mare parte la informații sensibile, cum ar fi: originea
rasială sau etnică, opiniile politice, credințele religioase, calitatea de membru al
sindicatelor sau datele referitoare la viața sexuală a unei persoane. Prelucrarea unor
astfel de categorii speciale de date cu caracter personal este interzisă, însă există
diferite excepții de la această dispoziție, menționate la articolul 9 alineatul (2) GDPR.

7
 Prevederile Regulamentului consolidează drepturile garantate persoanelor
vizate persoanele ale căror date sunt prelucrate. Astfel, dreptul la informare este
extins, în sensul că persoanele vizate pot obţine de la operatorul de date informaţii mai
clare şi cuprinzătoare cu privire la scopul şi temeiul legal în care se prelucrează datele
personale, perioada de stocare a acestora şi drepturile de care beneficiază.
Dreptul ”de a fi uitat” cu aplicabilitate în mediul on-line este consacrat expres.
Regulamentul mai prevede şi un drept nou, cel la portabilitatea datelor -mai exact
posibilitatea persoanelor vizate de a cere transferarea datelor la un alt operator de date.
Minorii beneficiază de mai multă atenţie
întrucât regulamentul stabileşte o serie de garanţii
specifice pentru a proteja cât mai eficient viaţa privată
a acestora, în special, în mediul on-line. Regulile
stabilite de Regulament vor fi aplicabile tuturor
operatorilor de date, indiferent de locul unde sunt
stabiliţi aceştia, în anumite condiţii. Astfel, în măsura
în care bunurile sau serviciile oferite de o companie
aflată în afara UE, care presupun prelucrarea datelor
personale, sunt adresate în mod vădit şi cetăţenilor
Uniunii Europene, regulile stabilite de Regulament îi
vor fi aplicabile şi acestei companii.

Regulamentul stabileşte obligaţia operatorului de a demonstra obţinerea

consimţământului persoanei pentru prelucrările de date personale. Persoana vizată
are dreptul să îşi retragă în orice moment consimţământul, în situaţia în care acesta
constituie temei de prelucrare a datelor.
În cazul în care datele sunt prelucrate în mai multe scopuri, este important ca
operatorul de date să poată demonstra că a obţinut acordul persoanei pentru a-i
prelucra datele în toate acele scopuri.
Regulamentul stabileşte obligaţia operatorului de date de a asigura un anumit
nivel de transparenţă faţă de persoanele vizate. Acestea trebuie să ştie cine este
operatorul de date, scopul în care le vor fi prelucrate datele, ce date sunt utilizate, ce
drepturi le sunt garantate, cum îşi pot exercita aceste drepturi şi cine sunt/vor fi terţii
cărora operatorul le va dezvălui datele, dacă este cazul.
În cazul în care sunt prelucrate date personale ale minorilor, operatorul de date trebuie
să ofere informaţiile respective utilizând un limbaj cât mai simplu şi clar, astfelîncât
copilul/minorul să poată înţelege cu uşurinţă scopul şi modul în care îi vor fi prelucrate
datele personale.
Proximitatea faţă de persoana vizată - autoritatea de supraveghere din statul
membru în care se află persoana vizată acţionează ca interlocutor/punct de contact
atunci când operatorul de date este stabilit într-un alt stat.
În cazul prelucrărilor de date care vizează persoane din mai multe state membre,
fiecare persoană are posibilitatea de a se adresa (după caz, de a depune plângere)
autorităţii de supraveghere din statul (membru UE) în care îşi are domiciliul/reşedinţa. În
acest fel, este asigurată implicarea autorităţii de supraveghere din statul membru în
care se află persoana în procedura de adoptare a unei decizii în cazul unui operator de
date stabilit într-un alt stat membru.

8
 Cooperare consolidată între autorităţile de supraveghere - în cazul
prelucrărilor de date transnaţionale (cele care privesc persoane din mai multe state
membre UE), autorităţii de supraveghere din statul respectiv îi sunt oferite competenţe
pentru a se asigura, alături de autorităţile din celelalte state implicate, că datele sunt
prelucrate conform regulilor şi principiilor stabilite de Regulament.

Pentru operatorii de date: One stop shop - formalităţi reduse pentru operatorii
de date (interlocutor unic la nivel UE). Operatorii de date care îşi desfăşoară activităţile
în mai multe state membre UE îşi pot alege un singur interlocutor - autoritatea de
supraveghere din statul membru în care îşi au stabilit sediul principal.

Responsabilizarea operatorilor de date - accentul este pus pe transparenţa

faţă de persoana vizată şi responsabilitatea operatorului de date faţă de modul în care
prelucrează datele.
În cazul prelucrărilor de date care pot presupune un risc ridicat pentru viaţa
privată a persoanelor, operatorul trebuie să efectueze un studiu de impact asupra vieţii
private.
O asemenea evaluare va începe întotdeauna cu inventarierea
datelor/categoriilor de date personale pe care operatorul intenţionează să le prelucreze.
Acestea vor fi supuse unei analize de necesitate pentru a verifica dacă sunt, într-adevăr,
necesare toate acele date/categorii de date pentru a atinge scopul urmărit de operator,
în vederea respectării principiului minimizării datelor.
În funcţie de riscurile identificate, operatorul de date îşi va stabili şi măsuri
tehnice şi organizatorice (proceduri interne) pentru a preveni producerea acestora.

Privacy by design & Privacy by default - două principii esenţiale pentru

operatorii de date.

 Privacy by design – eşti dezvoltator de aplicaţii prin care se vor prelucra şi date
personale? Trebuie să te asiguri, încă din stadiul dezvoltării, că aplicaţia ta va
respecta regulile şi principiile stabilite de Regulament.
 Privacy by default - furnizezi o aplicaţie care prelucrează date personale? Trebuie
să te asiguri că setările iniţiale le vor permite utilizatorilor să îşi menţină controlul
asupra vieţii lor private/ceea ce postează sau împărtăşesc cu alţi utilizatori.

9
 Utilizatorul poate alege să dezvăluie mai multe informaţii/date personale, însă trebuie
să o facă în cunoştinţă de cauză, nu implicit (datorită setărilor inițiale).

Scopul Regulamentului este să contribuie la asigurarea unei zone de libertate,

securitate şi justiţie pe teritoriul Uniunii Europene, o zonă în care este asigurat atât
progresul economic şi social, cât şi binele individual.
Regulile şi principiile stabilite de Regulament protejează viaţa privată a tuturor
persoanelor aflate pe teritoriul Uniunii Europene, ale căror date personale sunt
prelucrate de companii /persoane fizice/instituţii/orice alte entităţi de drept public sau
privat. Aceste reguli şi principii sunt aplicabile tuturor persoanelor, indiferent de cetăţenia
acestora sau de reşedinţă (în interiorul UE).
Operatorilor de date le este oferită posibilitatea de a interacţiona cu o singură
autoritate de supraveghere, respectiv cea din statul membru în care este stabilit sediul
principal al operatorului de date.

Regulamentul UE privind protecția generală a datelor ( GDPR ) se referă la

toate organizațiile care prelucrează date cu caracter personal ale persoanelor vizate din
UE, indiferent de locul de procesare, este practic noul cadru juridic al UE pentru
protejarea datelor cu caracter personal și a vieții private digitale.

Domeniul de aplicare material

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată
total sau parţial
prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele
automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a
datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.
(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:
a) în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii;
b) de către statele membre atunci când desfăşoară activităţi care intră sub incidenţa
capitolului 2 al titlului V din Tratatul UE;
c) de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice;
d) de către autorităţile competente în scopul prevenirii, investigării, depistării sau
urmăririi penale a infracţiunilor, sau al executării sancţiunilor penale, inclusiv al protejării
împotriva ameninţărilor la adresa siguranţei publice şi al prevenirii acestora.
Pentru prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi
agenţiile Uniunii, se aplică Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr.
45/2001 şi alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu
caracter personal se adaptează la principiile şi normele din prezentul regulament în
conformitate cu articolul 98.
Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special
normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele
12-15 din directiva menţionată.

10
Domeniul de aplicare teritorial
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul
activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe
teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor
persoane vizate care se află în Uniune de către un operator sau o persoană
împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de
prelucrare sunt legate de:
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent
dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
(b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
(3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un
operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în
temeiul dreptului internațional public.

Pentru prelucrarea datelor cu caracter personal de către instituțiile, organele,

oficiile și agențiile Uniunii, se aplică Regulamentul (CE) nr. 45/2001. Regulamentul (CE)
nr. 45/2001 și alte acte juridice ale Uniunii aplicabile acestei prelucrări de date cu
caracter personal sunt adaptate principiilor și regulilor din prezentul regulament în
conformitate cu articolul 98.
Prezentul regulament nu aduce schimbări aplicării Directivei 2000/31 / CE, în special a
normelor de răspundere ale furnizorilor de servicii intermediare prevăzute la articolele
12-15 din directiva respectivă.

Noțiuni aplicabile în domeniul protecției datelor cu caracter

personal
Definiții cheie ale Legii privind protecția datelor
În sensul prezentului regulament, următorii termeni sunt definiți astfel:
a) "date cu caracter personal" înseamnă orice informație referitoare la o persoană
fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă
este una care poate fi identificată, direct sau indirect, în special prin referire la un
identificator cum ar fi un nume, un număr de identificare, date despre locație, un
identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental,
economic, cultural sau social al acelei persoane fizice;
b) "prelucrare" înseamnă orice operațiune sau set de operațiuni care se efectuează pe
date cu caracter personal sau pe seturi de date cu caracter personal, prin mijloace
automatizate sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea,
stocarea, adaptarea sau modificarea, recuperarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea,
restricționarea, ștergerea sau distrugerea;
c) "restricționarea prelucrării" înseamnă marcarea datelor cu character personal
stocate în scopul limitării prelucrării acestora în viitor;
d) "profilare" înseamnă orice formă de prelucrare automată a datelor cu caracter
personal care constă în utilizarea datelor cu character personal pentru a evalua anumite

11
aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau
prezice aspect privind performanța persoanei fizice la locul de muncă, preferințele
personale, interesele, fiabilitatea, comportamentul, locația sau mișcările;
e) "pseudonimie" înseamnă prelucrarea datelor cu caracter personal astfel încât datele
cu caracter personal nu mai pot fi atribuite unui anumit subiect de date fără utilizarea
unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie
păstrate separate și să facă obiectul măsurilor tehnice și organizatorice să se asigure
că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau
identificabile;
f) "sistem de evidență" înseamnă orice set structurat de date cu caracter personal care
sunt accesibile în funcție de criterii specifice, centralizate, descentralizate sau dispersate
pe o bază funcțională sau geografică;
g) "operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau
orice alt organism care, singur sau în comun cu alții, stabilește scopurile și mijloacele de
prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele unei
asemenea prelucrări sunt stabilite de legislația Uniunii sau de statul membru, operatorul
sau criteriile specifice de numire a acestuia pot fi prevăzute de legislația Uniunii sau de
statul membru;
h) "procesator" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție
sau un alt organism care prelucrează date cu caracter personal în numele operatorului;
i) "destinatar" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție
sau un alt organism, căruia i se dezvăluie datele cu caracter personal, indiferent dacă
este vorba despre un terț sau nu. Cu toate acestea, autoritățile publice care pot primi
date cu caracter personal în cadrul unei anchete anume în conformitate cu legislația
Uniunii sau a statelor membre nu sunt considerate destinatari; prelucrarea acestor date
de către autoritățile publice respective trebuie să respecte normele aplicabile privind
protecția datelor în conformitate cu scopurile prelucrării;
j) "terță parte" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție
sau un organism, altul decât persoana vizată, controlor, procesator și persoanele care,
sub directa autoritate a operatorului sau a prelucrătorului, sunt autorizate să proceseze
date cu caracter personal;
k) "consimțământul" persoanei vizate înseamnă orice indicație liberă, specifică,
informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care aceasta, printr-
o declarație sau printr-o acțiune clară afirmativă, exprimă acordul cu privire la
prelucrarea datelor cu caracter personal care o privesc sau ea;
l) "încălcarea datelor cu caracter personal" înseamnă o încălcare a securității care
duce la distrugerea, pierderea, modificarea, dezvăluirea neautorizată sau accesul la
datele cu caracter personal transmise, stocate sau prelucrate în alt mod;
m) "date genetice" înseamnă date cu caracter personal referitoare la caracteristicile
genetice moștenite sau dobândite ale unei persoane fizice care oferă informații unice
despre fiziologia sau sănătatea acelei persoane fizice și care rezultă, în special, dintr-o
analiză a unui eșantion biologic din natura persoana în cauză;
n) "date biometrice" înseamnă date cu caracter personal care rezultă din prelucrarea
tehnică specifică referitoare la caracteristicile fizice, fiziologice sau comportamentale ale
unei persoane fizice, care permit sau confirmă identificarea unică a acelei persoane
fizice, cum ar fi imaginile faciale sau datele dactiloscopice;
o) "date privind sănătatea" înseamnă date personale referitoare la sănătatea fizică

12
sau psihică a unei persoane fizice, inclusiv furnizarea de servicii de sănătate, care
dezvăluie informații despre starea sa de sănătate;
p) "sediu principal" înseamnă:
• în ceea ce privește un operator care deține unități din mai multe state membre, locul
administrației sale centrale în Uniune, cu excepția cazului în care deciziile privind
scopurile și mijloacele de prelucrare a datelor cu caracter personal sunt luate într-o altă
unitate a operatorului din Uniune și această instituție are puterea de a pune în aplicare
astfel de decizii, caz în care instituția care a luat astfel de decizii trebuie considerată a fi
principala unitate;
• în ceea ce privește un procesator cu unități din mai multe state membre, locul
administrației sale centrale în Uniune sau, în cazul în care operatorul nu are o
administrație centrală în Uniune, stabilirea procesatorului în Uniune în care se
desfășoară principalele activități de prelucrare în contextul activităților unei unități a
prelucrătorului are loc în măsura în care prelucrătorul face obiectul unor obligații
specifice în temeiul prezentului regulament;
q) "reprezentant" înseamnă o persoană fizică sau juridică stabilită în Uniune care,
desemnată de către operator sau de către prelucrător în scris în conformitate cu articolul
27 , reprezintă operatorul sau prelucrătorul în ceea ce privește obligațiile care le revin în
temeiul prezentului regulament;
r) "întreprindere" înseamnă o persoană fizică sau juridică angajată într-o activitate
economică, indiferent de forma sa juridică, inclusiv parteneriatele sau asociațiile care
desfășoară în mod regulat o activitate economică;
s) "grup de întreprinderi" înseamnă o întreprindere controlantă și întreprinderile sale
controlate;
t) "reguli corporative obligatorii" înseamnă politicile de protecție a datelor cu caracter
personal care sunt respectate de un operator sau de un operator care este stabilit pe
teritoriul unui stat membru pentru transferuri sau un set de transferuri de date cu
caracter personal către un operator sau un prelucrător din una sau maimulte țări terțe,
grupul de întreprinderi sau un grup de întreprinderi care desfășoară o activitate
economică comună;
u) "autoritate de supraveghere" înseamnă o autoritate publică independentă stabilită
de un stat membru în conformitate cu articolul 51 ;
v) "autoritatea de supraveghere în cauză" înseamnă o autoritate de supraveghere
care se ocupă de prelucrarea datelor cu character personal, deoarece:
• operatorul sau prelucrătorul este stabilit pe teritoriul statului membru al respectivei
autorități de supraveghere;
• persoanele vizate rezidente în statul membru al respectivei autorități de supraveghere
sunt afectate în mod substanțial sau pot fi afectate în mod substanțial de prelucrare; sau
• a fost depusă o plângere la această autoritate de supraveghere;
w) "prelucrare transfrontalieră" înseamnă fie:
• prelucrarea datelor cu caracter personal care are loc în contextul activităților unităților
din mai multe state membre ale unui operator de prelucrare sau al unui operator care
prelucrează în Uniune, în cazul în care operatorul sau prelucrătorul este stabilit în mai
multe state membre; sau
• prelucrarea datelor cu caracter personal care are loc în contextul activităților unei
singure unități ale operatorului sau ale prelucrătorului în Uniune, dar care afectează în
mod substanțial sau este susceptibilă să afecteze în mod substantial persoanele vizate

13
din mai multe state membre.
x) "obiecție relevantă și motivată" înseamnă o obiecție la un proiect de decizie în
ceea ce privește existența unei încălcări a prezentului regulament sau dacă acțiunea
preconizată în legătură cu operatorul sau operatorul este conformă cu prezentul
regulament, ceea ce demonstrează în mod clar importanța riscurilor prezentate de
proiectul de decizie cu privire la drepturile și libertățile fundamentale ale persoanelor
vizate și, după caz, la libera circulație
a datelor cu caracter personal în cadrul Uniunii;
y) "serviciu al societății informaționale" înseamnă un serviciu, astfel cum este definit
la articolul 1 alineatul (1) litera (b) din Directiva (UE) 2015/1535 a Parlamentului
European și a Consiliului (1);
z) "organizație internațională" înseamnă o organizație și organismele sale
subordonate reglementate de dreptul internațional public sau orice alt organism
constituit din sau în baza unui acord încheiat între două sau mai multe țări.

Cui se aplică GDPR?

Tuturor companiilor care activează pe teritoriul tărilor din Uniunea Europeană.

Chiar dacă sediul central al firmei se află în străinătate, atât timp cât firma prelucrează
date cu caracter personal colectate sau procesate pe teritoriul UE trebuie respectat
regulamentul.
Legislația anterioară se aplica numai companiilor care operează în UE sau care
operează pe servere situate în UE. Acum, însă, noul GDPR se aplică oricărei companii
care îndeplinește anumite criterii, indiferent de locația sa.
Pentru a obține răspunsul corect, trebuie să pargurgeți o serie de întrebări. Dacă
răspundeți afirmativ la oricare dintre următoarele întrebări, trebuie să vă conformați la
GDPR.
• Suntem stabiliți în Uniunea Europeană?
• Monitorizăm comportamentul cetățenilor din UE?
• Suntem un procesor pentru un controlor care trebuie să respecte GDPR?
• Avem un procesor în UE?
• Oferim bunuri, poduse sau servicii cetățenilor din UE?
Dacă oferiți produse și servicii cetățenilor UE, trebuie să vă conformați la GDPR.
Indiferent dacă vindeți bunuri tangibile sau furnizați servicii, dacă faceți acest lucru cu
cetățenii ai UE ca și clienți, se aplică GDPR și dvs., indiferent de locul în care vă aflați.

14
• Colectați informații de la cetățeni ai UE?
Dacă colectați informații de la cetățeni ai UE, veți intra în mod automat sub incidența
GDPR.
Cu toate acestea, în funcție de gradul de sensibilitate a informațiilor pe care le colectați
sau precesați este posibil să vă încadrați în standarde mai stricte. GDPR acoperă două
categorii de informații protejate: "personale" și "personale sensibile".
• Datele personale.
În mod similar cu vechea legislație, datele cu caracter personal conform legii GDPR se
referă la orice care poate fi utilizat pentru a identifica o persoană, incluzând, dar fără a
se limita la următoarele:
• Numele / prenumele;
• Adrese de email;
• Adrese de corespondență;
• Informație financiară;
• Fotografii / videoclipuri;
• Identificatori online (adresa IP, șiruri de caractere etc.)

În secolul nostru dispozitivele mobile sunt omniprezente. Datele personale

identificabile sensibile se mișcă în afara siguranței perimetrului traditional de securitate.
Angajații trimit documente prin e-mail, utilizează dizpositive de lucru pentru uz personal,
accesează date de pe smartphone-uri și tablete personale și stochează date în cloud.
Infracțiunile majore privind datele cu caracter personal sunt obișnuite, punând informații
sensibile la riscul de furt de identitate și pierderi financiare, precum și organizațiilor care
riscă să fie amendate în mod regulat astronomic. Trebuie să avem în vedere faptul că
Organizațiile care criptează și protejează datele, își protejează clienții și pe ei înșiși.
Dacă colectați acest tip de informații, trebuie să:
• Respectați toate cele șase principii de confidențialitate (a se vedea art. 5-11 GDPR);
• Satisfaceți cel puțin o condiție de procesare (a se vedea art. 6 GDPR –Legalitatea
procesarii).

15
Principiile prelucrarii datelor cu caracter personal

Art. 5 (1)Datele cu caracter personal sunt:

a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată ("legalitate,
echitate şi transparenţă");
b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-
un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în
interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu
este considerată incompatibilă cu scopurile iniţiale, în conformitate cu articolul 89
alineatul (1) ("limitări legate de scop");
c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care
sunt prelucrate ("reducerea la minimum a datelor");
d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate
măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte,
având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără
întârziere ("exactitate");
e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care
nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care
acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de
cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89
alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric
adecvate prevăzute în prezentul regulament în vederea garantării drepturilor şi
libertăţilor persoanei vizate ("limitări legate de stocare");
f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter
personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva

16
pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau
organizatorice corespunzătoare ("integritate şi confidenţialitate").
(2)Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra
această respectare ("responsabilitate").

(2) Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte

prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul
de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale
acestora, în special dreptul la protecţia datelor cu caracter personal. Prezentul
regulament urmăreşte să contribuie la realizarea unui spaţiu de libertate, securitate şi
justiţie şi a unei uniuni economice, la progresul economic şi social, la consolidarea şi
convergenţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice.
(4)Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetăţenilor.
Dreptul la protecţia datelor cu caracter personal nu este un drept absolut; acesta trebuie
luat în considerare în raport cu funcţia pe care o îndeplineşte în societate şi echilibrat cu
alte drepturi fundamentale, în conformitate cu principiul proporţionalităţii. Prezentul
regulament respectă toate drepturile fundamentale şi libertăţile şi principiile
recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieţii
private şi de familie, a reşedinţei şi a comunicaţiilor, a protecţiei datelor cu caracter
personal, a libertăţii de gândire, de conştiinţă şi de religie, a libertăţii de exprimare şi de
informare, a libertăţii de a desfăşura o activitate comercială, dreptul la o cale de atac
eficientă şi la un proces echitabil, precum şi diversitatea culturală, religioasă şi lingvistică.
(26)Principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare la o
persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost
supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de
informaţii suplimentare, ar trebui considerate informaţii referitoare la o persoană fizică
identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui
să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil,
în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării,
în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă
este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei
fizice, ar trebui luaţi în considerare toţi factorii obiectivi, precum costurile şi intervalul de
timp necesare pentru identificare, ţinându-se seama atât de tehnologia disponibilă la
momentul prelucrării, cât şi de dezvoltarea tehnologică. Principiile protecţiei datelor ar
trebui, prin urmare, să nu se aplice informaţiilor anonime, adică informaţiilor care nu sunt
legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter
personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este
identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de
informaţii anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice
sau de cercetare.
(48)Operatorii care fac parte dintr-un grup de întreprinderi sau instituţii afiliate unui
organism central pot avea un interes legitim de a transmite date cu caracter personal în
cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul
prelucrării datelor cu caracter personal ale clienţilor sau angajaţilor. Principiile generale
ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, către o
întreprindere situată într-o ţară terţă rămân neschimbate.

17
Responsabilul cu protecţia datelor cu carater personal (DPO)

Art. 37: Desemnarea responsabilului cu protecţia datelor

(1)Operatorul şi persoana împuternicită de operator desemnează un responsabil cu
protecţia datelor ori de câte ori:
a)prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia
instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;
b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator
constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau
scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe
scară largă; sau c)activităţile principale ale operatorului sau ale persoanei împuternicite
de operator constau în prelucrarea pe scară largă a unor categorii speciale de date în
temeiul articolului 9 sau a unor date cu caracter personal referitoare la condamnări
penale şi infracţiuni, menţionată la articolul 10.
(2)Un grup de întreprinderi poate numi un responsabil cu protecţia datelor unic, cu
condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare
întreprindere.
(3)În cazul în care operatorul sau persoana împuternicită de operator este o autoritate
publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor
unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare
structura organizatorică şi dimensiunea acestora.
(4)În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana
împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de
operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde
dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu

18
protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor
astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite
de operatori.
(5)Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi,
în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei
datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.
(6)Responsabilul cu protecţia datelor poate fi un membru al personalului operatorului
sau persoanei împuternicite de operator sau poate să îşi îndeplinească sarcinile în baza
unui contract de servicii.
(7)Operatorul sau persoana împuternicită de operator publică datele de contact ale
responsabilului cu protecţia datelor şi le comunică autorităţii de supraveghere.

Art. 38: Funcţia responsabilului cu protecţia datelor

(1)Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu
protecţia datelor este implicat în mod corespunzător şi în timp util în toate aspectele
legate de protecţia datelor cu caracter personal.
(2)Operatorul şi persoana împuternicită de operator sprijină responsabilul cu protecţia
datelor în îndeplinirea sarcinilor menţionate la articolul 39, asigurându-i resursele
necesare pentru executarea acestor sarcini, precum şi accesarea datelor cu caracter
personal şi a operaţiunilor de prelucrare, şi pentru menţinerea cunoştinţelor sale de
specialitate.
(3)Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu
protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea
acestor sarcini. Acesta nu este demis sau sancţionat de către operator sau de persoana
împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia
datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau
persoanei împuternicite de operator.
(4)Persoanele vizate pot contacta responsabilul cu protecţia datelor cu privire la toate
chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul
prezentului regulament.
(5)Responsabilul cu protecţia datelor are obligaţia de a respecta secretul sau
confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, în conformitate cu
dreptul Uniunii sau cu dreptul intern.
(6)Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul
sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi
atribuţii nu generează un conflict de interese.

Art. 39: Sarcinile responsabilului cu protecţia datelor

(1)Responsabilul cu protecţia datelor are cel puţin următoarele sarcini:
a) informarea şi consilierea operatorului, sau a persoanei împuternicite de operator,
precum şi a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin
în temeiul prezentului regulament şi al altor dispoziţii de drept al Uniunii sau drept intern
referitoare la protecţia datelor;
b)monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al Uniunii
sau de drept intern referitoare la protecţia datelor şi a politicilor operatorului sau ale
persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter

19
personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a
personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra
protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35;
d)cooperarea cu autoritatea de supraveghere;
e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind
aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36,
precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.
(2)În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod
corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare natura,
domeniul de aplicare, contextul şi scopurile prelucrării.

Regulamentul general privind protecția datelor (GDPR) vă cere să aveți un

responsabil cu protecția datelor (DPO) dacă aveți afaceri în țări care fac parte din
Uniunea Europeană sau aveți alte relații cu informațiile personale ale cetățenilor Uniunii
Europene.

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de

operatori să desemneze un DPO. Aceasta va fi situația pentru toate autoritățile și
organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații
care ca și activitate principală – monitorizează în mod sistematic și pe scară largă
persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe
scară largă.
În cazul în care prelucrarea este efectuată de o autoritate publică, cu excepția
instanțelor judecătorești sau a autorităților judiciare independente atunci când
acționează în calitate de judecător sau în cazul în care, în sectorul privat, prelucrarea
este efectuată de un operator al cărui activități principale constau în operațiuni de
prelucrare care necesită o procedură și o monitorizare sistematică a persoanelor vizate,
o persoană având cunoștințe de specialitate în ceea ce privește legislația și practicile
privind protecția datelor ar trebui să îi ajute pe controlor sau pe procesator să
monitorizeze respectarea internă a prezentului regulament.
DPO - Responsabilul pentru Protecția Datelor cu caracter Personal este similar,
dar nu este același lucru cu un operator, deoarece acesta trebuie să fie capabil de
gestionarea proceselor IT, a securității datelor (inclusiv cu atacurile cibernetice) și a altor
aspecte critice de continuitate a activității din întreaga organizație, de prelucrare a
datelor personale și a celor sensibile.
Competențele necesare se extind dincolo de înțelegerea respectării legale a
legilor și regulamentelor privind protecția datelor.
Numirea unui DPO în cadrul unei organizații va reprezenta o provocare atât pentru
Consiliul Administrativ, cât și pentru persoana în cauză. Există nenumărate probleme de
guvernare și de factori umani, pe care organizațiile și companiile trebuie să le abordeze,
având în vedere domeniul de aplicare și natura numirii. În plus, titularul postului va trebui
să-și creeze propria echipă de suport și va fi, de asemenea, responsabil pentru propria
lor dezvoltare profesională continuă, deoarece trebuie să fie independentă de
organizația care o folosește, în mod efectiv ca un "mini-autoritar".

20
Conceptul de DPO nu este nou
Cu toate că Directiva 95/46/CE 5 nu impune niciunei organizații să numească un
DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai
multe state membre. Anterior adoptării GPDR, WP29 a susținut că DPO reprezintă un
punct important al responsabilității și că numirea unui DPO poate facilita respectarea și,
în plus, poate reprezenta un avantaj competitiv pentru companii.
Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de
responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și
efectuarea sau facilitarea auditurilor - DPIA), DPO acționează ca intermediar între părțile
interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și
unitățile de afaceri din cadrul unei organizații).
DPO nu este personal responsabil în caz de nerespectare a GDPR. GDPR
spune clar că resposabil este operatorul sau persoana împuternicită de operator care
trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată
în conformitate cu disponzițiile sale (art. 24 (1)). Respectarea normelor de protecție a
datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de
operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol
crucial în a permite îndeplinirea eficientă a atribuțiilor DPO.
Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO
are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.
GDPR recunoaște DPO ca un actor-cheie în noul sistem de guvernare al protecției
datelor și stabilește condițiile pentru numirea sa, poziția și sarcinile sale.

Cea mai frecventă întrebare în rândul instituțiilor și companiilor private este:

trebuie să numiți un responsabil de protecție a datelor?
Aceasta este o întrebare importantă și trebuie să îi răspundeți ca parte a eforturilor dvs.
de a vă conforma, dacă legea se aplică și în cazul dumneavoastră.
În conformitate cu articolul 37 alineatul (1), operatorii și prelucrătorii datelor desemnează
un DPO în cazul în care:
(a) prelucrarea este efectuată de o autoritate sau de o autoritate publică, cu excepția
instanțelor care acționează în calitatea lor judiciară, (38.1);
(b) activitățile de bază ale operatorului sau ale prelucrătorului constau în operațiuni de
prelucrare care, datorită naturii lor, domeniului de aplicare și / sau scopurilor lor,
necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă; sau
(c) activitățile de bază ale operatorului sau ale prelucrătorului constau în prelucrarea pe
scară largă a categoriilor speciale de date în conformitate cu articolul 9 și a datelor cu
caracter personal referitoare la condamnările penale și infracțiunile menționate la
Majoritatea întreprinderilor care trebuie să desemneze un DPO ar intra sub
incidența literelor (b) și (c).
Un Ofițer de protecție a datelor (DPO) este o funcție în cadrul unei companii
care acționează ca organism independent pentru îngrijirea și utilizarea adecvată a
informațiilor clienților. Rolul unui responsabil cu protecția datelor a fost formulat în mod
oficial de către Uniunea Europeană ca parte a Regulamentului său general privind
protecția datelor (GDPR).
Conform regulamentului, toate întreprinderile care comercializează bunuri sau
servicii către clienți în cadrul Uniunii Europene și colectează date ca rezultat trebuie să
numească un ofițer de protecție a datelor.

21
 Ofițerul pentru protecția datelor ține cont de legi și practici privind protecția
datelor, realizează evaluări de confidențialitate pe plan intern și asigură faptul că toate
celelalte aspecte de conformitate cu privire la date sunt actualizate.
Deși legislația UE promovează crearea de roluri de protecție a datelor, alte țări se
confruntă cu probleme legate de confidențialitatea datelor și pot necesita roluri similare
prin intermediul unor reglementări actualizate.

22
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL II

Drepturile și obligațiile organizației în

prelucrarea datelor cu caracter personal.
Instrumente de informare.

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020

RESUM Consulting S.R.L.

RC
Ploiesti, Romania
CONȚINUT TEMATIC:
 Drepturile și obligațiile operatorului în prelucrarea datelor cu
caracter personal. Aspecte particulare cu privire la
prelucrarea datelor sensibile.
 Drepturile și obligațiile împuternicitului în prelucrarea datelor
cu caracter personal. Aspecte particulare cu privire la
prelucrarea datelor sensibile.
 Relația operator – împuternicit. Drepturi, responsabilități,
prevederi contractuale obligatorii.
 Temeiurile de prelucrare a datelor cu caracter personal.
 Prelucrarea datelor cu caracter personal în temeiul
consimțământului persoanei vizate. Condiții speciale
aplicabile în ceea ce privește consimțământul minorilor.

1
OPERATOR
 persoana fizică sau juridică, autoritatea publică, agenția sau alt organism
care, singur sau împreună cu altele, stabilește scopurile și mijloacele de
prelucrare a datelor cu caracter personal; atunci când scopurile și
mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern,
operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
prevăzute în dreptul Uniunii sau în dreptul intern

PERSOANĂ ÎMPUTERNICITĂ DE OPERATOR

 persoana fizică sau juridică, autoritatea publică, agenția sau alt organism
care prelucrează datele cu caracter personal în numele operatorului

Obligațiile pe care le au operatorii de date cu caracter personal sunt

reglementate în Capitolul IV din Regulamentul 2016/679.

Printre principalele obligații ale operatorului în aplicarea Regulamentului sunt:

 desemnarea unui responsabil cu protecția datelor in conditiile art. 37-39 din
Regulament;
 cartografierea prelucrărilor de date cu caracter personal (art. 30 din Regulament);
 asigurarea securității datelor (art. 25 și art. 32 din Regulament);
 notificarea încalcărilor de securitate în condițiile art. 33 din Regulament;
 evaluarea impactului asupra protecției datelor si respectarea drepturilor
persoanelor fizice (art. 35 din Regulament).

PRINCIPALELE OBLIGAŢII PENTRU OPERATORII DE DATE

ÎN APLICAREA GDPR

DESEMNAREA UNUI RESPONSABIL CU PROTECŢIA DATELOR

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul
unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este
necesară o persoană care să exercite o misiune de informare, de consiliere și de control
în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018,
raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în
cazul în care operatorul sau persoana împuternicită de operator:
 este o autoritate publică sau un organism public, cu excepţia instanţelor în
exercitarea funcţiei lor jurisdicţionale;

2
 desfășoară o activitate principală care conduce la realizarea unei monitorizări
constante și sistematice pe scară largă a persoanelor;
 desfășoară o activitate principală care constă în prelucrarea pe scară largă de date
sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase,
apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau
referitoare la condamnări penale și infracţiuni.
Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia
datelor, ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al
activităţii responsabilului în vederea asigurării respectării Regulamentului General de
Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.
Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în
vederea înţelegerii și respectării obligaţiilor prevăzute de RGPD, dialogului cu autorităţile
pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor:

 să informeze și să consilieze operatorul sau
persoana împuternicită de operator, precum și
angajaţii acestora cu privire la obligaţiile existente în
domeniul protecţiei datelor cu caracter personal;
 să monitorizeze respectarea RGPD și a legislaţiei
naţionale în domeniul protecţiei datelor;
 să consilieze operatorul sau persoana
împuternicită în legătură cu realizarea de studii de
impact privind protecţia datelor și să verifice
efectuarea acestora;
 să coopereze cu autoritatea pentru protecţia
datelor și să reprezinte punctul de contact în relaţia
cu aceasta.

CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER

PERSONAL

Toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și

operatorii din sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii
prelucrărilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din
Regulamentul General privind Protecţia Datelor.
Chiar și operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia
cartografierii prelucrărilor în cazurile în care prelucrarea pe care o efectuează este
susceptibilă să genereze un risc pentru drepturile și libertăţile persoanelor vizate, în
cazul în care prelucrarea nu este ocazională sau prelucrarea include categorii speciale
de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni.
În acest sens:
Pentru a evalua în mod eficient impactul RGPD asupra activităţii entităţii, este
necesară identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea
evidenţei activităţilor de prelucrare.

3
 Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter
personal efectuate și pentru a răspunde noilor exigenţe, trebuie identificate, în
prealabil, cu precizie:
 diferitele prelucrări de date cu caracter personal;
 categoriile de date cu caracter personal prelucrate;
 scopurile urmărite prin operaţiunile de prelucrare a datelor;
 persoanele care prelucrează aceste date;
 fluxurile de date, indicând originea și destinaţia datelor, în special pentru a
identifica eventualele transferuri de date în afara Uniunii Europene.

Evidenţa păstrată de operator va cuprinde:

(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat,
ale reprezentantului operatorului și ale responsabilului cu protecţia datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter
personal;
d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter
personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
(e) dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o
organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei
internaţionale respective și, în cazul transferurilor menţionate la articolul 49 alineatul (1)
al doilea paragraf din Regulamentul General privind Protecţia Datelor, documentaţia
care dovedește existenţa unor garanţii adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor
categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
securitate menţionate la articolul 32 alineatul (1) din Regulamentul General privind
Protecţia Datelor.

CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea
în vedere urmatoarele:

CINE ?
Se înscriu în evidenţa numele și coordonatele operatorului (și ale reprezentantului sau
legal) și, dupa caz, ale responsabilului cu protecţia datelor;
Se întocmește lista persoanelor împuternicite, după caz.

CE ?
Se identifică categoriile de date cu caracter personal prelucrate;
Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile
deosebite (datele privind sănătatea sau infracţiunile)

DE CE ?
Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu
caracter personal (ex. gestionarea relaţiei comerciale, managementul resurselor umane,
geolocalizare, videosupraveghere etc.)

4
UNDE ?
Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor.
Se stabilesc statele către care sunt, eventual, transferate datele.

PÂNĂ CÂND?
Se precizează, pentru fiecare categorie de date, perioada de stocare.

CUM ?
Se precizează masurile de securitate implementate pentru a reduce la minimum riscurile
de acces neautorizat la date și, în consecinţa, impactul asupra vieţii private a
persoanelor vizate.

PRIORITIZAREA ACŢIUNILOR DE ÎNTREPRINS

Operatorul și persoana împuternicită de operator identifică acţiunile care

trebuie întreprinse pentru conformarea la cerinţele impuse de RGPD.
Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă
prelucrările efectuate pentru drepturile și libertăţile persoanelor vizate.
După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul
entităţii, se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în
vederea respectării obligaţiilor impuse de Regulamentul General privind Protecţia
Datelor.
Indiferent de prelucrările efectuate, se vor avea în vedere, în principal,
următoarele aspecte:
 colectarea și prelucrarea doar a datelor strict necesare pentru realizarea
scopurilor;
 identificarea temeiului legal în baza căruia se efectuează prelucrarea raportat la art.
6 din Regulamentul General privind Protecţia Datelor (ex. consimţământul
persoanelor vizate, contract, obligaţie legală);
 revizuirea/completarea informaţiilor furnizate persoanelor vizate, astfel încât să
respecte cerinţele impuse de Regulamentul General privind Protecţia Datelor
(articolele 12, 13 și 14);
 asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;
 verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor
împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter
personal prelucrate;
 stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de
acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
 verificarea măsurilor de securitate implementate.

Se pot aplica măsuri speciale, precum: evaluarea impactului asupra protecţiei

datelor, extinderea dreptului la informare al persoanelor vizate, obţinerea
consimţământului persoanelor vizate (după caz), obţinerea autorizării pentru
transferurile de date în state terţe (dacă este cazul), în cazul în care prelucrările de date
cu caracter personal efectuate în cadrul operatorului sau persoanei împuternicite de
operator îndeplinesc următoarele caracteristici:

5
- Prelucrarea efectuată vizează și categorii de date precum:
 date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau
religioase, apartenenţa sindicală;
 date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
 date referitoare la infracţiuni sau condamnări penale;
 date referitoare la minori.

- Prelucrarea efectuată are ca scop și ca efect:

 monitorizarea permanentă pe scară largă a unei zone accesibile publicului;
 evaluarea sistematică și aprofundată a unor aspecte personale, inclusiv profilarea,
pe baza căreia sunt luate decizii care produc efecte juridice referitoare la o persoană
fizică sau care o afectează pe aceasta în mod semnificativ.

- Prelucrarea efectuată implică transferuri de date în afara Uniunii Europene, către state
care nu asigură un nivel de protecţie adecvat recunoscut de Comisia Europeană.

Se realizează o analiză aprofundată a legislaţiei privind protecţia datelor și a

cerinţelor impuse de Regulamentul General privind Protecţia Datelor pentru a stabili
măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de
activitate și specificul prelucrării/prelucrărilor efectuate.

GESTIONAREA RISCURILOR

În cazul în care au fost identificate prelucrări de date cu caracter personal

susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice,
operatorul va efectua o evaluare a impactului asupra
protecţiei datelor, în condiţiile art. 35 din
Regulamentul General privind Protecţia Datelor.
Evaluarea impactului asupra
protecţiei datelor se realizează anterior
colectării datelor cu caracter personal
și efectuării prelucrării.
Se va pune accent pe estimarea
riscurilor asupra protecţiei datelor din
punctul de vedere al Persoanelor vizate,
luând în considerare natura datelor, domeniul
de aplicare, contextul și scopurile prelucrării și
utilizarea noilor tehnologii.

Evaluarea impactului asupra protecţiei datelor presupune:

 descriere a prelucrării de date efectuate și a scopurilor acesteia;
 evaluare a necesităţii și a proporţionalităţii prelucrării de date efectuate;
 estimare a riscurilor asupra drepturilor și libertăţilor persoanelor vizate;
 măsurile prevăzute pentru a trata riscurile și a asigura conformitatea cu dispoziţiile
RGPD.

6
Evaluarea impactului asupra protecţiei datelor permite:
 realizarea unei prelucrări de date cu caracter personal sau a unui produs care
respectă viaţa privată;
 estimarea impactului asupra vieţii private a persoanelor vizate;
 demonstarea faptului că principiile fundamentale ale Regulamentul General privind
Protecţia Datelor sunt respectate.
Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:
(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la
persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri,
și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau
care o afectează în mod similar într-o măsură semnificativă;
(b) prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9
alineatul (1), sau a unor date cu caracter personal privind condamnări penale și
infracţiuni, menţionată la articolul 10; sau
(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de
operator pentru atenuarea acestora, se consultă Autoritatea naţională de supraveghere.

ORGANIZAREA PROCEDURILOR INTERNE

Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter

personal, operatorul trebuie să elaboreze proceduri interne care să garanteze
respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele
care pot apărea pe parcursul efectuării prelucrărilor de date, precum:
 breșe de securitate;
 solicitări privind exercitarea drepturilor persoanelor vizate;
 modificarea datelor cu caracter personal colectate;
 schimbarea prestatorului.
Organizarea procedurilor interne implică, în special:
 luarea în considerare a protecţiei datelor cu caracter personal încă de la
momentul conceperii
(privacy by design) unei aplicaţii sau
a unei prelucrări: minimizarea
colectării datelor în funcţie de scop,
cookie-uri, perioada de stocare,
informaţiile furnizate persoanelor
vizate, obţinerea consimţământului
persoanelor vizate, securitatea și
confidenţialitatea datelor cu
caracter personal, garantarea rolului
și responsabilităţii părţilor implicate în
efectuarea prelucrării datelor;
 aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în
mod implicit, sunt prelucrate numai date cu caracter personal care sunt
necesare pentru fiecare scop specific al prelucrării (privacy by default), având
în vedere: volumul de date colectate, gradul de prelucrare a acestora, perioada de

7
 stocare și accesibilitatea lor, astfel încât datele cu caracter personal să nu fie
accesate, fără intervenţia persoanei, de un număr nelimitat de persoane;
 sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea
unui plan de pregătire și de comunicare cu persoanele care prelucrează date
cu caracter personal;
 soluţionarea plângerilor și cererilor adresate de persoanele vizate în
exercitarea drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a
acestora; exercitarea drepturilor trebuie să se poată realiza inclusiv pe cale
electronică, în cazul în care datele au fost colectate prin astfel de mijloace;
 anticiparea unei posibile încălcări a securităţii datelor specificând, pentru
anumite cazuri,
 obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de
ore și a persoanelor vizate în cel mai scurt timp;
 asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri
tehnice și organizatorice adecvate, incluzând printre altele, după caz:
a)pseudonimizarea și criptarea datelor cu caracter personal;
b)capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și
rezistenţa
continue ale sistemelor și serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter personal și
accesul la acestea
în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii
măsurilor
tehnice și organizatorice pentru a garanta securitatea prelucrării.

OBLIGAȚIILE PERSOANELOR ÎMPUTERNICITE

 păstrează evidența activităților de prelucrare desfășurate pentru și în numele
operatorului;
 notifică operatorul orice încălcare a securității datelor cu caracter personal;
 obligat să respecte regulile privind transferul de date în afara țării/Uniunii
 răspunde direct față de persoana vizată dacă a încălcat o obligație prevazută de
GDPR direct în sarcina sa sau a acționat în afara instrucțiunilor operatorului;
 dacă persoana împuternicită încalcă prevederile GDPR, luând decizii cu privire la
scopul și mijloacele prelucrării datelor, devine ea însăși operator cu toate
obligațiile aferente.

Operatorul şi persoana împuternicită de operator

Secţiunea 1: Obligaţii generale
Art. 24: Responsabilitatea operatorului
(1)Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării,
precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi
libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice
adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se
efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc

8
şi se actualizează dacă este necesar.
(2)Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, măsurile
menţionate la alineatul (1) includ punerea în aplicare de către operator a unor politici
adecvate de protecţie a datelor.

Art. 28: Persoana împuternicită de operator

(1)În cazul în care prelucrarea urmează să fie realizată în numele unui operator,
operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru
punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât
prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure
protecţia drepturilor persoanei vizate.
(2)Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de
operator fără aprimi în prealabil o autorizaţie scrisă, specifică sau generală, din partea
operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator
informează operatorul cu privire la orice modificări preconizate privind adăugarea sau
înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea
operatorului de a formula obiecţii faţă de aceste modificări.
(3)Prelucrarea de către o persoană împuternicită de un operator este reglementată
printr-un contrac sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care
are caracter obligatoriu pentru persoana împuternicită de operator în raport cu
operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării,
tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi
drepturile operatorului. Respectivul contract sau act juridic prevede în special că
persoană împuternicită de operator:
a)prelucrează datele cu caracter personal numai pe baza unor instrucţiuni documentate
din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter
personal către o ţară terţă sau o organizaţie internaţională, cu excepţia cazului în care
această obligaţie îi revine persoanei împuternicite în temeiul dreptului Uniunii sau al
dreptului intern care i se aplică; în acest caz, notifică această obligaţie juridică
operatorului înainte de prelucrare, cu excepţia cazului în care dreptul respectiv interzice
o astfel de notificare din motive importante legate de interesul public;
b)se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au
angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de
confidenţialitate;
c)adoptă toate măsurile necesare în conformitate cu articolul 32;
d)respectă condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte
persoane împuternicite de operator;
e)ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi
organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea
obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana
vizată a drepturilor prevăzute în capitolul III;
f)ajută operatorul să asigure respectarea obligaţiilor prevăzute la articolele 32-36, ţinând
seama de caracterul prelucrării şi informaţiile aflate la dispoziţia persoanei împuternicite
de operator;
g)la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter
personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile
existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea

9
datelor cu caracter personal;
h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra
respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor,
inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la
acestea.
În ceea ce priveşte primul paragraf litera (h), persoana împuternicită de operator
informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă
prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii
referitoare la protecţia datelor.

Art. 30: Evidenţele activităţilor de prelucrare

(1)Fiecare operator şi, după caz, reprezentantul acestuia păstrează o evidenţă a
activităţilor de prelucrare desfăşurate sub responsabilitatea lor. Respectiva
evidenţă cuprinde toate următoarele informaţii:
a)numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale
reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
b)scopurile prelucrării;
c)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter
personal;
d)categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter
personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
e)dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o
organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei
internaţionale respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1)
al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
f)acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor
categorii de date;
g)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de
securitate menţionate la articolul 32 alineatul (1).
(2)Fiecare persoană împuternicită de operator şi, după caz, reprezentantul
persoanei împuternicite de operator păstrează o evidenţă a tuturor categoriilor de
activităţi de prelucrare desfăşurate în numele operatorului, care cuprind:
a)numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi
ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane),
precum şi, după caz, ale reprezentantului operatorului sau ale reprezentantului
persoanei împuternicite de operator, şi ale responsabilului cu protecţia datelor;
b)categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
c)dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o
organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei
internaţionale respective şi, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al
doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
d)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de
securitate menţionate la articolul 32 alineatul (1).
(3)Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în
format electronic.

10
(4)Operatorul sau persoana împuternicită de acesta, precum şi, după caz,
reprezentantul operatorului sau al persoanei împuternicite de operator pun
evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.
(5)Obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau
organizaţii cu mai puţinde 250 de angajaţi, cu excepţia cazului în care prelucrarea pe
care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile
persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii
speciale de date, astfel cum se prevede la articolul 9 alineatul (1), saudate cu caracter
personal referitoare la condamnări penale şi infracţiuni, astfel cum se menţionează la
articolul 10.

Art. 31: Cooperarea cu autoritatea de supraveghere

Operatorul şi persoana împuternicită de operator şi, după caz, reprezentantul acestora
cooperează, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor acesteia.

TEMEIURILE DE PRELUCRARE A DATELOR CU CARACTER

PERSONAL
Art. 6: Legalitatea prelucrării
(1) Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una
dintre următoarele condiţii:
a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată
este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea
unui contract;
c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine
operatorului;
d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau
ale altei persoane fizice;
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes
public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o
parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile
fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal,
în special atunci când persoana vizată este un copil. Litera (f) din primul paragraf nu se
aplică în cazul prelucrării efectuate de autorităţi publice în îndeplinirea atribuţiilor lor.
(2)Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a
aplicării normelor prezentului regulament în ceea ce priveşte prelucrarea în vederea
respectării alineatului (1) literele (c) şi (e) prin definirea unor cerinţe specifice mai
precise cu privire la prelucrare şi a altor măsuri de asigurare a unei prelucrări legale şi
echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevăzut în
capitolul IX.
(3)Temeiul pentru prelucrarea menţionată la alineatul (1) literele (c) şi (e) trebuie să fie
prevăzut în:
a)dreptul Uniunii; sau

11
b)dreptul intern care se aplică operatorului.
Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce priveşte
prelucrarea menţionată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei
sarcini efectuate în interes public sau în cadrul exercitării unei funcţii publice atribuite
operatorului. Respectivul temei juridic poate conţine dispoziţii specifice privind adaptarea
aplicării normelor prezentului regulament, printre altele: condiţiile generale care
reglementează legalitatea prelucrării de către operator; tipurile de date care fac obiectul
prelucrării; persoanele vizate; entităţile cărora le pot fi divulgate datele şi scopul pentru
care respectivele date cu caracter personal pot fi divulgate; limitările legate de scop;
perioadele de stocare; şi operaţiunile şi procedurile de prelucrare, inclusiv măsurile de
asigurare a unei prelucrări legale şi echitabile cum sunt cele pentru alte situaţii concrete
de prelucrare astfel cum sunt prevăzute în capitolul IX. Dreptul Uniunii sau dreptul intern
urmăreşte un obiectiv de interes public şi este proporţional cu obiectivul legitim urmărit.
(4)În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter
personal au fost colectate nu se bazează pe consimţământul persoanei vizate sau pe
dreptul Uniunii sau dreptul intern, care constituie o măsură necesară şi proporţională
într-o societate democratică pentru a proteja obiectivele menţionate la articolul 23
alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu
scopul pentru care datele cu caracter personal au fost colectate iniţial, ia în considerare,
printre altele:
a)orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi
scopurile prelucrării ulterioare preconizate; b)contextul în care datele cu caracter
personal au fost colectate, în special în ceea ce priveşte relaţia dintre persoanele vizate
şi operator;
c)natura datelor cu caracter personal, în special în cazul prelucrării unor categorii
speciale de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care
sunt prelucrate date cu caracter personal referitoare la condamnări penale şi infracţiuni,
în conformitate cu articolul 10;
d)posibilele consecinţe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
e)existenţa unor garanţii adecvate, care pot include criptarea sau pseudonimizarea.

Societatea/organizația dvs. poate prelucra date cu caracter personal numai în situațiile

următoare:

 cu consimțământul persoanelor fizice în cauză (Preambul (32), (42), (43); Art. 6 alin
(1) lit. (a) . Prelucrarea este permisă dacă persoana vizată și-a dat consimțământul
pentru prelucrare. Manifestare liber exprimată- în cunoștință de cauză (informat);-
specifică; - clară. Persoana vizată își poate retrage consimțământul în orice moment-
după retragerea consimțământului, prelucrarea poate continua numai dacă există un
alt temei pentru prelucrare)
 când există o obligație contractuală (Preambul (44); Art. 6 alin. (1) lit. (b)
Prelucrarea este necesară pentru executarea unui contract la care persoana vizată
este parte sau pentru a face demersuri la cererea persoanei vizate înainte de
încheierea unui contract)
 pentru a respecta o obligație legală (Preambul (45); Art.6(1) lit. (c);Art. 6 alin. (3)
Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului);

12
  când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește
unui interes public (Prelucrarea este necesară pentru îndeplinirea unei sarcini care
servește unui interes public sau care rezultă din exercitarea autorității publice cu care
este învestit operatorul);
 pentru a proteja interesele vitale ale unei persoane fizice (Preambul (46); Art.6(1) lit.
(d) Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate
sau ale altei persoane fizice)
 în scopul intereselor legitime ale organizației dvs., dar numai după ce v-ați asigurat
că acest lucru nu are un impact grav asupra drepturilor și a libertăților fundamentale
ale persoanei ale cărei date le prelucrați. Dacă drepturile persoanei respective
prevalează în raport cu interesele dvs., prelucrarea nu poate fi efectuată în temeiul
unui interes legitim. Stabilirea aspectului dacă societatea/organizația dvs. are
interese legitime privind prelucrarea în raport cu cele ale persoanelor în cauză
depinde de circumstanțele individuale.

EXEMPLE:

Consimțământul
Societatea/organizația dvs. oferă o aplicație de muzică și solicitați consimțământul
cetățenilor pentru a le prelucra preferințele muzicale, cu scopul de a le oferi sugestii
personalizate privind melodiile și eventuale concerte.

Obligație contractuală
Societatea/organizația dvs. vinde produse online. Aceasta poate prelucra datele care
sunt necesare pentru a parcurge etapele premergătoare încheierii contractului la
solicitarea persoanei respective și pentru executarea contractului. Așadar, puteți
prelucra numele, adresa de livrare, numărul cardului de credit (dacă plata se efectuează
cu cardul) etc.

Obligație legală
Sunteți proprietarul unei societăți cu angajați. Pentru a obține acoperire în materie de
securitate socială, legea vă obligă să furnizați autorității relevante date cu caracter
personal (de exemplu, venitul săptămânal al angajaților dvs.).

Interes public
Exemplu: o asociație profesională, cum ar fi o asociație de tip barou sau o cameră a
profesioniștilor din domeniul medical învestită cu o autoritate oficială în acest scop,
poate efectua proceduri disciplinare împotriva unor membri ai săi.

Interesele vitale ale unei persoane

Un spital tratează un pacient după un accident rutier grav; spitalul nu are nevoie de
consimțământul acestuia pentru a-i căuta actul de identitate și a verifica dacă persoana
respectivă se află în baza sa de date, pentru a-i găsi fișa medicală sau a-i contacta
rudele cele mai apropiate.

13
Interesele legitime ale organizației dvs.
Societatea/organizația dvs. asigură securitatea rețelei sale, monitorizează utilizarea
dispozitivelor de TI ale angajaților săi. Societatea/organizația dvs. poate prelucra în mod
legitim date cu caracter personal în acest scop numai dacă alegeți metoda cel mai puțin
intruzivă în ceea ce privește drepturile angajaților dvs. la protejarea confidențialității și a
datelor, de exemplu, limitând accesibilitatea anumitor site-uri (Rețineți că acest lucru nu
este posibil în statele membre UE în care legislația națională stabilește norme mai
stricte pentru prelucrarea în contextul legat de forța de muncă.)

PRELUCRAREA DATELOR CU CARACTER PERSONAL ÎN

TEMEIUL CONSIMȚĂMÂNTULUI PERSOANEI VIZATE.

Art. 7: Condiţii privind consimţământul

(1)În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în
măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea
datelor sale cu caracter personal.
(2)În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii
scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie
prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă
inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Nicio parte a respectivei
declaraţii care constituie o încălcare a prezentului regulament nu este obligatorie.
(3)Persoana vizată are dreptul să îşi retragă în orice moment consimţământul.
Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza
consimţământului înainte de retragerea acestuia. Înainte de acordarea
consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea
consimţământului se face la fel de simplu ca acordarea acestuia.
(4)Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine seama
cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui
serviciu, este condiţionată sau nu de consimţământul cu privire la prelucrarea datelor cu
caracter personal care nu este necesară pentru executarea acestui contract.

Conceptul de consimțământ, astfel cum a fost utilizat până în prezent în Directiva privind
protecția datelor (denumită în continuare „Directiva 95/46/CE”) și în Directiva asupra
confidențialității și comunicațiilor electronice, a evoluat. RGPD oferă clarificări
suplimentare și precizări privind cerințele pentru obținerea și dovedirea
consimțământului valabil.

Operatorilor de date le revine obligația de a inova în vederea identificării de noi soluții

care să funcționeze în cadrul parametrilor legali și să sprijine mai bine protecția datelor
cu caracter personal și a intereselor persoanelor vizate.

14
Consimțământul rămâne unul dintre cele șase temeiuri legale de prelucrare a
datelor cu caracter personal, astfel cum sunt enumerate la articolul 6 din RGPD.
Atunci când inițiază activități care implică prelucrarea de date cu caracter personal,
operatorul de date trebuie întotdeauna să analizeze care ar fi temeiul legal adecvat
pentru prelucrarea avută în vedere.

În general, consimțământul poate constitui un temei legal adecvat doar în cazul în care
persoanei vizate i se oferă controlul și i se dă
posibilitatea reală de a face o
alegere în ceea ce privește
acceptarea sau refuzarea
termenelor oferite sau
respingerea
acestora fără a fi
prejudiciată. Atunci când
solicită consimțământul, un
operator are datoria de a evalua dacă cererea
va îndeplini toate condițiile pentru obținerea unui
consimțământ valabil. În cazul în care este obținut în deplină conformitate cu RGPD,
consimțământul este un instrument care oferă persoanelor vizate posibilitatea de a
controla dacă datele cu caracter personal care le privesc vor fi sau nu prelucrate. În caz
contrar, controlul deținut de persoana vizată devine iluzoriu, iar consimțământul nu va
constitui un temei valabil pentru prelucrare, făcând ca activitatea de prelucrare să fie
ilegală.

Obținerea consimțământului nu exclude sau diminuează în vreun fel nici obligațiile

operatorului de a respecta principiile de prelucrare consacrate în RGDP, în special la
articolul 5 din RGPD în ceea ce privește echitatea, necesitatea și proporționalitatea,
precum și calitatea datelor. Chiar dacă prelucrarea datelor cu caracter personal se
întemeiază pe consimțământul persoanei vizate, acest lucru nu ar justifica colectarea de
date care nu este necesară în raport cu un scop specific de prelucrare și ar fi în mod
fundamental injustă.

Articolul 4 punctul (11) din RGPD definește consimțământul ca fiind: „orice manifestare
de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care
aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu
caracter personal care o privesc să fie prelucrate”.

Includerea dispozițiilor și a considerentelor specifice privind retragerea

consimțământului confirmă faptul că acordarea consimțământului ar trebui să fie o

15
decizie reversibilă și că este menținut un anumit grad de control din partea persoanei
vizate.

Elementele consimțământului valabil

Articolul 4 punctul (11) din RGDP prevede că consimțământul persoanei vizate
înseamnă orice manifestare de voință a persoanei vizate:
- liber exprimată,
- specifică,
- informată și
- lipsită de ambiguitate prin care aceasta acceptă, printr-o
declarație sau printr-o acțiune fără echivoc, ca datele cu
caracter personal care o privesc să fie prelucrate.

În secțiunile de mai jos, se analizează măsura în care

textul articolului 4 punctul (11) solicită operatorilor să își
modifice cererile/formularele privind consimțământul, pentru a
asigura respectarea RGPD.

Liber exprimat
Elementul „liber” implică o alegere reală și un control real din partea persoanelor vizate.
Ca regulă generală, RGPD prevede că, dacă persoana vizată nu beneficiază de o
alegere reală, se simte obligată să consimtă sau va suporta consecințe negative dacă
nu consimte, consimțământul nu va fi valabil. Dacă consimțământul este înglobat, ca
parte ce nu poate fi negociată, în cuprinsul termenelor și condițiilor, se prezumă că
acesta nu a fost exprimat în mod liber. În consecință, consimțământul nu va fi considerat
liber exprimat dacă persoana vizată nu este în măsură să refuze sau să-și retragă
consimțământul fără a fi prejudiciată. Noțiunea de dezechilibru între operator și
persoana vizată este, de asemenea, luată în considerare de RGPD. Atunci când se
evaluează dacă consimțământul este exprimat în mod liber, ar trebui să se țină seama,
de asemenea, de situația specială în care consimțământul este inclus în contracte sau
prestarea unui serviciu este condiționată de acordarea consimțământului, astfel cum se
descrie la articolul 7 alineatul (4). Articolul 7 alineatul (4) a fost redactat în mod
neexhaustiv prin utilizarea cuvintelor „printre altele”, ceea ce înseamnă că pot exista o
serie de alte situații care intră sub incidența acestei dispoziții. În termeni generali, orice
element de presiune sau de influență nepotrivită asupra persoanei vizate (care se poate
manifesta în diferite moduri) și care împiedică exprimarea voinței libere a acesteia
determină lipsa de validitate a consimțământului.

[Exemplu] O aplicație pentru telefonul mobil destinată editării fotografiilor solicită

utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația
informează, de asemenea, utilizatorii că va folosi datele colectate, în scopuri de
publicitate comportamentală. Nici geolocalizarea, nici publicitatea comportamentală

16
online nu sunt necesare pentru furnizarea serviciului de editare fotografică și ambele
depășesc serviciul de bază furnizat. Întrucât utilizatorii nu pot folosi aplicația fără a
consimți la prelucrarea datelor în aceste scopuri, nu se poate considera că un astfel de
consimțământ este acordat în mod liber.

Dezechilibrul de putere
Considerentul 4314 indică în mod clar că este improbabil ca autoritățile publice să se
poată baza pe consimțământ pentru prelucrarea datelor deoarece, ori de câte ori
operatorul este o autoritate publică, există adesea un dezechilibru evident de putere în
relația dintre operator și persoana vizată. De asemenea, este clar că, în majoritatea
cazurilor, persoana vizată nu va avea o alternativă realistă la acceptarea prelucrării (a
condițiilor de prelucrare) respectivului operator. Fără a aduce atingere acestor
considerații generale, utilizarea consimțământului ca temei legal pentru prelucrarea
datelor de către autoritățile publice nu este total exclusă în cadrul juridic al RGPD.

Următoarele exemple arată că utilizarea consimțământului poate fi adecvată în anumite

circumstanțe.

[Exemplu] O administrație locală planifică lucrări de întreținere a drumurilor. Întrucât

lucrările pot perturba traficul pentru o perioadă îndelungată, administrația oferă
cetățenilor posibilitatea de a se abona la o listă prin e-mail pentru a primi actualizări
privind mersul lucrărilor și întârzierile preconizate. Administrația precizează că nu există
nicio obligație de abonare și solicită consimțământul pentru a folosi adresele de e-mail în
acest scop (în mod exclusiv). Cetățenii care nu își exprimă consimțământul nu vor
pierde accesul la vreun serviciu de bază al administrației sau exercițiul vreunui drept,
astfel că aceștia pot să își dea consimțământul privind folosirea datelor sau să refuze
acest lucru, în mod liber. Toate informațiile privind lucrările la drum vor fi disponibile, de
asemenea, pe site-ul administrației.

[Exemplu] O persoană care are în proprietate teren are nevoie de anumite autorizații
atât de la administrația publică locală, cât și de la administrația regională sau centrală pe
raza căreia se află administrația locală. Ambele organisme publice solicită aceleași
informații pentru emiterea autorizațiilor, dar nu își accesează reciproc bazele de date.
Prin urmare, ambele solicită aceleași informații, iar proprietarul trimite informațiile
solicitate ambelor organisme publice. Administrația locală și administrația regională sau
centrală solicită consimțământul acestuia pentru a fuziona dosarele, în scopul de a evita
dublarea procedurilor și a corespondenței. Ambele organisme publice garantează că
această posibilitate este opțională și că solicitările de obținere a autorizațiilor vor fi
prelucrate separat în cazul în care proprietarul nu dorește fuzionarea acestora.
Proprietarul poate decide în mod liber dacă să-și dea consimțământul pentru fuzionarea
dosarelor.

17
[Exemplu] O școală publică le solicită elevilor consimțământul pentru a le folosi
fotografiile într-o revistă tipărită pentru elevi. Exprimarea consimțământului în aceste
situații ar fi o alegere reală atât timp cât elevilor nu li se va refuza accesul la educație
sau la servicii și aceștia pot refuza utilizarea fotografiilor lor fără a fi prejudiciați în vreun
mod.

Un dezechilibru de putere apare, de asemenea, în contextul relațiilor de muncă. Având

în vedere dependența care rezultă din relația dintre angajator și angajat, este puțin
probabil ca persoana vizată să poată refuza să-și acorde consimțământul față de
angajatorul său pentru prelucrarea datelor fără a se confrunta cu temerea sau cu riscul
real de consecințe negative ca urmare a unui refuz. Este puțin probabil ca un angajat să
poată răspunde în mod liber la o cerere de consimțământ din partea angajatorului său,
de exemplu pentru a activa sisteme de monitorizare, cum ar fi camerele de
supraveghere la locul de muncă, sau pentru a completa formulare de evaluare, fără a
simți presiunea de a consimți.

Cerințele minime privind conținutul unui consimțământ în cunoștință de cauză pentru ca

un consimțământ să fie în cunoștință de cauză, este necesar ca persoana vizată să fie
informată cu privire la anumite elemente care sunt esențiale pentru a face o alegere.

Prin urmare, cel puțin următoarele informații sunt necesare pentru obținerea unui
consimțământ valabil:

 identitatea operatorului,
 scopul fiecărei operațiuni de prelucrare pentru care se solicită consimțământul,
 tipul de date care vor fi colectate și utilizate,
 existența dreptului de retragere a consimțământului33 ,
 informații privind utilizarea datelor pentru procesul decizional automatizat în
conformitate cu articolul 22 alineatul (2) litera (c)34, dacă este cazul,
 cu privire la posibilele riscuri legate de transferurile de date din cauza lipsei unei
decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor adecvate,
astfel cum se descrie la articolul 46.

18
CONDIȚII SPECIALE APLICABILE ÎN CEEA CE PRIVEȘTE
CONSIMȚĂMÂNTUL MINORILOR.
Art. 8: Condiţii aplicabile în ceea ce priveşte consimţământul copiilor în legătură
cu serviciile societăţii informaţionale
(1)În cazul în care se aplică articolul 6 alineatul (1) litera (a), în ceea ce priveşte oferirea
de servicii ale societăţii informaţionale în mod direct unui copil, prelucrarea datelor cu
caracter personal ale unui copil este legală dacă copilul are cel puţin vârsta de 16 ani.
Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă şi în
măsura în care consimţământul respectiv este acordat sau autorizat de titularul
răspunderii părinteşti asupra copilului.
Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiţia
ca acea vârstă inferioară să nu fie mai mică de 13 ani.
(2)Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că
titularul răspunderii părinteşti a acordat sau a autorizat consimţământul, ţinând seama
de tehnologiile disponibile.
(3)Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre,
cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură
cu un copil.

Societatea/organizația dvs. poate prelucra datele cu caracter personal ale unui

copil pe baza consimțământului numai dacă aveți consimțământul explicit al părintelui
sau al tutorelui acestuia, până la o anumită vârstă. Limita de vârstă pentru obținerea
consimțământului părinților variază între 13 și 16 ani, în funcție de vârsta stabilită în
fiecare stat membru al UE. Consultați autoritatea națională de protecție a datelor.

Trebuie să depuneți eforturi rezonabile, ținând seama de tehnologiile

disponibile, pentru a vă asigura că respectivul consimțământ a fost într-adevăr acordat
în conformitate cu prevederile legii. Cu alte cuvinte, societatea/organizația dvs. trebuie
să pună în aplicare măsuri de verificare a vârstei (de exemplu, întrebări de control,
acțiuni efectuate pe site-ul web).

Trebuie obținut consimțământul părintelui sau al tutorelui dacă lucrați la site-uri

de rețele sociale care pun la dispoziție jocuri gratuite pentru copii sau asigurări pentru
familii, de exemplu.

Dacă sunteți o organizație care vizează copiii, trebuie să vă asigurați că orice

informații și comunicări adresate unui copil sunt ușor accesibile și sunt exprimate într-un
limbaj simplu și clar, astfel încât copilul să îl poată înțelege cu ușurință.

Serviciile de prevenire sau de consiliere oferite direct unui copil nu necesită

autorizare din partea unui părinte, deoarece ele urmăresc protejarea intereselor copiilor.

19
 RGPD creează un nivel suplimentar de protecție în cazul în care sunt prelucrate
datele cu caracter personal ale persoanelor fizice vulnerabile, în special ale copiilor.
Articolul 8 introduce obligații suplimentare pentru a asigura un nivel sporit de protecție a
datelor copiilor în legătură cu serviciile societății informaționale. Motivele pentru o
protecție sporită sunt menționate în considerentul 38: „[...] pot fi mai puțin conștienți de
riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea
datelor cu caracter personal [...]”. De asemenea, considerentul 38 prevede că „această
protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal
ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau
de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul
utilizării serviciilor oferite direct copiilor”. Cuvintele „în special” indică faptul că protecția
specifică nu se limitează la marketing sau la crearea de profiluri, ci include în mod mai
amplu „colectarea datelor cu caracter personal privind copiii”. Articolul 8 alineatul (1)
prevede că, în cazurile în care se aplică consimțământul, în legătură cu oferirea de
servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu
caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani.
Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în
măsura în care consimțământul respectiv este acordat sau autorizat de titularul
răspunderii părintești asupra copilului. În ceea ce privește limita de vârstă a
consimțământului valabil, RGPD oferă flexibilitate, statele membre putând prevedea prin
lege o vârstă inferioară, dar vârsta respectivă nu poate fi sub 13 ani. Cu privire la
consimțământul în cunoștință de cauză, informațiile trebuie să fie ușor de înțeles pentru
publicul căruia i se adresează operatorul, acordând o atenție specială situației copiilor.
Pentru a obține un „consimțământ în cunoștință de cauză” de la un copil, operatorul
trebuie să explice, folosind un limbaj clar și simplu pentru copii, modul în care
intenționează să prelucreze datele pe care le colectează. Dacă părintele este cel care ar
trebui să consimtă, atunci poate fi necesar un set de informații care să permită adulților
să ia o decizie în cunoștință de cauză.
Din cele de mai sus rezultă că articolul 8 se aplică numai în cazul în care sunt
îndeplinite următoarele condiții:
• prelucrarea se referă la oferirea de servicii ale societății informaționale în mod
direct unui copil1;
• prelucrarea se bazează pe consimțământ.

1
În conformitate cu articolul 4 punctul (25) din RGPD, un serviciu al societății informaționale înseamnă un serviciu
astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535: „(b) serviciu” înseamnă orice
serviciu al societății informaționale, adică orice serviciu prestat în mod normal în schimbul unei remunerații, la
distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului. În sensul prezentei definiții:
(i) „la distanță” înseamnă că serviciul este prestat fără ca părțile să fie prezente simultan; (ii) „prin mijloace
electronice” înseamnă că serviciul este transmis inițial și primit la destinație prin intermediul echipamentului
electronic pentru prelucrarea (inclusiv arhivarea digitală) și stocarea datelor și este transmis integral, transferat și
recepționat prin cablu, radio, mijloace optice sau alte mijloace electromagnetice; (iii) „la solicitarea individuală a
beneficiarului serviciilor” înseamnă că serviciul este prestat prin transmiterea datelor în urma solicitării individuale.”
O listă indicativă a serviciilor care nu intră sub incidența acestei definiții este prezentată în anexa I la directiva
menționată anterior. A se vedea, de asemenea, considerentul 18 din Directiva 2000/31. 61 Conform articolului 1 din
Convenția ONU cu privire la drepturile copilului, „[...] prin copil se înțelege orice ființă umană sub vârsta de 18 ani,
exceptând cazurile în care legea aplicabilă copilului stabilește limita majoratului sub această vârstă”. A se vedea
Organizația Națiunilor Unite, Rezoluția Adunării Generale 44/25 din 20 noiembrie 1989 (Convenția cu privire la
drepturile copilului).

20
 Curtea Europeană de Justiție a considerat că serviciile societății informaționale
cuprind contracte și alte servicii care sunt încheiate sau transmise online. Atunci când
un serviciu are două componente independente din punct de vedere economic, una fiind
componenta online, cum ar fi oferta și acceptarea unei oferte în contextul încheierii unui
contract sau informațiile referitoare la produse sau servicii, inclusiv activitățile de
comercializare, această componentă este definită ca serviciu al societății informaționale,
cealaltă componentă fiind reprezentată de livrarea fizică sau distribuția de bunuri, care
nu este acoperită de noțiunea de serviciu al societății informaționale. Furnizarea online a
unui serviciu ar intra sub incidența termenului de serviciu al societății informaționale de
la articolul 8 din RGPD.

Oferite direct copiilor

Includerea formulării „oferite direct copiilor” indică faptul că articolul 8 este
destinat să se aplice anumitor servicii, și nu tuturor serviciilor societății informaționale. În
acest sens, în cazul în care un furnizor de servicii ale societății informaționale
menționează în mod clar potențialilor utilizatori că oferă serviciile sale numai
persoanelor cu vârsta de minimum 18 ani, iar acest aspect nu este compromis de alte
dovezi (cum ar fi conținutul site-ului sau planurile de marketing), atunci serviciul nu va fi
considerat ca fiind „oferit direct copiilor”, iar articolul 8 nu se va aplica.

În cazul serviciilor societății informaționale oferite copiilor pe baza

consimțământului, operatorii vor trebui să facă eforturi rezonabile pentru a verifica dacă
utilizatorul a împlinit vârsta minimă pentru consimțământul digital, iar aceste măsuri ar
trebui să fie proporționale cu natura și riscurile activităților de prelucrare.

Dacă utilizatorii declară că au împlinit vârsta minimă pentru consimțământul

digital, atunci operatorul poate efectua verificări adecvate pentru a confirma că această
afirmație este adevărată. Deși necesitatea de a depune eforturi rezonabile pentru a
verifica vârsta nu este menționată în mod explicit în RGPD, acesta se impune implicit
deoarece, dacă un copil își dă consimțământul dar nu are vârsta necesară pentru a oferi
un consimțământ valabil în nume propriu, atunci acest lucru va face ca prelucrarea
datelor să fie ilegală. Dacă utilizatorul declară că vârsta sa este inferioară celei necesare
pentru consimțământul digital, operatorul poate accepta această declarație fără alte
verificări, dar va trebui să obțină autorizarea părintească și să verifice dacă persoana
care acordă respectivul consimțământ este titulară a răspunderii părintești. Verificarea
vârstei nu trebuie să conducă la prelucrarea excesivă a datelor. Mecanismul ales pentru
verificarea vârstei unei persoane vizate ar trebui să implice o evaluare a riscului
prelucrării propuse. În unele situații cu risc scăzut, poate fi necesar să se solicite unui
abonat nou al unui serviciu să comunice anul său de naștere sau să completeze un
formular care să ateste că este (sau nu) minor . Dacă apar îndoieli, operatorul ar trebui
să-și revizuiască mecanismele de verificare a vârstei într-un caz concret și să ia în
considerare ipoteza necesității unor verificări alternative.

21
Consimțământul copiilor și răspunderea părintească

În ceea ce privește autorizarea unui titular al răspunderii părintești, RGPD nu specifică

modalități practice de a obține consimțământul părinților sau de a stabili că o persoană
are dreptul să întreprindă această acțiune.

O abordare proporțională ar putea fi concentrarea asupra obținerii unui volum limitat de

informații, cum ar fi datele de contact ale unui părinte sau tutore. Caracterul rezonabil,
atât în ceea ce privește verificarea dacă un utilizator are vârsta minimă pentru a da
consimțământul în nume propriu, cât și în ceea ce privește verificarea dacă persoana
care acordă consimțământul în numele unui copil este titulară a răspunderii părintești,
poate depinde de riscurile inerente prelucrării, precum și de tehnologia disponibilă. În
cazurile cu risc scăzut, verificarea răspunderii părintești prin e-mail poate fi suficientă. În
schimb, în cazurile cu risc sporit, ar putea fi oportun să se solicite mai multe dovezi,
astfel încât operatorul să poată verifica și păstra informațiile în conformitate cu articolul 7
alineatul (1) din RGPD.

Serviciile de verificare furnizate de o parte terță de încredere pot oferi soluții care să
reducă la minimum volumul de date cu caracter personal pe care operatorul însuși
trebuie să îl prelucreze.

[Exemplu] O platformă de jocuri online dorește să se asigure că clienții minori se

abonează la serviciile sale doar cu consimțământul părinților sau tutorilor lor. Operatorul
urmează acești pași:

Pasul 1: solicită utilizatorului să declare dacă are mai mult sau mai puțin de 16 ani (sau
vârsta alternativă pentru consimțământul digital). Dacă utilizatorul declară că are vârsta
inferioară celei necesare pentru consimțământul digital:

Pasul 2: serviciul informează copilul că un părinte sau un tutore trebuie să consimtă sau
să autorizeze prelucrarea înainte ca serviciul să fie oferit copilului. Utilizatorului i se
solicită să comunice adresa de e-mail a unui părinte sau tutore.

Pasul 3: serviciul contactează părintele sau tutorele și obține consimțământul pentru

prelucrare prin e-mail și ia măsuri rezonabile pentru a confirma că adultul deține
răspunderea părintească.

Pasul 4: în caz de plângeri, platforma ia măsuri suplimentare pentru a verifica vârsta

abonatului. Dacă platforma a îndeplinit celelalte condiții privind consimțământul, aceasta
se poate conforma criteriilor suplimentare din articolul 8 din RGPD urmând acești pași.

Exemplul arată că operatorul se poate afla în situația de a arăta că s-au făcut eforturi
rezonabile pentru a se asigura obținerea unui consimțământ valabil în legătură cu
serviciile oferite unui copil. Articolul 8 alineatul (2) adaugă în mod special că: „operatorul
depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul

22
răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de
tehnologiile disponibile”

Revine operatorului sarcina de a stabili ce măsuri sunt adecvate într-o anumită situație.
Ca regulă generală, operatorii ar trebui să evite soluțiile de verificare care implică ele
însele colectarea excesivă de date cu caracter personal.

Consimtamantul acordat anterior datei de 25 mai 2018 poate ramane temei legal pentru
prelucrarea datelor cu caracter personal dacă îndeplinește condițiile Regulamentului.

23
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL III

Drepturile și obligațiile persoanelor

implicate în prelucrarea datelor cu caracter
personal. Instrumente de informare.

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020

RESUM Consulting S.R.L.

RC
Ploiesti, Romania
CONȚINUT TEMATIC:
 Drepturile și obligațiile persoanei vizate cu privire la
prelucrarea datelor cu caracter personal (categorii de
drepturi, informațiile care se furnizează persoanei vizate,
modalitatea de exercitare a acestor drepturi). Aspecte
particulare cu privire la prelucrarea datelor sensibile.

1
I. Informații introductive
Unul dintre obiectivele-cheie ale noului Regulament european general privind
protecția datelor (GDPR) este de a asigura confidențialitatea și protecția datelor cu
caracter personal ale persoanelor vizate, prin împuternicirea acestora cu anumite
drepturi; pe care le pot exercita în condiții speciale. Pe baza acestor drepturi, persoanele
vizate pot face o cerere specifică și pot fi asigurate că datele cu caracter personal nu
sunt utilizate în mod abuziv în alte scopuri decât scopul legitim pentru care au fost inițial
furnizate.

DREPTURILE PERSOANEI VIZATE:

 Dreptul de a fi informat- art. 12-13- Informarea persoanei vizate cu privire la
categoriile de date colectate, scop, destinatari, transfer etc. Operatorul trebuie să
îi pună la dispoziție persoanei informațiile solicitate
 Dreptul de acces- art. 15 - Persoana vizata poate solicita acces la datele sale
pentru a verifica daca prelucrarea este întemeiată.
 Dreptul la rectificare- art. 16 - Persoana vizata poate solicita rectificarea datelor
in cazul in care acestea sunt procesate greșit.
 Dreptul de ștergere- art. 17 - Când procesarea nu mai este justificata sau când
persoana vizata si-a retras consimțământul. Acest drept se aplică în cazul
procesărilor de date care au la bază consimțământul.
 Dreptul de a restricționa procesarea- art. 18 - Persoana vizată poate cere
restricționarea datelor folosite sau a transferului de date. Se aplică de asemenea
și principiul minimizări procesări de date cu caracter personal. Nu se vor colecta
și procesa mai multe date decât este necesar sau prevăzut legal, fără justificare.
 Dreptul la portabilitatea datelor;
 Dreptul de a obiecta- art. 21 - Dreptul persoanei vizate de a face obiecții sau de
a se opune anumitor tipuri de prelucrări, dacă aceste prelucrări nu au la bază un
temei legal sau sunt nejustificate.
 Drepturi legate de procesul de luare a deciziilor și profilaxie automata;
Persoana vizata are dreptul de a nu face obiectul unei decizii de profilare atunci
când aceasta se bazează pe prelucrarea automată, dacă aceste prelucrări nu au
la bază un temei legal sau sunt nejustificate.
Un exemplu poate fi solicitarea unui fost angajat de a fi uitat. Trebuie analizate
toate procesările de date care mai au ca obiect datele cu caracter personal în
speță și dacă acestea nu mai au un temei legal sau o justificare, șterse. Persoana
vizată va fi informată cu privire la acțiunile care au fost întreprinse și cu privire la
scopul pentru care nu s-au șters anumite categorii de date – arhivarea lor
conform unei legi.

2
 1. Dreptul la informare
Acest drept oferă persoanei vizate posibilitatea de a solicita informații privind
tipul de date prelucrate în legătură cu datele sale personale, precum și raționamentul
prelucrării.
Dreptul de a fi informat cuprinde obligația de a furniza "informații corecte de
procesare", de obicei printr-o notificare privind confidențialitatea. Acesta subliniază
nevoia de transparență în ceea ce privește modul în care utilizați datele cu caracter
personal.
GDPR stabilește informațiile pe care trebuie să le furnizați și când trebuie să fie
informați indivizii. Informațiile pe care le furnizați sunt determinate de faptul că ați
obținut sau nu datele personale direct de la persoane fizice. Informațiile pe care le
furnizați cu privire la prelucrarea datelor cu caracter personal trebuie să fie: concise,
transparente, inteligibile și ușor accesibile, scrise în limbaj clar, gratuite.

2. Dreptul de acces
Acest drept oferă persoanei vizate posibilitatea de a avea acces la datele sale
personale care sunt procesate. Persoanele fizice au astfel dreptul de a vizualiza propriile
date cu caracter personal, precum și de a solicita copii ale acestor date.
În cadrul GDPR, persoanele fizice vor avea dreptul să obțină:
• confirmarea faptului că datele sunt procesate;
• accesul la datele lor personale; și
• alte informații suplimentare - aceasta corespunde în mare măsură informațiilor care
trebuie furnizate într-un anunț de confidențialitate (a se vedea articolul 15).

GDPR clarifică faptul că motivul pentru care permite accesul persoanelor fizice
la datele lor personale este ca acestea să fie conștiente și să poată verifica legalitatea
procesării (considerentul 63).

La întrebarea: Poate fi percepută o taxă pentru rezolvarea unei solicitări de

acces la subiect? Raspunsul este: Categoric NU. Trebuie să furnizați gratuit o copie a
informațiilor deținute. Cu toate acestea, puteți percepe o "taxă rezonabilă" atunci când o
cerere este vădit nefondată sau excesivă, în special dacă este repetată. Puteți, de
asemenea, să percepeți o taxă rezonabilă pentru a respecta cererile de copiere a
acelorași informații. Acest lucru nu înseamnă că puteți percepe taxe pentru toate

3
solicitările de acces ulterioare. Taxa trebuie să se bazeze pe costul administrativ al
furnizării informațiilor.
Informațiile solicitate de către persoana vizată trebuie furnizate în termen de 30
de zile de la primirea cererii. Veți putea prelungi perioada cu încă două luni, în cazul în
care cererile sunt complexe sau numeroase. În acest caz, trebuie să informați persoana
în termen de o lună de la primirea cererii și să explicați de ce este necesară extinderea.
În cazul în care refuzați să răspundeți unei cereri (deoarece considerați că ar fi în mod
vădit nefondate, excesive, sau repetitive), trebuie să explicați refuzul. In plus, persoana
respectivă va fi informată cu privire la dreptul de a se plânge autorității de supraveghere
și la o cale de atac, fără întârzieri nejustificate și cel târziu în termen de o lună.
Pentru a furniza informațiile, trebuie să verificați identitatea persoanei care face
cererea, folosind "mijloace rezonabile".
Dacă cererea este făcută electronic, trebuie să furnizați informațiile într-un format
electronic utilizat în mod obișnuit.
GDPR include o recomandare privind cele mai bune practici care, în măsura posibilului,
ar trebui să permită organizațiilor să furnizeze accesul de la distanță la un sistem de
autoservire securizat care să le permită accesul direct la informațiile sale (considerentul
63). Acest lucru nu va fi potrivit pentru toate organizațiile, dar există câteva sectoare în
care acest lucru ar putea funcționa bine.
Dreptul de a obține o copie a informațiilor sau de a accesa date cu caracter
personal printr-un sistem securizat accesat la distanță nu ar trebui să afecteze negativ
drepturile și libertățile celorlalți.
În cazul în care procesați o cantitate mare de informații despre o persoană,
GDPR vă permite să solicitați persoanei să specifice informațiile la care se referă
cererea (considerentul 63). GDPR nu include o scutire pentru solicitările care se referă
la cantități mari de date, însă este posibil să puteți examina dacă cererea este vădit
nefondată sau excesivă.

3. Dreptul la rectificare
Acest drept oferă persoanei vizate posibilitatea de a solicita modificări ale datelor
sale personale în cazul în care persoana vizată consideră că aceste date cu caracter
personal nu sunt actualizate, complete sau exacte.

Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare
destinatar și să îi informați despre rectificare - cu excepția cazului în care acest lucru se
dovedește imposibil sau implică eforturi disproporționate.

Cerere de rectificare trebuie procesate în termen de o lună.

Acest lucru poate fi prelungit cu două luni în cazul în care cererea de rectificare este
complexă.

4. Dreptul de ștergere ("dreptul de a fi uitat")

Dreptul la ștergere este, de asemenea, cunoscut ca "dreptul de a fi uitat".
Principiul larg care stă la baza acestui drept este de a permite unei persoane să solicite
ștergerea sau eliminarea datelor cu caracter personal atunci când nu există motive
serioase pentru continuarea procesării acesteia.

4
 Dreptul de ștergere nu oferă un drept "absolut de uitat". Persoanele fizice au
dreptul de a șterge datele cu caracter personal și de a împiedica procesarea în
circumstanțe specifice. În cazul în care datele cu caracter personal nu mai sunt
necesare în raport cu scopul pentru care au fost inițial colectate / prelucrate.
 Când individul își retrage consimțământul.
 Atunci când individul se opune prelucrării și nu există un interes legitim pentru
continuarea procesării.
 Datele personale au fost prelucrate ilegal (adică încălcând în mod diferit GDPR).
 Datele cu caracter personal trebuie să fie șterse pentru a respecta o obligație legală.
 Datele personale sunt prelucrate în raport cu oferta de servicii a societății
informaționale unui copil.
În conformitate cu GDPR, acest drept nu se limitează la prelucrarea care provoacă
daune sau primejdie nejustificate și
substanțiale. Cu toate acestea, dacă
procesarea provoacă daune sau
suferințe, este posibil ca situația de
ștergere să fie mai puternică.
Există anumite circumstanțe
specifice în care dreptul de
ștergere nu se aplică.
Puteți refuza să vă conformați
unei solicitări de ștergere în cazul în care datele personale sunt procesate din
următoarele motive:
 să exercite dreptul la libertatea de exprimare și de informare;
 să respecte o obligație legală de îndeplinire a unei sarcini de interes public sau de
exercitare a autorității publice.
 în scopuri de sănătate publică în interesul public;
 arhivarea în interes public, cercetare științifică istorică sau scopuri statistice; sau
 exercitarea sau apărarea revendicărilor legale.
Dreptul de ștergere a datelor personale ale copiilor
Există cerințe suplimentare atunci când solicitarea de ștergere se referă la
datele personale ale copiilor, reflectând accentul GDPR asupra protecției sporite a
acestor informații, în special în mediile online.
Dacă procesați datele personale ale copiilor, trebuie să acordați o atenție deosebită
situațiilor existente în care un copil și-a dat acordul pentru procesare și ulterior solicită
ștergerea datelor (indiferent de vârstă la momentul solicitării), în special pe site-urile de
rețele sociale și forumuri de internet. Acest lucru se datorează faptului că este posibil ca
un copil să nu fi fost pe deplin conștient de riscurile asociate procesării în momentul
consimțământului (considerentul 65).
Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare
destinatar și să îi informați cu privire la ștergerea datelor cu caracter personal - cu
excepția cazului în care acest lucru se dovedește imposibil sau implică un efort
disproporționat.
Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.
GDPR consolidează dreptul de a șterge prin clarificarea faptului că organizațiile din
mediul online care publică datele cu caracter personal trebuie să informeze alte

5
organizații care prelucrează datele cu caracter personal pentru a șterge legăturile,
copiile sau replicarea datelor cu caracter personal în cauză.
Deși acest lucru ar putea fi dificil, dacă procesați informații personale online, de
exemplu în rețele sociale, pe forumuri sau pe site-uri web, trebuie să vă străduiți să
respectați aceste cerințe. Ca și în exemplul de mai jos, pot exista situații în care
organizațiile care procesează datele cu caracter personal nu pot fi obligate să respecte
această prevedere, deoarece se aplică o derogare.
Exemplu
Un motor de căutare notifică un editor mass-media că elimină rezultatele căutării care se
leagă de un raport de știri ca urmare a unei cereri de ștergere de la un individ. Dacă
publicarea articolului este protejată de scutirea de libertatea de expresie, editorul nu are
obligația de a șterge articolul.

5. Dreptul de a restricționa procesarea

 Persoanele fizice au dreptul de a "bloca" sau de a suprima prelucrarea datelor cu
caracter personal.
 Când procesarea este restricționată, aveți permisiunea de a stoca datele personale,
dar nu le puteți procesa în continuare.
 Puteți păstra doar suficiente informații despre persoana respectivă pentru a vă
asigura că respectiva restricție este respectată în viitor.
Dreptul de a restricționa prelucrarea se aplică în următoarele situații:
 Atunci când o persoană contestă acuratețea datelor personale, ar trebui să
restricționați procesarea până când veți verifica exactitatea datelor personale.
 În cazul în care o persoană sa opus prelucrării (în cazul în care aceasta era
necesară pentru îndeplinirea unei sarcini de interes public sau a scopului intereselor
legitime) și considerați dacă motivele legitime ale organizației dumneavoastră se
suprapun cu cele ale individului.
 Când procesarea este ilegală, iar persoana se opune ștergerii și solicită restricții în
schimb.
 Dacă nu mai aveți nevoie de datele personale, dar individul solicită datele pentru a
stabili, a exercita sau a apăra o reclamație legală.
Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare
destinatar și să îi informați cu privire la restricția privind prelucrarea datelor cu caracter
personal - cu excepția cazului în care acest lucru se dovedește imposibil sau implică un
efort disproporționat.
Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.
Trebuie să informați persoanele fizice atunci când decideți să ridicați o restricție privind
prelucrarea.

6
 6. Dreptul la portabilitatea datelor
Acest drept oferă persoanei vizate posibilitatea de a solicita transferul datelor sale
cu caracter personal. Ca parte a unei astfel de solicitări, persoana vizată poate cere ca
datele sale personale să fie furnizate înapoi (către el sau ea) sau transferate unui alt
operator. În acest sens, datele cu caracter personal trebuie să fie furnizate sau
transferate într-un format electronic lizibil.
Dreptul la portabilitatea datelor permite persoanelor să obțină și să reutilizeze datele lor
personale în scopuri proprii în cadrul diferitelor servicii. Acest drept le permite să
deplaseze, să copieze sau să transfere datele personale cu ușurință de la un mediu IT
la altul într-un mod sigur și securizat, fără a împiedica utilizarea datelor.
Dreptul la portabilitatea datelor se aplică numai:
 la datele personale pe care o persoană le-a furnizat unui controlor;
 în cazul în care prelucrarea are la bază consimțământul persoanei fizice sau pentru
executarea unui contract; și
 atunci când prelucrarea se face prin mijloace automate.
Trebuie să furnizați datele personale într-o formă structurată, frecvent utilizată și care
poate fi citită cu ușurință. Formatele deschise includ
fișierele CSV. Informațiile trebuie furnizate gratuit.
Este posibil să vi se solicite să transmiteți
datele direct unei alte organizații, dacă
acest lucru este fezabil din punct de
vedere tehnic. Cu toate acestea, nu
sunteți obligat să adoptați sau să
mențineți sisteme de procesare care
sunt compatibile din punct de vedere
tehnic cu alte organizații.
Dacă datele personale se referă la mai multe
persoane, trebuie să vă gândiți dacă furnizarea
informațiilor ar aduce atingere drepturilor oricărei alte persoane.
Trebuie să răspundeți fără întârzieri nejustificate și în decurs de o lună. Acest lucru
poate fi prelungit cu două luni în cazul în care cererea este complexă sau primiți o serie
de solicitări. Trebuie să informați persoana în termen de o lună de la primirea cererii și
să explicați de ce este necesară extinderea.

7. Dreptul de a obiecta
Persoanele fizice au dreptul să se opună:
 prelucrarea bazată pe interese legitime sau îndeplinirea unei sarcini de interes
public/ exercitarea autorității publice (inclusiv profilarea);
 marketing direct (inclusiv profilare); și
 prelucrarea în scopul cercetării științifice / istorice și al statisticilor.
Trebuie să opriți prelucrarea datelor cu caracter personal cu excepția cazului în care:
puteți demonstra motive legitime convingătoare pentru prelucrare, care depășesc
interesele, drepturile și libertățile individului; sau procesarea este pentru stabilirea,
exercitarea sau apărarea unor revendicări legale.

7
Trebuie să informați indivizii despre dreptul lor de a se opune "la prima comunicare" și în
avizul dvs. privind confidențialitatea. Aceasta trebuie să fie "adusă explicit în atenția
persoanei vizate și trebuie prezentată în mod clar și separat de orice altă informație".
Trebuie să opriți prelucrarea datelor personale în scopuri de marketing direct de îndată
ce primiți o obiecție. Nu există scutiri sau motive de refuz. Trebuie să vă ocupați de o
obiecție împotriva procesării pentru marketing direct în orice moment și gratuit.
Trebuie să informați indivizii despre dreptul lor de a se opune "la prima comunicare" și
în avizul dvs. privind confidențialitatea. Aceasta trebuie să fie "adusă explicit în atenția
persoanei vizate și trebuie prezentată în mod clar și separat de orice altă informație".
Persoanele fizice trebuie să aibă "motive legate de situația sa particulară" pentru a-și
exercita dreptul de a se opune prelucrării în scopuri de cercetare. Dacă efectuați
cercetări în cazul în care prelucrarea datelor cu caracter personal este necesară pentru
îndeplinirea unei sarcini de interes public, nu vi se cere să respectați o obiecție față de
procesare.

8. Drepturi legate de procesul de luare a deciziilor și profilaxie

automată
Activitatea de profilare automată este definită în GDPR la Art. 22:
(1)Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe
prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care
privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
(2)Alineatul (1) nu se aplică în cazul în care decizia:
(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată
și un operator de date;
(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și
care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor,
libertăților și intereselor legitime ale persoanei vizate; sau
(c) are la bază consimțământul explicit al persoanei vizate.
(3)În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în
aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor
legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană
din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.
După cum este enunțat, există trei motive pentru acest tip de procesare care ridică
restricția.
Dacă se aplică unul dintre aceste motive, trebuie introduse măsuri de protecție
suplimentare pentru a proteja persoanele vizate. Acestea funcționează în mod similar cu
drepturile existente în temeiul Legii privind protecția datelor din 1998. GDPR vă cere să
oferiți persoanelor informații specifice despre luarea deciziei individuale automatizate,
inclusiv profilarea.
Există restricții suplimentare privind utilizarea categoriilor speciale și a datelor cu
caracter personal ale copiilor.
Automatizarea procesului decizional individual este o decizie luată prin mijloace
automate, fără implicare umană.

8
Exemple de acest tip includ:
 decizie online de acordare a unui împrumut; și
 un test de aptitudine de recrutare care utilizează algoritmi și criterii pre-
programate.
Automatizarea procesului decizional individual nu trebuie să implice profilarea, deși
deseori va face acest lucru.
GDPR definește profilarea astfel:
Art. 4 al. 4 Orice formă de prelucrare automată a datelor cu caracter personal care
constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte
personale referitoare la o persoană fizică, în special pentru a analiza sau prezice
aspecte privind performanța persoanei fizice la locul de muncă, situația economică,
sănătatea, interese, fiabilitate, comportament, locație sau mișcări.
Organizațiile obțin informații personale despre persoane dintr-o varietate de surse
diferite. Căutările pe Internet, obiceiurile de cumpărare, stilul de viață și comportamentul
colectate de pe telefoanele mobile, rețelele sociale, sistemele de supraveghere video și
Internetul obiectelor sunt exemple ale tipurilor de organizații de date pe care le-ar putea
colecta. Informațiile sunt analizate pentru a clasifica oamenii în diferite grupuri sau
sectoare, folosind algoritmi și învățarea automată. Această analiză identifică legăturile
dintre diferite comportamente și caracteristici pentru a crea profiluri pentru persoane
fizice.
Pe baza trăsăturilor altora, organizațiile folosesc profilarea pentru a:
 afla ceva despre preferințele persoanelor;
 prezice comportamentul lor; și / sau
 lua decizii.
Acest lucru poate fi foarte util pentru organizații și persoane fizice în multe sectoare,
inclusiv asistență medicală, educație, servicii financiare și marketing.
Automatizarea procesului de luare a deciziilor și a profilului individual poate duce la
decizii mai rapide și mai coerente. Dar dacă sunt folosite iresponsabil, există riscuri
semnificative pentru persoane fizice. Dispozițiile GDPR sunt concepute pentru a
răspunde acestor riscuri.
GDPR restricționează luarea deciziilor numai în mod automatizat, inclusiv cele bazate
pe profilare, care au un efect juridic sau similar semnificativ asupra persoanelor.
Art. 22 al. 1 Persoana vizată are dreptul de a nu face obiectul unei decizii bazate
exclusiv pe prelucrarea automată, inclusiv pe profil, care produce efecte juridice care îi
privesc sau o afectează în mod semnificativ în mod similar.

Pentru ca ceva să fie doar automatizat, nu trebuie să existe implicare umană în

procesul de luare a deciziilor. Restricția se referă numai la decizii individuale
automatizate care produc efecte juridice sau similare semnificative. Aceste tipuri de
efecte nu sunt definite în GDPR, însă decizia trebuie să aibă un impact negativ grav
asupra unei persoane care să fie vizată de această prevedere. Un efect juridic este ceva
care afectează negativ drepturile legale ale cuiva. În mod similar, efectele semnificative
sunt mai dificil de definit, dar ar include, de exemplu, refuzul automat al unei cereri de
credit online și practicile de recrutare electronică fără intervenția omului.
Un singur proces de luare a deciziilor individual - inclusiv profilarea – cu efecte
semnificative legale sau similare este limitat, deși această restricție poate fi ridicată în
anumite circumstanțe.

9
Puteți lua numai decizii automatizate, cu efecte juridice sau cu efecte similare, dacă
decizia este:
 necesară pentru încheierea sau executarea unui contract între o organizație și
persoana fizică;
 autorizată prin lege (de exemplu, pentru fraudă sau evaziune fiscală); sau
 pe baza consimțământului explicit al persoanei.
Dacă utilizați date personale de categorie specială, puteți efectua numai procesarea
descrisă la articolul 22 alineatul (1) dacă:
 aveți consimțământul explicit al persoanei; sau
 prelucrarea este necesară din motive de interes public considerabil.

Deoarece acest tip de procesare este considerat a fi de mare risc, GDPR vă cere să
efectuați o evaluare a impactului protecției datelor (DPIA) pentru a arăta că ați identificat
și evaluat ce reprezintă aceste riscuri și cum le veți aborda.
Pe lângă faptul că restricționați circumstanțele în care puteți efectua decizii individuale
automatizate, GDPR:
 solicită să oferiți persoanelor informații specifice despre prelucrare;
 vă obligă să luați măsuri pentru a preveni erorile, părtinirea și discriminarea; și
 conferă persoanelor dreptul de a contesta și de a solicita revizuirea deciziei.
Aceste dispoziții sunt concepute pentru a spori înțelegerea persoanelor în ceea ce
privește modul în care puteți utiliza datele lor personale.
Articolul 22 se aplică numai luării automate a deciziilor individuale, inclusiv a profilării, cu
efecte juridice sau similare semnificative.
Dacă procesarea dvs. nu se potrivește cu această definiție, puteți continua să realizați
profilări și luați decizii automate, dar trebuie să respectați în continuare principiile GDPR.

Pagin CAPI

10
 Drepturile persoanelor vizate
Extras din Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea
ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a
acestor date şi de abrogare a Directivei 95/46/CE

Secțiunea 1 Transparență și modalități

Art.12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a
drepturilor persoanei vizate
(1) Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații
menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34
referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă,
utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod
specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv,
atunci când este oportun, în format electronic. La solicitarea persoanei vizate,
informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie
dovedită prin alte mijloace.
(2) Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor
15-22. În cazurile menționate la articolul 11 alineatul (2), operatorul nu refuză să dea
curs cererii persoanei vizate de a-și exercita drepturile în conformitate cu articolele 15-
22, cu excepția cazului în care operatorul demonstrează că nu este în măsură să
identifice persoana vizată.
(3) Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma
unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel
mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni
atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor.
Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen
de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care
persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în
format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată
solicită un alt format.
(4) Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează
persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu
privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în
fața unei autorități de supraveghere și de a introduce o cale de atac judiciară.
(5) Informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și orice măsuri
luate în temeiul articolelor 15-22 și 34 sunt oferite gratuit. În cazul în care cererile din
partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din
cauza caracterului lor repetitiv, operatorul poate:
(a)fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru
furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;

11
(b)fie să refuze să dea curs cererii.
În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat
sau excesiv al cererii.
(6) Fără a aduce atingere articolului 11, în cazul în care are îndoieli întemeiate cu privire
la identitatea persoanei fizice care înaintează cererea menționată la articolele 15-21,
operatorul poate solicita furnizarea de informații suplimentare necesare pentru a
confirma identitatea persoanei vizate.
(7) Informațiile care urmează să fie furnizate persoanelor vizate în temeiul articolelor 13
și 14 pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un
mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra
prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format
electronic, acestea trebuie să poată fi citite automat.
(8) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 92 în
vederea determinării informațiilor care urmează să fie prezentate de pictograme și a
procedurilor pentru furnizarea de pictograme standardizate.

Secțiunea 2 - Informare și acces la date cu caracter personal

Art.13 Informații care se furnizează în cazul în care datele cu caracter personal
sunt colectate de la persoana vizată
(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt
colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter
personal, furnizează persoanei vizate toate informațiile următoare:
(a)identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului
acestuia;
(b)datele de contact ale responsabilului cu protecția datelor, după caz;
(c)scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic
al prelucrării;
(d)în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terță;
(e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
(f)dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o
țară terță sau o organizație internațională și existența sau absența unei decizii a
Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la articolul 46
sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanțiile
adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul
în care acestea au fost puse la dispoziție.
(2) În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu
caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele
informații suplimentare necesare pentru a asigura o prelucrare echitabilă și
transparentă:

12
(a)perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru
nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b)existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea
acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum
și a dreptului la portabilitatea datelor;
(c)atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe
articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice
moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte
de retragerea acestuia;
(d)dreptul de a depune o plângere în fața unei autorități de supraveghere;
(e)dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau
contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă
persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt
eventualele consecințe ale nerespectării acestei obligații;
(f)existența unui proces decizional automatizat incluzând crearea de profiluri, menționat
la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații
pertinente privind logica utilizată și privind importanța și consecințele preconizate ale
unei astfel de prelucrări pentru persoana vizată.
(3) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter
personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul
furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind
scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu
alineatul (2).
(4) Alineatele (1), (2) și (3) nu se aplică dacă și în măsura în care persoana vizată deține
deja informațiile respective.

Art. 14 Informații care se furnizează în cazul în care datele cu caracter personal nu

au fost obținute de la persoana vizată
(1) În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată,
operatorul furnizează persoanei vizate următoarele informații:
(a)identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului
acestuia;
(b)datele de contact ale responsabilului cu protecția datelor, după caz;
(c)scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic
al prelucrării;
(d)categoriile de date cu caracter personal vizate;
(e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
(f)dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un
destinatar dintr-o țară terță sau o organizație internațională și existența sau absența unei
decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la

13
articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la
garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora,
în cazul în care acestea au fost puse la dispoziție.
(2) Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei
vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și
transparentă în ceea ce privește persoana vizată:
(a)perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru
nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b)în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terță;
(c)existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea
acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și
a dreptului la portabilitatea datelor;
(d)atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe
articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice
moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte
de retragerea acestuia;
(e)dreptul de a depune o plângere în fața unei autorități de supraveghere;
(f)sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea
provin din surse disponibile public;
(g)existența unui proces decizional automatizat incluzând crearea de profiluri, menționat
la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații
pertinente privind logica utilizată și privind importanța și consecințele preconizate ale
unei astfel de prelucrări pentru persoana vizată.
(3) Operatorul furnizează informațiile menționate la alineatele (1) și (2):
(a)într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai
mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate
datele cu caracter personal;
(b)dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu
persoana vizată, cel târziu în momentul primei comunicări către persoana vizată
respectivă; sau
(c)dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar,
cel mai târziu la data la care acestea sunt divulgate pentru prima oară.
(4) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter
personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul
furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind
scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu
alineatul (2).
(5) Alineatele (1)-(4) nu se aplică dacă și în măsura în care:
(a)persoana vizată deține deja informațiile;

14
(b)furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi
disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în
scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva condițiilor
și a garanțiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligația
menționată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să
afecteze în mod grav realizarea obiectivelor prelucrării respective In astfel de cazuri,
operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime
ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului;
(c)obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau
de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate
pentru a proteja interesele legitime ale persoanei vizate; sau
(d)în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul
unei obligații statutare de secret profesional reglementate de dreptul Uniunii sau de
dreptul intern, inclusiv al unei obligații legale de a păstra secretul.
Art. 15 Dreptul de acces al persoanei vizate
(1) Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se
prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la
datele respective și la următoarele informații:
(a)scopurile prelucrării;
(b)categoriile de date cu caracter personal vizate;
(c)destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost
sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații
internaționale;
(d)acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele
cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a
stabili această perioadă;
(e)existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu
caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la
persoana vizată sau a dreptului de a se opune prelucrării;
(f)dreptul de a depune o plângere în fața unei autorități de supraveghere;
(g)în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată,
orice informații disponibile privind sursa acestora;
(h)existența unui proces decizional automatizat incluzând crearea de profiluri, menționat
la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații
pertinente privind logica utilizată și privind importanța și consecințele preconizate ale
unei astfel de prelucrări pentru persoana vizată.
(2) În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o
organizație internațională, persoana vizată are dreptul să fie informată cu privire la
garanțiile adecvate în temeiul articolului 46 referitoare la transfer.
(3)Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul
prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe

15
o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată
introduce cererea în format electronic și cu excepția cazului în care persoana vizată
solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod
curent.
(4) Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor
și libertăților altora.

Secțiunea 3 Rectificare și ștergere

Art. 16 Dreptul la rectificare

Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate,
rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de
scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține
completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea
unei declarații suplimentare.

Art. 17 Dreptul la ștergerea datelor („dreptul de a fi uitat”)

(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu
caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația
de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se
aplică unul dintre următoarele motive:
(a)datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor
pentru care au fost colectate sau prelucrate;
(b)persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în
conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a),
și nu există niciun alt temei juridic pentru prelucrarea;
(c)persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există
motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată
se opune prelucrării în temeiul articolului 21 alineatul (2);
(d)datele cu caracter personal au fost prelucrate ilegal;
(e)datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale
care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența
căruia se află operatorul;
(f)datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale
societății informaționale menționate la articolul 8 alineatul (1).
(2) În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat,
în temeiul alineatului (1), să le șteargă, operatorul, ținând seama de tehnologia
disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice,
pentru a informa operatorii care prelucrează datele cu caracter personal că persoana
vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele
respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

16
(3) Alineatele (1) și (2a) nu se aplică în măsura în care prelucrarea este necesară:
(a)pentru exercitarea dreptului la liberă exprimare și la informare;
(b)pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului
Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei
sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care
este învestit operatorul;
(c)din motive de interes public în domeniul sănătății publice, în conformitate cu articolul
9 alineatul (2) literele (h) și (i) și cu articolul 9 alineatul (3);
(d)în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică
ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care
dreptul menționat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în
mod grav realizarea obiectivelor prelucrării respective; sau
(e)pentru constatarea, exercitarea sau apărarea unui drept în instanță.
Art. 18 - Dreptul la restricționarea prelucrării
(1) Persoana vizată are dreptul de a obține din partea operatorului restricționarea
prelucrării în cazul în care se aplică unul din următoarele cazuri:
(a)persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite
operatorului să verifice exactitatea datelor;
(b)prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter
personal, solicitând în schimb restricționarea utilizării lor;
(c)operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar
persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în
instanță; sau
(d)persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1),
pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului
prevalează asupra celor ale persoanei vizate.
(2) În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de
date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu
consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui
drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice
sau din motive de interes public important al Uniunii sau al unui stat membru.
(3) O persoană vizată care a obținut restricționarea prelucrării în temeiul alineatului (1)
este informată de către operator înainte de ridicarea restricției de prelucrare.

Art. 19 Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter

personal sau restricționarea prelucrării
Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter
personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a
prelucrării efectuate în conformitate cu articolul 16, articolul 17 alineatul (1) și articolul
18, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune

17
eforturi disproporționate. Operatorul informează persoana vizată cu privire la destinatarii
respectivi dacă persoana vizată solicită acest lucru.

Art. 20 Dreptul la portabilitatea datelor

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și
pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care
poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără
obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal,
în cazul în care:
(a)prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a)
sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6
alineatul (1) litera (b); și
(b)prelucrarea este efectuată prin mijloace automate.
(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1),
persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la
un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere
articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea
unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu
care este învestit operatorul.
(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

Secțiunea 4 Dreptul la opoziție și procesul decizional individual automatizat

Art. 21 Dreptul la opoziție

(1) În orice moment, persoana vizată are dreptul de a se opune, din motive legate de
situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e)
sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc,
inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează
datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are
motive legitime și imperioase care justifică prelucrarea și care prevalează asupra
intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea,
exercitarea sau apărarea unui drept în instanță.
(2 Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul
direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest
scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura
în care este legată de marketingul direct respectiv.
(3) În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct,
datele cu caracter personal nu mai sunt prelucrate în acest scop.

18
(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la
alineatele (1) și (2) este adus în mod explicit în atenția persoanei vizate și este prezentat
în mod clar și separat de orice alte informații.
(5) În contextual utilizării serviciilor societății informaționale și în pofida Directivei
2002/58/CE, persoana vizată își poate exercita dreptul de a se opune prin mijloace
automate care utilizează specificații tehnice.
(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare
științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1),
persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune
prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care
prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.

Art. 22: Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe
prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care
privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
(2) Alineatul (1) nu se aplică în cazul în care decizia:
a) este necesară pentru încheierea sau executarea unui contract între persoana vizată
şi un operator de date;
b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului şi
care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor,
libertăţilor şi intereselor legitime ale persoanei vizate; sau
c) are la bază consimţământul explicit al persoanei vizate.
(3) În cazurile menţionate la alineatul (2) literele (a) şi (c), operatorul de date pune în
aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor
legitime ale persoanei vizate, cel puţin dreptul acesteia de a obţine intervenţie umană
din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia.
(4) Deciziile menţionate la alineatul (2) nu au la bază categoriile speciale de date cu
caracter personal menţionate la articolul 9 alineatul (1), cu excepţia cazului în care se
aplică articolul 9 alineatul (2) litera (a) sau (g) şi în care au fost instituite măsuri
corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale
persoanei vizate.

19
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL IV

Identificarea instrumentelor de monitorizare

a modulului în care organizația respectă
prevederile legislației privind protecția
datelor cu caracter personal, organizarea și
utilizarea acestora în cadrul organizației..

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020

RESUM Consulting S.R.L.

RC
Ploiesti, Romania
CONȚINUT TEMATIC:
 Politici și instrumente care pot fi aplicate în vederea
monitorizării modului în care organizația respectă prevederile
legislației privind protecția datelor cu caracter personal.

 Activități periodice sau ad-hoc care pot fi desfășurate pentru

verificarea modului în care sunt implementate cerințele
tehnice și organizatorice adecvate prelucrării datelor cu
caracter personal. Identificarea cazurilor în care este
necesară externalizarea activității de verificare.

 Evidența activităților de prelucrare a datelor cu caracter

personal.

1
 Pentru alinierea companiei sau organizației dvs. la GDPR, vă recomandăm să
definiți și aplicați politici de confidențialitate precum și proceduri de aplicare la nivel de
organizație și extins la terții cu care cooperați și împreună să vă asigurați că respectați
prevederile și cerințele GDPR.

Politica de Confidențialitate trebuie să descrie modul în care organizația dvs. va prelucra

datele cu caracter personal, tipurile de date cu caracter personal care vor fi colectate, în
ce scopuri vor fi utilizate acele date cu caracter personal, cui vor fi înstrăinate și opțiunile
pe care persoanele vizate le au asupra utilizării datelor de către organizație. De
asemenea, trebuie descrise măsurile pe organizația le întrevede pentru a proteja
securitatea datelor cu caracter personal și cum subiecții pot contacta DPO-ul
organizației cu privire la practicile de confidențialitate utilizate.

In documentele atașate acestui modul vă prezentăm modele de politici de protecție a

datelor:
 Exemplu de politicii de protecție a datelor
 Exemplu de politică de realizare a unei copii de siguranță a datelor

Pentru a evalua în mod eficient impactul RGPD asupra activităţii entităţii, este necesară
identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenţei
activităţilor de prelucrare.
Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter personal
efectuate și pentru a răspunde noilor exigenţe, trebuie identificate, în prealabil, cu
precizie:
 diferitele prelucrări de date cu caracter personal;
 categoriile de date cu caracter personal prelucrate;
 scopurile urmărite prin operaţiunile de prelucrare a datelor;
 persoanele care prelucrează aceste date;
 fluxurile de date, indicând originea și destinaţia datelor, în special pentru a
identifica eventualele transferuri de date în afara Uniunii Europene.

"Date cu caracter personal" înseamnă orice informație referitoare la o persoană fizică

identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este una
care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum
ar fi un nume, un număr de identificare, date despre locație, un identificator online sau
unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau
social al acelei persoane fizice ;

Definiția GDPR este clară și concisă, dar cu toate acestea, există cîteva aspecte de
clarificat referitor la acesta definiție aparent simplă.
Pe de altă parte, există câteva excepții privind datele cu caracter personal în domenii
precum sănătatea publică și cercetarea științifică, deci este important să înțelegeți
impactul GDPR pentru industria dvs.

Acesta este un argument pentru a vă pregăti în timp și pentru a înțelege cum

influențează organizarea și activitățile dvs. individuale.

2
Datele personale care au fost supuse pseudonimiei, care ar putea fi atribuite unei
persoane fizice prin utilizarea unor informații suplimentare, ar trebui considerate a fi
informații privind o persoană fizică identificabilă (GDPR).
GDPR nu acoperă date anonime. Totuși, acoperă așa-numitele date cu caracter
personal pseudonimizate , deoarece pseudonimizarea , o "tactică" adesea folosită în,
printre altele, securitatea și analiza, poate fi inversată și, spre deosebire de datele
anonime, poate fi urmărită de o persoană fizică identificabilă - persoana vizată.

Cu toate acestea, pseudonimizarea, împreună cu criptarea, este una dintre metodele pe

care GDPR le recomandă ca fiind "o măsură tehnică și organizatorică adecvată pentru a
asigura un nivel de securitate adecvat riscului".

Datele generale
În mod similar cu vechea legislație, datele cu caracter personal conform legii GDPR se
referă la orice care poate fi utilizat pentru a identifica o persoană, incluzând, dar fără a
se limita la următoarele:
 Adrese de email;
 Numele / prenumele;
 Adrese de corespondență;
 Informație financiară;
 Fotografii / videoclipuri;
 Identificatori online (adresa IP, șiruri de caractere etc.)

Datele speciale
Trebuie să aveți o bază legală pentru procesarea dvs. în conformitate cu articolul 6 din
GDPR, exact în același mod ca și pentru orice alte date cu caracter personal. Diferența
este că va trebui, de asemenea, să îndepliniți o condiție specifică în conformitate cu
articolul 9.

Acest lucru se datorează faptului că datele din categoriile speciale sunt mai sensibile și
necesită mai multă protecție. De exemplu, informații despre persoana fizică precum:
 rasă;  genetica;
 origine etnica;  biometrie;
 politică;  sănătate;
 religie;  viața sexuală; sau
 apartenența la sindicate;  orientarea sexuală.

3
Datele din categoria specială sunt date personale pe care GDPR le spune că sunt mai
sensibile și necesită o protecție mai mare.
Pentru a procesa în mod legal date speciale de categorii, trebuie să identificați atât o
bază legală în conformitate cu articolul 6, cât și o condiție separată pentru prelucrarea
datelor din categoriile speciale în conformitate cu articolul 9. Acestea nu trebuie să fie
legate.

Există zece condiții pentru prelucrarea datelor din categoriile speciale în GDPR în sine,
însă Legea privind protecția datelor va introduce condiții și garanții suplimentare.

Trebuie să determinați condiția pentru prelucrarea datelor din categoriile speciale înainte
de a începe această procesare în cadrul GDPR și ar trebui să o documentați.

Date privind istoricul judiciar

Pentru a prelucra date personale despre condamnări sau infracțiuni, trebuie să aveți atât
o bază legală în conformitate cu articolul 6, cât și o autoritate juridică sau autoritate
oficială pentru prelucrarea în conformitate cu articolul 10.

Legea privind protecția datelor se referă la acest tip de date într-un mod similar datelor
din categoriile speciale și stabilește condițiile specifice care oferă autoritate legală
pentru prelucrarea acestora.

De asemenea, puteți procesa acest tip de date dacă aveți autoritate oficială de a face
acest lucru, deoarece prelucrați datele într-o capacitate oficială. Nu puteți păstra un
registru cuprinzător al condamnărilor penale decât dacă o faceți în mod oficial.
Trebuie să vă stabiliți condiția pentru prelucrarea legală a datelor despre infracțiuni (sau
să identificați autoritatea oficială pentru procesare) înainte de a începe prelucrarea și ar
trebui să documentați acest lucru.

4
Fluxul de date cu caracter personal se referă la canalele prin care circulă datele
personale și identificarea lor vă permite să gestionați aceste informații și linii de
comunicare. În ideea minimizării datelor colectate vă recomandăm o revizuire a acestor
canale și reducerea lor dar cel mai important a datelor pe care le transmiteți și/sau
recepționați.

Cele mai abordate Canale pentru traficul datelor sunt întâlnite în

 colectarea și procesarea manuală
 colectarea și procesarea electronică
 colectarea și procesarea manuală și electronică

Având în vedere plaja foarte largă a acestui domeniu și implicațiile sale, există foarte
multe metode și canale prin care circulă și manipulăm date cu caracter personal.

Cartografierea – Maparea datelor personale

Reprezintă documentarea activităților de prelucrare și este o nouă cerință în cadrul
GDPR. Trebuie să vă asigurați că aveți o înregistrare a activităților dvs. de procesare
până la data de 25 mai 2018.

Majoritatea organizațiilor sunt obligate să țină o evidență a activităților lor de prelucrare,

care acoperă domenii precum prelucrarea datelor, partajarea și păstrarea datelor.
Documentarea activităților dvs. de procesare este importantă, nu numai pentru că ea
însăși este o cerință legală, ci și pentru că poate sprijini buna guvernanță a datelor și vă
poate ajuta să vă demonstrați conformitatea cu alte aspecte ale GDPR.
Controlorii și procesatorii au fiecare o obligație de documentare proprie.
Dacă aveți 250 sau mai mulți angajați, trebuie să documentați toate activitățile de
procesare.
Există o scutire limitată pentru organizațiile mici și mijlocii. Dacă aveți mai puțin de 250
de angajați, trebuie doar să documentați activitățile de procesare care:
 nu sunt ocazionale;
 ar putea duce la un risc pentru drepturile și libertățile persoanelor;
 implică prelucrarea unor categorii speciale de date sau date de condamnare
penală și infracțiuni.

Pentru a păstra conformitatea trebuie să documentați următoarele informații:

 numele și datele de contact ale organizației dvs. (și, dacă este cazul, ale altor
controlori, reprezentantul dvs. și ofițerul dvs. pentru protecția datelor)
 scopurile prelucrării
 descriere a categoriilor de persoane și categorii de date cu caracter personal
 categoriile de destinatari de date cu caracter personal
 detaliile privind transferurile dvs. către țări terțe, inclusiv
documentarea mecanismelor de transfer, garantează existența
 planuri de retenție
 descriere a măsurilor de securitate tehnice și organizaționale.

5
Ca parte a înregistrării activităților de procesare, poate fi utilă documentarea (sau
conectarea la documentația) a altor aspecte ale conformității cu GDPR și cu Legea
privind protecția datelor din Romania.

Această documentație ar trebui să includă:

 informațiile necesare pentru notificările privind confidențialitatea, cum ar fi:
 baza legală pentru prelucrare
 interesele legitime pentru prelucrare
 drepturile persoanelor fizice
 existența unei decizii automate, inclusiv a profilării
 sursa datelor cu caracter personal
 înregistrări de consimțământ
 contracte controlor-procesor
 localizarea datelor cu caracter personal
 rapoartele de evaluare a impactului privind protecția datelor
 înregistrări de încălcări ale datelor cu caracter personal
 informațiile necesare pentru prelucrarea datelor din categoriile speciale sau a
condamnărilor penale și a datelor privind infracțiunile în temeiul Legii privind
protecția datelor, care acoperă:
 condiția de procesare în proiectul de protecție a datelor
 baza legală pentru procesarea în GDPR
 documentul privind politica de păstrare și ștergere.

Legalitateatea- Legitimitatea Prelucrarii

Noul regulament privind protecția generală a datelor (GDPR) prevede că prelucrarea
tuturor datelor cu caracter personal ar trebui aliniată la principiile definite în regulament.

Ca parte a efortului de punere în aplicare a GDPR, este important să înțelegem aceste

principii care sunt enunțate în articolele 5-11 din textul GDPR. Deoarece aceste principii
formează baza cerințelor GDPR.

Companiile care procesează date cu caracter personal sunt de așteptat să facă acest
lucru într-un mod legal. Adică, orice prelucrare trebuie să se bazeze, conform cu GDPR,
în baza unui scop legitim.

Scopuri legitime de procesare a datelor

GDPR enumeră șase scopuri legitime, iar prelucrarea datelor cu caracter personal
trebuie să fie legată de una dintre acestea.

1.Limitarea scopului
Prelucrarea datelor cu caracter personal trebuie să se limiteze la scopul legitim pentru
care datele respective au fost colectate inițial de la persoana vizată. Aceasta interzice în
mod eficient prelucrarea datelor cu caracter personal în afara scopului legitim pentru
care au fost colectate datele cu caracter personal.

6
2.Minimizarea datelor
La colectarea datelor, pot fi solicitate numai datele cu caracter personal necesare în
acest scop. Aceasta înseamnă că nu pot fi solicitate sau stocate alte date decât cele
necesare. Acest lucru are importanță atunci când compania dvs. analizează date. Va fi
important să se limiteze analiza datelor la un set de date anonime sau la un set de date
pentru care consimțământul a fost obținut sau dacă există un scop clar de prelucrare
legitim.

3.Acuratețea
Datele cu caracter personal ale persoanelor vizate trebuie să fie întotdeauna exacte și
actualizate, ceea ce înseamnă că controlorilor li se solicită să se asigure că datele sunt
păstrate exacte, iar persoanele vizate pot să își actualizeze datele când este necesar.

4.Integritatea și confidențialitatea
Datele personale trebuie prelucrate într-un mod care să asigure o securitate adecvată,
inclusiv protecția împotriva procesării neautorizate sau ilegale. De asemenea, controlorii
trebuie să se asigure că datele nu pot fi modificate de persoane neautorizate.

5.Limitarea stocării
Datele personale trebuie păstrate numai atunci când este necesar. Așadar, datele cu
caracter personal ar trebui șterse odată ce obiectivul legitim pentru care a fost colectat a
fost îndeplinit. Acest lucru nu este simplu și trebuie stabilit în conformitate cu legile
aplicabile care pot necesita, uneori, păstrarea datelor cu caracter personal pentru o
perioadă mai lungă decât scopul inițial prevăzut de procesare.

6.Echitabilitate și transparență
GDPR solicită ca toate prelucrările de date cu caracter personal să fie corecte; adică,
companiile nu efectuează procesări care nu sunt legitime. De asemenea, societățile ar
trebui să fie transparente în ceea ce privește prelucrarea datelor cu caracter personal și
să informeze persoana vizată în mod deschis și transparent. Aceasta înseamnă că
datele cu caracter personal ar trebui procesate dacă și numai dacă există un scop
legitim pentru prelucrarea acestor date cu caracter personal. UE GDPR cere
companiilor să practice transparența, astfel încât persoanele vizate să fie suficient de
informate cu privire la prelucrarea datelor lor personale.

Pe lângă aceste principii, este de asemenea important să fi înțeles modul în care GDPR
definește drepturile persoanelor vizate și baza juridică pentru procesarea datelor.

Responsabilitate
Așteptările conform cărora firmele sunt corecte, transparente și prelucrează datele cu
caracter personal conduc, în cele din urmă, la responsabilitate, care este un cadru de
auto-disciplină între companii.

În timp ce principiul responsabilității a fost o cerință implicită în legile europene privind

protecția datelor, GDPR subliniază importanța sa prin introducerea unor dispoziții
explicite.

7
Articolul 5 alineatul (2) impune operatorului:

"... să răspundă și să poată demonstra conformitatea cu principiile referitoare la

prelucrarea datelor cu caracter personal"

Articolul 24 din GDPR solicită operatorilor de date să:

"... să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura și

pentru a demonstra că prelucrarea se efectuează în conformitate cu prezentul
regulament ".

Cele de mai sus înseamnă că responsabilitatea necesită o bună înțelegere a datelor

personale pe care le procesați și a temeiurilor legale care se aplică procesării. Acesta
nu este doar un exercițiu de verificare a organizației. Înțelegerea ar trebui să fie
sistematică și continuă, în timp ce demonstrarea conformității înseamnă că puteți dovedi
această înțelegere în orice moment.

Pentru a încorpora răspunderea în întreaga organizație, trebuie să vă asigurați că sunt

implementate următoarele trei principi:

1.Responsabilitate: Măsurile tehnice și organizatorice corespunzătoare au fost

implementate și sunt menținute proactiv, sistematic și continuu.

2.Conformitate: Măsurile tehnice și organizatorice sunt încorporate la fiecare nivel în

cadrul organizației, în cadrul fiecărui departament sau funcție care prelucrează datele cu
caracter personal.

3.Dovezi: Documentația relevantă poate fi produsă și folosită ca dovadă pentru a

demonstra conformitatea în orice moment. Respectarea trebuie să fie demonstrată
autorității de protecție a datelor și părților interesate (clienți, angajați, furnizori,
colaboratori, etc.).

Elementul cheie de asumare a responsabilității și a conformității

Gestionarea datelor, în ceea ce privește GDPR și principiul responsabilității, depășește

cu mult necesitatea de a numi un responsabil de protecție a datelor (DPO) care să fie
responsabil pentru programul de confidențialitate la nivel de întreprindere. Acesta
cuprinde persoanele, procesele și tehnologia informației care asigură că datele
importante (datele personale fiind una dintre ele) sunt gestionate foarte bine în întreaga
întreprindere și se iau decizii clare.

Pentru a permite afacerii să obțină datele relevante și corecte, este important să se

realizeze un proces de încărcare și transformare a datelor uniform și transversal aliniat.

8
Principiul responsabilității presupune că puteți demonstra că respectați GDPR și că aveți
politici și procese adecvate. Aceasta înseamnă că trebuie să puteți demonstra că ați luat
în considerare în mod corect baza legală care se aplică fiecărui scop de procesare și
care vă poate justifica decizia.

Prin urmare, trebuie să păstrați o evidență a bazei pe care vă bazați pentru fiecare scop
de procesare și o justificare a motivelor pentru care credeți că se aplică. Nu există un
formular standard pentru acest lucru, atâta timp cât vă asigurați că ceea ce înregistrați
este suficient pentru a demonstra că se aplică o bază legală.

Acest lucru vă va ajuta să respectați obligațiile de responsabilitate și vă va ajuta, de

asemenea, la scrierea anunțurilor dvs. privind confidențialitatea.

Este responsabilitatea dvs. să vă asigurați că puteți demonstra care este temeiul legal
care se aplică scopului special de procesare.

Trebuie să includeți în avizul dvs. de confidențialitate informații despre baza dvs. legală
(sau baze, dacă se aplică mai multe). În conformitate cu prevederile privind transparența
GDPR, informațiile de care aveți nevoie pentru a oferi oamenilor includ:
 scopurile propuse pentru prelucrarea datelor cu caracter personal;
 baza legală pentru prelucrare.

Acest lucru se aplică dacă colectați datele personale direct de la persoana respectivă
sau colectați datele dvs. dintr-o altă sursă.

Gestiunea datelor cu caracter personal presupune implementarea următoarelor

elemente și măsuri organizatorice:

9
1. Înțelegerea comună a datelor pe care organizația le deține. Aceasta necesită
implementarea:
a. un model de date la nivel de organizație și un glosar de termeni afaceri -
aceste două elemente ajută organizația dumneavoastră să creeze o viziune
comună asupra datelor, ceea ce înseamnă că toți angajații din cadrul
organizației pot discuta despre aceleași concepte și pot folosi aceeași
terminologie pentru a descrie aceste concepte. Acest lucru va reduce în cele
din urmă ineficiențele care rezultă din mai multe medii instituționale sau de
afaceri care manipulează aceleași date.
b. clasificarea informațiilor - în funcție de riscul asociat informațiilor, trebuie luate
măsuri de control adecvate. Clasificarea informațiilor poate fi structurată în
jurul standardelor ISO care identifică trei dimensiuni distincte ale
confidențialității, integrității și disponibilității și ale evaluării pentru risc a
organizației dumneavoastră.

2. Un plan de control asupra datelor și un plan de acțiuni de remediere, dacă este

necesar - în timp ce creați planul de control, rețineți că, pe de o parte, planul de
control trebuie să prezinte dovezi de conformitate, iar pe de altă parte, numărul de
controale posibile, astfel încât să nu se adauge goluri proceselor existente. Utilizați o
abordare bazată pe risc ca și îndrumare.

3. Controlul de proprietate asupra datelor se realizează prin Implementarea și atribuirea

de roluri și asigurarea faptului că proprietarii de date își pot exercita atribuțiile și
cadrul normativ de sprijin al politicilor, standardelor, procedurilor și /sau liniilor
directoare.
a. Politicile și procedurile bine definite vă vor ajuta să stabiliți reguli de bază
pentru guvernanța datelor și să vă asigurați că rezultatul va fi realizat într-un
mod coerent și eficient.

10
GDPR introduce o obligație pentru toate organizațiile de a raporta anumite tipuri de
încălcări ale datelor cu caracter personal către autoritatea de supraveghere competentă.
Trebuie să faceți acest lucru în termen de 72 de ore de la conștientizarea încălcării,
acolo unde este posibil.

Dacă încălcarea este susceptibilă să ducă la un risc ridicat de a afecta drepturile și

libertățile persoanelor, trebuie să le informați și pe acei indivizi fără întârzieri
nejustificate.

Ar trebui să vă asigurați că aveți proceduri robuste de detectare, investigație și raportare

internă. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării sau nu
a autorității de supraveghere relevante și a persoanelor afectate.

De asemenea, trebuie să păstrați o evidență a oricăror încălcări ale datelor cu caracter

personal, indiferent dacă vi se cere să notificați.

După cum am specificat mai sus, GDPR cere ca, în caz de încălcare, operatorul să
notifice încălcarea fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72
de ore după ce a luat cunoștință de aceasta.

Acest lucru poate ridica problema când un controlor poate fi considerat a fi "conștient"
de o încălcare. WP29 consideră că un controlor ar trebui considerat ca fiind "conștient"
atunci când operatorul respectiv are un grad rezonabil de certitudine că sa produs un
incident de securitate care a dus la compromiterea datelor cu caracter personal.

Cu toate acestea, după cum sa indicat anterior, GDPR cere operatorului să pună în
aplicare toate măsurile tehnice și de protecție necesare pentru a stabili imediat dacă a
avut loc o încălcare și pentru a informa imediat autoritatea de supraveghere și
persoanele vizate. De asemenea, se precizează faptul că notificarea a fost efectuată
fără întârzieri nejustificate, luând în considerare, în special, natura și gravitatea
încălcării, precum și consecințele acesteia și efectele negative asupra persoanei vizate.

Acest lucru impune operatorului obligația de a se asigura că va fi "conștient" de orice

încălcare în timp util, astfel încât să poată lua măsurile corespunzătoare.

Atunci când un controler poate fi considerat "conștient" de o anumită încălcare va

depinde de circumstanțele încălcării specifice. În unele cazuri, va fi relativ clar încă de
la început că a existat o încălcare, în timp ce în altele, poate dura ceva timp pentru a
stabili dacă datele cu caracter personal au fost compromise.

Cu toate acestea, accentul ar trebui să fie pus pe acțiunea promptă de investigare a

unui incident pentru a determina dacă datele cu caracter personal au fost într-adevăr
încălcate și, dacă da, să ia măsuri de remediere și să notifice dacă este necesar.

11
Exemple

1. În cazul pierderii unei chei USB cu date cu caracter personal necriptate, adesea nu
este posibil să se verifice dacă persoanele neautorizate au avut acces la aceste
date. Cu toate acestea, chiar dacă operatorul nu poate stabili dacă a avut loc o
încălcare a confidențialității, un astfel de caz trebuie notificat, deoarece există un
grad rezonabil de certitudine că sa produs o încălcare a disponibilității; controlerul ar
deveni "conștient" când a realizat că tasta USB a fost pierdută.

2. O terță parte informează un controlor că a primit în mod accidental datele personale

ale unuia dintre clienții săi și oferă dovezi privind divulgarea neautorizată. Întrucât
controlorul a fost prezentat cu dovezi clare despre o încălcare a confidențialității,
atunci nu există nici o îndoială că acesta a devenit "conștient".

3. Un controler detectează că a existat o posibilă intruziune în rețeaua sa. Controlorul

își controlează sistemele pentru a stabili dacă datele cu caracter personal deținute în
acest sistem au fost compromise și confirmă acest lucru. Încă o dată, întrucât
controlorul are acum dovezi clare despre o încălcare, nu poate exista nici o îndoială
că a devenit "conștient".

4. Un infractor cibernetic intră în contact cu controlorul după ce a spart sistemul său

pentru a cere o răscumpărare. În acest caz, după verificarea sistemului pentru a
confirma că acesta a fost atacat, controlorul are dovezi clare că a avut loc o
încălcare și că nu există nicio îndoială că a devenit conștientă.

După ce a fost informat prima dată despre o posibilă încălcare de către o persoană
fizică, o organizație media sau altă sursă sau când ea însăși a detectat un incident de
securitate, operatorul poate întreprinde o scurtă perioadă de investigație pentru a stabili
dacă o încălcare a avut sau nu a avut loc un fapt. În această perioadă de investigație,
operatorul nu poate fi considerat "conștient". Cu toate acestea, este de așteptat ca
investigația inițială să înceapă cât mai curând posibil și să stabilească cu un grad
rezonabil de certitudine dacă a avut loc o încălcare; o investigație mai detaliată poate
urma.

Odată ce controlorul a devenit conștient, o încălcare notificabilă trebuie notificată fără

întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72 de ore. În această
perioadă, controlorul ar trebui să evalueze riscul potențial pentru persoane fizice pentru
a determina dacă a fost declanșată obligația de notificare, precum și acțiunea (acțiunile)
necesară pentru a soluționa încălcarea.

Cu toate acestea, un controlor poate avea deja o evaluare inițială a riscului potențial
care ar putea rezulta dintr-o încălcare în cadrul unei evaluări a impactului privind
protecția datelor (DPIA), efectuată înainte de efectuarea operațiunii de prelucrare în
cauză. Cu toate acestea, DPIA poate fi mai generalizată în comparație cu
circumstanțele specifice ale oricărei încălcări efective și, în orice caz, va trebui făcută o
evaluare suplimentară ținând cont de aceste circumstanțe.

12
În majoritatea cazurilor, aceste acțiuni preliminare trebuie finalizate imediat după
alertarea inițială (adică când controlorul sau procesatorul suspectează că a avut loc un
incident de securitate care ar putea implica date cu caracter personal) - ar trebui să
dureze mai mult decât în cazuri excepționale.

Exemplu

O persoană informează controlorul că a primit un e-mail care îi reprezintă pe operator

care conține date cu caracter personal referitoare la utilizarea lui (efectivă) a serviciului
operatorului, sugerând că securitatea controlorului a fost compromisă. Controlorul
efectuează o scurtă perioadă de investigație și identifică o intrare în rețeaua sa și
dovada accesului neautorizat la datele cu caracter personal. Operatorul ar fi acum
considerat "conștient" și este necesară notificarea autorității de supraveghere, cu
excepția cazului în care este puțin probabil ca acest lucru să prezinte un risc pentru
drepturile și libertățile persoanelor.

Operatorul va trebui să ia măsurile corective adecvate pentru remedierea nerespectării.

Prin urmare, controlorul ar trebui să dispună de procese interne pentru a detecta și a

remedia o încălcare. De exemplu, pentru a găsi unele nereguli în prelucrarea datelor,
controlorul sau procesorul pot utiliza anumite măsuri tehnice, cum ar fi fluxul de date și
analizatorii de jurnal, din care este posibilă definirea evenimentelor și a alertelor prin
corelarea datelor din jurnale. Este important ca, atunci când se constată o încălcare, se
raportează în sus la nivelul corespunzător de gestionare, astfel încât aceasta să poată fi
abordată și, dacă este necesar, notificată în conformitate cu articolul 33 și, dacă este
necesar, cu articolul 34. Astfel de măsuri și mecanisme de raportare ar putea fi detaliate
în planurile de răspuns ale operatorului și / sau aranjamentele de guvernanță. Acestea
vor ajuta controlorul să planifice în mod eficace și să determine cine are
responsabilitatea operațională în cadrul organizației pentru gestionarea unei încălcări și
cum sau dacă să escaladeze un incident, după caz.

Operatorul ar trebui să aibă, de asemenea, aranjamente cu orice procesor care

utilizează controlerul, care au ele însele obligația de a notifica operatorul în cazul unei
încălcări.

Deși este responsabilitatea controlorilor și a prelucrătorilor de a pune în aplicare măsuri

adecvate pentru a preveni, a reacționa și a soluționa o încălcare, există unele măsuri
practice care ar trebui luate în toate cazurile.

 Informațiile referitoare la toate evenimentele legate de securitate ar trebui să fie

îndreptate către o persoană responsabilă sau către persoane responsabile cu
abordarea incidentelor, stabilirea existenței unei încălcări și evaluarea riscului.
 Trebuie evaluat riscul pentru persoane ca urmare a unei încălcări (riscul de risc,
riscul sau riscul înalt), la care se informează secțiile relevante ale organizației.
 Dacă este necesar, trebuie să se facă notificarea autorității de supraveghere și,
eventual, comunicarea încălcării persoanelor afectate.

13
  În același timp, controlorul ar trebui să acționeze pentru a conține și recupera
încălcarea.
 Documentarea încălcării ar trebui să aibă loc pe măsură ce se dezvoltă.

În conținutul său, GDPR stabilește modalități diferite de a demonstra conformitatea la

acest regulament, dintre care amintim:

 Implementarea proceselor de protecție a datelor – în acest caz documentația

oficială poate fi furnizată ca dovadă.
 Menținerea și implementarea măsurilor organizatorice, cum ar fi politicile și
procedurile. Un jurnal de control poate servi drept dovadă.
 Implementarea unei scheme organizatorice cu roluri și responsabilități descrise.
Un jurnal de control poate fi o dovadă a unei implementări eficiente.
 Nu în ultimul rând, se recomandă o Evaluare a impactului privind protecția datelor
(DPIA). Așa cum se arată în proiectul de orientări privind DPIA din articolul
WP29: "DPIA sunt instrumente importante pentru responsabilitate, deoarece
acestea ajută controlorii nu numai să respecte cerințele GDPR, dar și să
demonstreze că au fost luate măsurile corespunzătoare pentru a asigura
conformitatea cu regulamentul. Cu alte cuvinte, o DPIA este un proces de
construire și demonstrare a conformității. "
 Cartografierea datelor - documentarea activităților dvs. de procesare este
importantă, nu numai pentru că ea însăși este o cerință legală, ci și pentru că
poate sprijini buna guvernanță a datelor și vă poate ajuta să vă demonstrați
conformitatea cu alte aspecte ale GDPR.

Conform specificațiilor GDPR Art. 35 (7), Evaluarea de impact asupra datelor personale
trebuie să acopere cel puțin următoarele aspecte:
 descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor
prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
 evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu
aceste scopuri;
 evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate
la alineatul (1); și măsurile preconizate în vederea abordării riscurilor, inclusiv
garanțiile, măsurile de securitate și mecanismele menite să asigure protecția
datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile
prezentului regulament

14
În concluzie, cerințele UE privind GDPR se bazează pe principii. Aceste principii se
concentrează în jurul conceptelor de responsabilitate, iar prelucrarea este legală,
corectă și transparentă.

De asemenea, trebuie să se acorde atenție scopului și limitărilor de stocare atunci când

se ia în considerare minimizarea datelor. Și integritatea și confidențialitatea datelor cu
caracter personal trebuie să fie menținute întotdeauna, păstrând totodată datele corecte
și actualizate în orice moment

Evidența activităților de procesare poate fi ţinută prin realizarea unui exercițiu de audit
de informații sau de cartografiere a datelor. Această activitate vă poate ajuta să aflați ce
date personale deține organizația dvs. și unde sunt localizate.

Veți deține răspunsurile la următoarele întrebări: de ce se utilizează datele cu caracter

personal, cu cine sunt partajate și cât timp sunt păstrate prin distribuirea chestionarelor
în domenii relevante ale organizației dvs., prin întâlnirea directă cu funcțiile cheie ale
afacerii și revizuirea politicilor, procedurilor, contractelor și acordurilor.

Când documentați constatările, înregistrările pe care le păstrați trebuie să fie în scris.

Informațiile trebuie să fie documentate într-un mod granular și semnificativ.

Veţi avea la dispoziţie șabloane de bază pentru a vă ajuta să vă documentați activitățile

de procesare.

Anexate la documentele atașate prezentului veți regăsi modele de cartografiere și

documentare a operațiunilor de Colectare/Prelucrare/Procesare a datelor personale, pe
care va trebui să le personalizați și adaptați necesităților organizației dvs.

15
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL
MODULUL V

Sfera activităților aferente asistenței de

specialitate acordate de responsabilul cu
protecția datelor cu caracter personal.
Elaborarea planului de lucru al
responsabilului cu protecția datelor cu
caracter personal

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020

RESUM Consulting S.R.L.

RC
Ploiesti, Romania
CONȚINUT TEMATIC:
 Evaluarea impactului asupra protecției datelor.
 Asigurarea protecției datelor începând cu momentul
conceperii și în mod implicit (conceptul de data protection by
design and by default)
 Transferul de date cu caracter personal – regim juridic
aplicabil, drepturi și obligații în funcție de natura
destinatarului (inclusiv transferul către țări terțe).
 Conceptul de securitate al prelucrării datelor cu caracter
personal. Încălcarea securității datelor cu caracter personal.
 Răspunderea și sancțiunile aplicabile în cazul nerespectării
legislației în domeniul protecției datelor cu caracter personal.

1
 Evaluarea impactului asupra protecției datelor
DPIA (DATA PROTECTION IMPACT ASSESSMENT)

Regulamentul 2016/6791 (RGPD) a devenit aplicabil începând cu data de 25 mai

2018. Art. 35 din RGPD introduce conceptul de Evaluarea impactului asupra protecției
datelor (DPIA2), așa cum prevede și Directiva 2016/6803.
DPIA (DATA PROTECTION IMPACT ASSESSMENT) este un process destinat
să descrie prelucrarea, să evalueze necesitatea și proporționalitatea acesteia și să
contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate
rezultate din prelucrarea datelor cu caracter personal, prin evaluarea acestora și
stabilirea de măsuri pentru atenuarea lor.
RGPD nu definește în mod formal conceptual de DPIA ca atare, dar
- este specificat conținutul său minim în art. 35 (7), după cum urmează:
 o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor
prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
 o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură
cu aceste scopuri;
 o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate
la alin. (1); și
 măsurile preconizate în vedere abordării riscurilor, inclusiv garanțiile, măsurile de
securitate și mecanismele menite să asigure protecția datelor cu caracter
personal și să demonstreze conformitatea cu dispozițiile prezentului Regulament,
luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale
altor persoane interesate;
- semnificația și rolul său sunt clarificate în Considerentul 84, după cum urmează:
„Pentru a favoriza respectarea dispozițiilor prezentului Regulament în cazurile în care
operațiunile de prelucrare sunt susceptibile să genereze un risc ridicat pentru drepturile
și libertățile persoanelor fizice, operatorul ar trebui să fie responsabil de efectuarea unei
evaluări a impactului asupra protecției datelor care să evalueze, în special, originea,
natura, specificitatea și gravitatea acestui risc.”.
DPIA reprezintă un instrument important pentru responsabilizare deoarece
ajută operatorii de date nu numai să respecte cerințele RGPD, ci și să demonstreze că
au fost luate măsuri adecvate pentru a asigura conformitatea cu Regulamentul (a se
vedea de asemenea și Art. 24).
A se vedea de asemenea Considerentul 84: „Rezultatul evaluării ar trebui luat în
considerare la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că
prelucrarea datelor cu caracter personal respectă prezentul Regulament”.
Cu alte cuvinte, DPIA reprezintă un proces pentru construirea și demonstrarea
conformității.
Potrivit RGPD, nerespectarea cerințelor DPIA poate conduce la aplicarea de
amenzi de către autoritatea de supraveghere. Nerealizarea unei DPIA atunci când
prelucrarea face obiectul unei DPIA (art. 35 (1) și (3) - (4)), realizarea unei DPIA într-un
mod incorect (art. 35 (2) și (7) – (9)) sau dacă nu se consultă cu autoritatea de
supraveghere competentă, dacă este cazul (art. 36 (3) litera (e)), poate conduce la o

2
amendă administrativă de până la 10 milioane EUR sau, în cazul unei întreprinderi,
până la 2% din cifra de afaceri
globală anuală, oricare dintre acestea este mai mare.

În conformitate cu abordarea bazată pe risc, implementată de RGPD, realizarea

unei DPIA nu este obligatorie pentru fiecare operațiune de prelucrare. DPIA este
necesară numai atunci când prelucrarea este „susceptibilă să genereze un risc
ridicat pentru drepturile și libertățile persoanelor fizice” (art. 35 (1)).
Pentru a asigura o interpretare consecventă a circumstanțelor în care o DPIA este
obligatorie (art. 35 (3)), prezentul material vizează, clarificarea acestei noțiuni și
furnizarea de criterii pentru listele care urmează să fie adoptate de autoritățile de
protecție a datelor (DPA) în temeiul art. 35 (4).

RGPD cere operatorilor să implementeze măsuri adecvate pentru a asigura și

demonstra conformitatea cu RGPD, luând în considerare, printre altele, „riscurile de
variație a probabilității și gravității asupra drepturilor și libertăților persoanelor fizice” (art.
24(1)). Obligația operatorilor de a realiza DPIA în anumite situații ar trebui înțeleasă în
contextul obligației lor generale de a gestiona în mod corespunzător riscurile prezentate
de prelucrarea datelor cu caracter personal.

Un „risc” reprezintă un scenariu care descrie un eveniment și consecințele

acestuia, estimat în termeni de severitate și probabilitate. Pe de altă parte,
„managementul riscului” poate fi definit ca fiind activitățile coordonate pentru a conduce
și controla o organizație cu privire la un risc.
Art. 35 se referă la un risc probabil ridicat „pentru drepturile și libertățile persoanelor”.
Așa cum se menționează și în Declarația Grupului de Lucru Articolul 29 privind rolul unei
abordări bazate pe riscuri în ceea ce privește cadrul juridic privind protecția datelor,
trimiterea la „drepturile și libertățile” persoanelor vizate se referă în primul rând la
drepturile la protecția date lor și a vieții private, dar poate implica și alte drepturi
fundamentale precum libertatea de exprimare, libertatea de gândire, libertatea de
mișcare, interzicerea discriminării, dreptul la libertate, conștiință și religie.

3
 În conformitatea cu abordarea bazată pe risc implementată de RGPD, realizarea
unei DPIA nu este obligatorie pentru fiecare operațiune de prelucrare. În schimb, DPIA
este necesară numai în cazul în care un tip de prelucrare „ar putea duce la un risc ridicat
pentru drepturile și libertățile persoanelor fizice”. Simplul fapt că condițiile care
declanșează obligația de a realiza DPIA nu au fost îndeplinite nu diminuează, însă,
obligația generală a operatorilor de a implementa măsuri corespunzătoare pentru
gestionarea adecvată a riscurilor asupra drepturilor și libertăților persoanelor vizate. În
practică, acest lucru înseamnă că operatorii trebuie să evalueze în mod continuu
riscurile create de activităților lor de prelucrare pentru a identifica monentul în care un tip
de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor
fizice”.
Figura următoare ilustrează principiile de bază referitoare la DPIA din RGPD:

A. Cui se aplică DPIA? Unei singure operațiuni de prelucrare sau unui set de
operațiuni similare de prelucrare
DPIA se poate referi doar la o singură operațiune de prelucrare. Cu toate acestea, art.
35 (1) menționează că „o evaluare unică poate aborda un set de operațiuni de
prelucrare similare care prezintă riscuri ridicată similare”. Considerentul 92 adaugă
faptul că „există situații ar putea fi rezonabil și util din punct de vedere economic ca o
evaluare a impactului asupra protecției datelor să aibă o perspectivă mai extinsă decât
cea a unui singur proiect, de exemplu în cazul în care autorități sau organisme publice

4
intenționează să instituie o aplicație sau o platformă de prelucrare comună sau în cazul
în care mai mulți operatori preconizează să introducă o aplicație comună sau un mediu
de prelucrare comun în cadrul unui sector sau segment industrial sau pentru o activitate
orizontată utilizată la scară largă”. O singură DPIA poate fi folosită pentru a evalua
multiple operațiuni de prelucrare similare în ceea ce privește natura, obiectivul, contextul,
scopul și riscurile. Într-adevăr, DPIA urmărește să studieze în mod sistematic situații noi
care ar putea conduce la riscuri ridicate pentru drepturile și libertățile persoanelor fizice
și nu este necesară realizarea unei DPIA în cazurile (adică operațiunile de prelucrare
efecutate într-un context specific și pentru un anumit scop) care au fost deja studiate.
Acest lucru ar putea fi situația în care se utilizează o tehnologie similară pentru a colecta
același tip de date în aceleași scopuri.

De exemplu, un grup de autorități municipale care instituie fiecare un sistem CCTV

similar ar putea realiza o singură DPIA care să acopere prelucrarea efectuată de acești
operatori separați sau un operator feroviar (un singur operator) ar putea acoperi
supravegherea video în toate stațiile sale de cale ferată cu o singură DPIA. Acest lucru
poate fi, de asemenea, aplicabil operațiunilor de prelucrare similare implementate de
diverși operatori de date.

În aceste situații, o DPIA de referință ar trebui împărțită sau pusă la dispoziția publicului,
măsurile descrise în DPIA trebuie puse în aplicare și trebuie furnizată o justificare pentru
realizarea unei DPIA unice. În situația în care operațiunea de prelucrare implică
operatori asociații, aceștia trebuie să-și definească exact obligațiile. DPIA trebuie să
stabilească partea responsabilă pentru diferitele măsuri destinate să trateze riscurile și
să protejeze drepturile și libertățile pesoanelor vizate. Fiecare operator de date ar trebui
să-și exprime nevoile și să împărtășească informații utile fără a compromite secretele
(spre exemplu: protecția secretelor comerciale, a proprietății intelectuale, a informațiilor
comerciale) sau a dezvălui vulnerabilități.
O DPIA poate fi, de asemenea, utilă pentru evaluarea impactului asupra protecției
datelor a unui produs tehnologic, de exemplu un hardware sau software, în cazul în care
acest lucru este probabil să fie utilizat de diferiți operatori de date pentru a efectua
diferite operațiuni de prelucrare. Bineînțeles, operatorul de date care utilizează produsul
rămâne obligat să-și îndeplinească propria DPIA în ceea ce privește implementarea

5
specifică, dar acesta poate fi informat în legătură cu o DPIA pregătită de furnizorul de
produse, dacă este cazul. Un exemplu ar putea fi relația dintre producătorii de contoare
inteligente și companiile de utilități. Fiecare furnizor sau procesator de produs ar trebui
să împărtășească informații utile fără a compromite vreun secret și fără a aduce riscuri
de securitate prin divulgarea vulnerabilităților.
B. Care operațiuni de prelucrare fac obiectul unei DPIA? În afară de excepții,
situațiile care sunt „susceptibile să genereze un risc ridicat”
Prezenta secțiune descrie când este și când nu este necesară realizarea unei DPIA.
Cu excepția cazului în care operațiunea de prelucrare se încadrează într-o excepție
(III.B.a), trebuie să se efectueze o DPIA în cazul în care o operațiune de prelucrare este
„susceptibilă să genereze un risc ridicat” (III.B.b).
a) Când este obligatorie DPIA?
Când prelucrarea este „susceptibilă să genereze un risc ridicat”.
GDPR nu impune efectuarea unei DPIA pentru fiecare operațiune de prelucrare care
poate conduce la riscuri pentru drepturile și libertățile persoanelor fizice. Executarea
unei DPIA este obligatorie numai atunci când prelucrarea este „susceptibilă să genereze
un risc ridicat pentru drepturile și libertățile persoanelor fizice” (art. 35 (1), ilustrat de art.
35 (3) și completat de art. 35 (4)). Este deosebit de relevant atunci când se introduce o
nouă tehnologie de prelucrare a datelor.
În situațiile în care nu este clar dacă DPIA este obligatorie, se recomandă, totuși,
efectuarea unei DPIA ca un instrument util pentru a ajuta operatorii de date să respecte
legea privind protecția datelor.
Chiar dacă DPIA ar putea fi solicitată în alte circumstanțe, art. 35 (3) oferă câteva
exemple atunci când o operațiune de prelucrare este „susceptibilă să genereze riscuri
ridicate”:
- „(a) evaluare sistematică și cuprinzătoare a aspectelor persoanle referitoare la
persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri,
și care stă la baza unor decizii care produc efecte juridice privind peroana fizică sau
care o afectează în mod similar într-o măsură semnificativă;
- (b) prelucrarea pe scară largă a unor categorii speciale de date, menționată la art. 9 (1)
sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționat
la art. 10; sau
- (c) monitorizare sistematică pe cară largă a unei zone accesibilte publicului”.
După cum indică expresia „în special” din teza introductivă a art. 35 (3) din RGPD,
aceasta este o listă neexhaustivă. Pot exista operațiuni de prelucrare „cu risc ridicat”
care nu sunt cuprinse în această listă, dar prezintă totuși riscuri la fel de mari. Aceste
operațiuni de prelucrare ar trebui, de asemenea, să facă obiectul DPIA. Din acest motiv,
criteriile prezentate mai jos depășesc uneori o explicație simplă a ceea ce ar trebui
înțeles prin cele trei exemple menționate la art. 35 (3) din RGPD.
Pentru a oferi un set mai precis de operațiuni de prelucrare care necesită o DPIA
datorită riscului ridicat inerent, ținând seama de elementele speciale ale art. 35 (1) și
ale art. 35 (3) a)-c), la adoptarea la nivel național a listei în conformitate cu art. 35 (4) și
Considerentele 71, 75 și 91 și alte referințe RGPD la operațiunile de prelucrare
„susceptibile să conducă la un risc ridicat” trebuie luate în considerare următoarele
nouă criterii.
1. Evaluarea sau scoring, inclusiv profilarea și preconizarea, în special din „aspecte
privind performanța persoanei vizate la locul de muncă, situația economică, starea de

6
sănătatea, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația
sau deplasările” (Considerentele 71 și 91). Astfel de exemple ar putea include o instituție
financiară care își monitorizează clienții printr-o bază de date de tip credit sau printr-o
bază de date destinată spălării banilor sau combaterea finanțării terorismului sau a unei
baze de date împotriva fraudei sau a unei companii de biotehnologie care oferă teste
genetice direct consumatorilor pentru a evalua și prezice riscurile pentru boală/sănătate
sau pentru a crea un profil de comportabment sau de marketing bazat pe utilizarea sau
navigarea pe site-ul său web.
2. Proces decizional automatizat cu efecte legale sau similare semnificative:
prelucrare care vizează luarea deciziilor asupra persoanelor vizate care produc „efecte
juridice privind prsoana fizică” sau care „o afectează în mod similar într-o măsură
semnificativă” (art. 35 (3) a)). Spre exemplu, prelucrarea poate conduce la excluderea
sau discriminarea persoanelor. Prelucrarea cu efect redus sau fără efect asupra
persoanelor nu corespunde acestui criteriu specific.
3. Monitorizare sistematică: prelucrare folosită pentru a observa, monitoriza sau
controla persoanele vizate, incluzând colectarea de data prin rețele sau „monitorizarea
sistematică a unei zone accesibile publicului” (art. 35 (3) c)). Acest tip de monitorizare
reprezintă un criteriu deoarece datele cu caracter personal pot fi colectate în situații în
care persoanele vizate pot să nu fie conștiente de cine colectează datele și modul în
care acestea vor fi utilizate. În plus, poate fi imposibil ca persoanele să nu fie supuse
unei astfel de prelucrării în spațiul (sau zonele publice) accesibile publicului.
4. Date sensibile sau date de natură foarte personală: acestea includ categorii
speciale de date cu caracter personal așa cum sunt definite în art. 9 (spre exemplu
informații privind opiniile politice al persoanelor fizice), precum și date cu caracter
personal privind condamnările penale sau infracțuni așa cum sunt definite în art. 10.
Un exemplu ar fi un spital general care păstrează dosarele medicale ale pacienților sau
un anchetator privat care păstrează detaliile infractorilor.
Dincolo de aceste prevederi ale RGPD, anumite categorii de date pot fi considerate că
ar crește riscul posibil pentru drepturile și libertățile persoanelor. Aceste date cu caracter
personal sunt considerate ca fiind date sensibile (deoarece acest termen este înțeles în
mod obișnuit) deoarece sunt legate de activitățile casnice și private (cum ar fi
comunicațiile electronice a căror confidențialitate ar trebui protejată) sau deoarece
respectivele date influențează exercitarea unui drept fundamental (cum ar fi datele de
localizare a căror colectare pune la îndoială libertatea de mișcare) sau pentru că
încălcarea lor implică în mod clar efecte grave asupra vieții de zi cu zi a persoanei vizate
(cum ar fi datele financiare care ar pute fi folosite pentru fraudarea plăților). În acest
sens, ar putea fi relevant dacă datele au fost deja puse la dispoziția publicului de către
persoana vizată sau de terți. Faptul că datele cu caracter personal sunt disponible în
mod public poate fi considerat un factor în evaluarea dacă datele se preconizează a fi
utilizate în continuare în anumite scopuri. Acest criteriu poate include, de asemenea,
date cum ar fi documentele personale, e-mailurile, jurnalele, notele de la cititorii
electronici echipate cu funcții de notare și informații foarte personale conținute în
aplicațiile de log.
5. Date prelucrate pe scară largă: RGPD nu definește ce înseamnă scară largă, însă
Considerentul 91 oferă anumite linii directoare. În orice caz, se recomandă luarea în
considerare, în special, a următorilor factori pentru a se determina dacă o prelucrare
este efectuată pe scară largă:

7
a. numărul persoanelor vizate, ori un număr exact ori un procent din populația relevantă;
b. volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
c. durata sau permanența activității de prelucrare a datelor;
d. suprafața geografică a activității de prelucrare.
6. Potrivirea sau combinarea seturilor de date, spre exemplu, provenind de la două
sau mai multe operațiuni de prelucrare a datelor efectuate în scopuri diferite și/sau de
diverși operatori de date într-un mod care ar depăși așteptările rezonabile ale persoanei
vizate.
7. Date privind persoanele vizate vulnerabile (Considerentul 75): prelucrarea acestui
tip de date esteun criteriu din cauza dezechilibrului de putere crescut între persoanele
vizate și operatorul de date, ceea ce înseamnă că persoanele ar putea să nu fie în stare
să își dea cu ușurință consimțământul sau să se opună prelucrării datelor lor sau să își
exercite drepturile. Persoanele vizate vulnerabile pot include copiii (pot fi considerați
incapabili să se opună sau să consimtă sau să se opună în mod deliberat la prelucrarea
datelor lor), angajați, segmente mai vulnerabile ale populației care necesită protecție
specială (persoane bolnave, solicitanți de azil sau vârstnici, pacienți etc.) și, în orice caz,
poate fi identificat un dezechilibru în relația dintre poziția persoanei vizate și operator.
Utilizare inovatoare sau implementarea unor noi soluții tehnologice sau organizaționale
cum ar fi combinarea utilizării amprentei digitale cu recunoașterea facială pentru
îmbunătățirea controlului accesului fizic etc. RGPD clarifică (art. 35 (1) și Considerentele
89 și 91) faptul că utilizarea unei noi tehnologii, definită în „conformitate cu nivelul atins
al cunoștințelor tehnologice” (Considerentul 91), poate declanșa necesitatea realizării
unei DPIA. Acest lucru se datorează faptului că utilizarea unei astfel de tehnologii poate
implica noi forme de colectare și utilizarea a datelor, eventual cu un risc ridicat pentru
drepturile și libertățile persoanelor fizice. Într-adevăr, consecințele personale și sociale
ale desfășurării unei noi tehnologii pot fi necunoscute. O DPIA va ajuta operatorul să
înțeleagă și să abordeze astfel de riscuri. Spre exemplu, anumite aplicații „Internet of
Things” ar putea avea un impact semnificativ asupra vieții cotidinene și a vieții private a
persoanelor fizice; și, prin urmare, necesită o DPIA.
9. Atunci când prelucrarea în sine „împiedică persoanele fizice să-și exercite un
drept sau să utilizeze un serviciu sau un contract” (art. 22 și Considerentul 91). Acestea
includ operațiuni de prelucrare care vizează permiterea, modificarea sau refuzarea
accesului persoanelor fizice la un serviciu încheierea unui contract. Un exemplu ar putea
fi atunci când o bancă își verifică clienții prin compararea cu o bază de date referitoare la
credit pentru a decide acordarea unui împrumut. În majoritatea cazurilor, un operator de
date poate considera că o prelucrare ce îndeplinește 2 criterii ar necesita realizarea unei
DPIA.
În general, se consideră că atunci când o prelucrare îndeplinește mai multe criterii, cu
atât este mai probabil ca aceasta să prezinte un risc ridicat pentru drepturile și libertățile
persoanelor vizate și, prin urmare, să impună efectuarea unei DPIA, indiferent de
măsurile pe care operatorul le are în vedere să le adopte.
Totuși, în anumite situații, un operator poate considera că prelucrarea care îndeplinește
un singur criteriu necesită efectuarea unei DPIA.

Următoarele exemple ilustrează modul în care criteriile trebuie folosite pentru a analiza
dacă o anumiă operațiune de prelucrare necesită o DPIA:

8
 Este posibil
ca DPIA
Exemple de
Posibile criterii relevante să fie
prelucrare
necesară?

Un spital prelucrează - Date sensibile sau date de natură

datele genetice și datele foarte personală.
de sănătate ș ale - Date privind persoanele fizice
pacienților săi (sistemul vulnerabile.
de informații al spitalului). - Date prelucrate pe scară largă.

Utilizarea unui sistem de - Monitorizare sistematică.

camere pentru a - Utilizare inovatoare sau
monitoriza implementarea de soluții tehnice sau
comportamentul de organizaționale.
condus pe autostrăzi.
Operatorul
intenționează să utilizeze
un sistem inteligent de
analiză video pentru a
identifica vehiculele și
pentru a recunoaște în
mod automat plăcuțele de
înmatriculare.
O companie - Monitorizare sistematică.
monitorizează în mod - Date privind persoanele vizate DA
sistematic activitatea vulnerabile.
propriilor angajați,
inclusiv monitorizarea
stațiilor de lucru ale
angajaților, activitatea pe
Internet etc.
Colectarea de date de - Evaluare sau scoring.
social media publice - Date prelucrate pe scară largă.
pentru generarea de - Potrivirea sau combinarea seturilor de
profiluri date.
- Date sensibile sau date de natură
foarte personală.
O instituție care creează o - Evaluare sau scoring.
bază de date la nivel - Decizie automată care produce efecte
național privind creditele juridice sau similare semnificative.
sau privind frauda. - Împiedică persoana vizată să-și
exercite un drept sau să utilizeze un
serviciu sau un contract.
- Date sensibile sau date de natură
foarte personală.

9
Stocarea în scop de
arhivare a datelor
personale sensibile
pseudonimizate
privind persoanele vizate
vulnerabile din proiectele
de cercetare sau studii
clinice.
Prelucrarea „datelor
personale de la pacienți
sau clienți de către un
anumit
medic, un alt profesionist
în domeniul sănătății sau
un avocat”(Considerentul
91).
Un site web de comerț
electronic care afișează
anunțuri pentru piese de
mașini de epocă care
implică profiluri limitate
bazate pe elemente
vizionate sau
achiziționate pe site-ul
propriu.
- Date sensibile.
- Date privind persoanele vizate
vulnerabile.
- Împiedică persoana vizată să-și
exercite un drept sau să utilizeze un
serviciu sau un contract.
- D ate sensibile sau date de natură NU
foarte personală.
- Date privind persoanele vizate
vulnerabile.
O revistă online care folosește o listă
de corespondență pentru a trimite un
abonament generic zilnic abonaților
săi.
- Date prelucrare pe scară largă.
- Evaluare sau scoring

Dimpotrivă, o operațiune de prelucrare poate corespunde cazurilor menționate mai sus

și este încă considerată de către operator că nu este „susceptibilă de a genera un risc
ridicat”. În astfel de cazuri, operatorul trebuie să justifice și să documenteze motivele
pentru care nu a realizat o DPIA și să includă/să înregistreze opiniile responsabilului
pentru protecția datelor. În plus, ca parte a principiului responsabilității, fiecare operator
de date „va păstra o evidență a activităților de prelucrare desfășurate sub
responsabilitatea sa” ce va cuprinde, printre altele, scopurile prelucrării, o descriere a
categoriilor de date și destinatarii datelor și „acolo unde este posibil, o descriere
generală a măsurilor tehnice și organizatorice de securitate menționate la art. 32 (1)” (art.
30 (1)) și trebuie să evalueze dacă există un risc ridicat, chiar dacă decid în cele din
urmă să nu realizeze o DPIA.
Notă: autoritățile de supraveghere sunt obligate să stabilească, să publice și să
comunice o listă a operațiunilor de prelucrare care necesită o DPIA către Comitetul
European pentru Protecția Datelor (EDPB) (art. 35 (4)). Criteriile menționate mai sus pot
ajuta autoritățile de supraveghere să constituie o astfel de listă, cu un conținut mai
specific adăugat în timp, dacă este cazul. De exemplu, prelucrarea oricărui tip de date
biometrice sau a datelor copiilor ar putea fi de asemenea considerată ca relevantă
pentru elaborarea unei liste în conformitate cu art. 35 (4).

10
 b) Când nu este obligatorie DPIA?
Când prelucrarea nu este „susceptibilă să genereze un risc ridicat” sau când există
DPIA similară sau când a fost autorizată anterior mai 2018 sau când există un temei
legal sau când inclusă în lista operațiunilor de prelucrare
pentru care DPIA nu este obligatorie.

Se consideră că DPIA nu este necesară în următoarele situații:

- atunci când prelucrarea nu este „susceptibilă să genereze un risc ridicat pentru
drepturile și libertățile persoanelor
fizice” (art. 35 (1));
- atunci când natura, obiectivul, contextul
și scopurile prelucrării sunt
foare similare
prelucrării pentru care a fost realizată
DPIA. În astfel de situații, pot fi
utilizate rezultatele
DPIA pentru prelucrări similare
(art. 35 (1));
atunci când operațiunile de
prelucrare au fost verificate de
autoritatea de supraveghere înainte
de mai 2018 în condiții specifice care nu au suferit modificări (a se vedea III.C);
- atunci când operațiunea de prelucrare, potrivit literelor c) și e) de la art. 6 (1), are un
temei juridic în dreptul Uniunii sau al unui stat membru, iar dreptul respectiv
reglementează operațiunea de prelucrare și deja s-a efectuat o DPIA ca parte a unei
evaluări a impactului generale în contextul adoptării respectivului temei juridic (art. 35
(10)), cu excepția cazului în care statul membru a declarat că este necesară efectuarea
unei astfel de DPIA înaintea desfășurării activităților de prelucrare;
- atunci când prelucrarea este inclusă pe lista opțională (stabilită de autoritatea de
supraveghere) a operațiunilor de prelucrare pentru care nu este necesară DPIA (art. 35
(5)).
O astfel de listă poate conține activități de prelucrare care respectă condițiile specificate
de această autoritate, în special prin ghiduri, decizii sau autorizații specifice, reguli de
conformitate etc. (de exemplu, în Franța, autorizații, scutiri, reguli simplificate, pachete
de conformitate...). În astfel de cazuri și sub rezerva reevaluării de către autoritatea de
supraveghere competentă, o DPIA nu este necesară, ci numai dacă prelucrarea intră
strict în sfera procedurii relevante menționate în listă și continuă să respecte pe deplin
toate cerințele relevante din GDPR.
C . Care este situația pentru operațiunile de prelucrare deja existente? DPIA este
necesară în anumite situații
Cerința de a realiza o DPIA se aplică operațiunilor de prelucrare existente care pot
conduce la un risc ridicat pentru drepturile și libertățile persoanelor fizice și pentru care
s-a produs o schimbare a riscurilor, luând în considerare natura, obiectivul, contextul și
scopurile prelucrării.
DPIA nu este necesară pentru operațiunile de prelucrare ce au fost verificate de
autoritatea de supraveghere sau de un funcționar în domeniul protecției datelor, în
conformitate cu art. 20 din Directiva 95/46/CE și care sunt realizate într-un mod ce nu a

11
suferit modificări de la verificarea prealabilă. Întradevăr, „Deciziile adoptate ale Comisiei
și autorizațiile autorităților de supraveghere emise pe baza Directivei 95/46/CE rămân în
vigoare până când vor fi modificate, înlocuite sau abrogate” (Considerentul 171).
În schimb, aceasta înseamnă că orice prelucrare a datelor ale cărei condiții de aplicare
(domeniul de aplicare, scopul, datele personale colectate, identitatea operatorilor sau
destinatarilor datelor, perioada de păstrare a datelor, măsurile tehnice și organizatorice
etc.) s-au schimbat de la verificarea prealabilă efectuată de autoritatea de supraveghere
sau funcționarul în materie de protecție a datelor și care ar putea genera un risc ridicat
ar trebui să facă obiectul unei DPIA.
Mai mult, o DPIA ar putea fi necesară după o schimbare a riscurilor rezultate din
operațiunile de prelucrare, de exemplu pentru că o nouă tehnologie a intrat în uz sau
pentru că datele cu caracter personal sunt utilizate într-un alt scop. Operațiile de
prelucrare a datelor pot evolua rapid și pot apărea noi vulnerabilități. Prin urmare,
trebuie remarcat faptul că revizuirea unei DPIA nu este utilă numai pentru îmbunătățirea
continuă, dar este, de asemenea, esențială pentru menținerea nivelului de protecție a
datelor într-un mediu în schimbare în timp.
O DPIA poate deveni, de asemenea, necesară deoarece contextul organizațional sau
societal pentru activitatea de prelucrare s-a schimbat, de exemplu, deoarece efectele
anumitor decizii automate au devenit mai semnificative sau noile categorii de persoane
vizate devin vulnerabile la discriminare.
Fiecare dintre aceste exemple ar putea constitui un element care să conducă la o
schimbare a riscului care rezultă din activitatea de prelucrare în cauză. Dimpotrivă,
anumite schimbări ar putea reduce riscul. De exemplu, o operațiune de prelucrare ar
putea evolua astfel încât deciziile să nu mai fie automate sau dacă o activitate de
monitorizare nu mai este sistematică. În acest caz, revizuirea analizei de risc realizate
poate arăta că efectuarea unei DPIA nu mai este necesară.
Ca o chestiune de bună practică, o DPIA ar trebui să fie revizuită continuu și reevaluată
în mod regulat. Prin urmare, chiar dacă o DPIA nu este necesară la data de 25 mai 2018,
va fi necesar, la momentul oportun, ca operatorul să realizeze o astfel de DPIA ca parte
a obligațiilor sale generale de responsabilitate.

D . Cum se realizează DPIA?

a) În ce moment trebuie efectuată DPIA? Anterior prelucrării DPIA trebuie realizată
„anterior prelucrării” (art. 35 (1) și art. 35 (1), Considerentele 90 și 93).
Acest asptect este în concordanță cu asigurarea protecției datelor începând cu
momentul conceperii și în mod implicit (art. 25 și Considerentul 78). DPIA ar trebui
văzută ca un instrument pentru a ajuta la luarea deciziilor cu privire la prelucrare.
DPIA ar trebui să înceapă cât mai curând posibil întrucât este practică în stadiul
proiectării operațiunii de prelucrare, chiar dacă unele dintre operațiile de prelucrare sunt
încă necunoscute. Actualizarea DPIA pe parcursul întregului ciclu de viață va asigura
luarea în considerare a protecției datelor și a vieții private și va încuraja crearea de
soluții care să promoveze respectarea normelor. De asemenea, poate fi necesară
repetarea etapelor individuale ale evaluării pe măsură ce procesul de dezvoltare
progresează, deoarece selectarea anumitor măsuri tehnice sau organizatorice poate
afecta severitatea sau probabilitatea riscurilor generate de prelucrare.
Faptul că DPIA ar trebui să fie actualizată odată ce procesul de prelucrare a început
efectiv nu este un motiv valid pentru amânarea sau neaplicarea unei DPIA.

12
DPIA este un proces în desfășurare, în special în cazul în care o operațiune de
prelucrare este dinamică și este supusă unor schimbări continue.
Efectuarea unei DPIA este un proces continuu, nu un exercițiu unic.
c) Cine are obligația să efectueze DPIA? Operatorul, împreună cu DPO și împuterniciți.
Operatorul este responsabil pentru realizarea unei DPIA (art. 35 (2)). DPIA poate fi
realizată și de altcineva din interiorul sau exteriorul organizației, dar operatorul rămâne
în cele din urmă responsabil pentru această sarcină. De asemenea, operatorul trebuie
să solicite avizul responsabilului cu protecția datelor (DPO), în cazul în care acesta este
desemnat (art. 35 (2)) și acest aviz, precum și deciziile luate de operator, ar trebui să fie
documentate în cadrul DPIA. De asemenea, DPO ar trebui să monitorizeze funcționarea
DPIA (art. 39 (1) litera (c)).
Dacă prelucrarea este efectuată parțial sau în totalitate de persoana împuternicită de
operator, persoana împuternicită de operator va ajuta operatorul la realizarea DPIA și va
oferi informațiile necesare (în conformitate cu art. 28 (3) litera f)).
Operatorul trebuie „să solicite avizul persoanelor vizate sau al reprezentanților acestora”
(art. 35 (9)), „acolo unde este cazul”.
Se consideră că:
- aceste opinii ar putea fi solicitate printr-o varietate de mijloace, în funcție de context (de
exemplu, un studiu generic referitor la scopul și mijloacele operațiunii de prelucrare, o
întrebare adresată reprezentanților personalului sau sondajele obișnuite transmise
viitorilor clienți ai operatorului de date) asigurându-se că operatorul are o bază legală
pentru prelucrarea datelor personale implicate în căutarea unor astfel de opinii. Deși
trebuie menționat faptul că acordul de prelucrare nu este în mod evident o modalitate de
a căuta opiniile persoanelor vizate;
- în cazul în care decizia finală a operatorului de date diferă de opiniile persoanelor
vizate, motivele continuării sau nu ar trebui documentate;
- operatorul ar trebui, de asemenea, să documenteze justificarea că nu a solicitat opiniile
persoanelor vizate, în cazul în care decide că acest lucru nu este adecvat, de exemplu
dacă acest lucru ar compromite confidențialitatea planurilor de afaceri ale societăților
sau ar fi disproporționat sau imposibil de realizat.
Pe final, definirea și documentarea altor roluri și responsabilități specifice, în funcție de
politica, procesele și regulile interne este o bună practică, de exemplu:
- atunci când unitățile de afaceri specifice pot propune efectuarea unei DPIA,
respectivele unități ar trebui să furnizeze date pentru DPIA și ar trebui să fie implicate în
procesul de validare al DPIA;
- se recomandă solicitarea avizului din partea experților independenți din diferite
profesii24 (avocați, experți IT, experți în securitate, sociologi, etică etc.), dacă este cazul;
- trebuie definite în mod contractual rolurile și responsabilitățile persoanelor
împuternicite de operator; iar DPIA trebuie să fie efectuată cu ajutorul persoanei
împuternicite de operator, ținând seama de natura prelucrării și de informațiile
disponibile pentru persoana împuternicită de operator (art. 28 (3) f));
- responsabilul șef cu securitatea informațiilor (Chief Information Security Officer), dacă
este desemnat, precum și DPO, ar putea sugera că operatorul să efectueaze o DPIA pe
o anumită operațiune de prelucrare și ar trebui să ajute părțile interesat cu privire la
metodologie, să contribuie la evaluarea calității evaluării riscului și dacă riscul rezidual
este acceptabil și să dezvolte cunoștințe specifice contextului operatorului de date;

13
- responsabilul șef cu securitatea informațiilor (Chief Information Security Officer), dacă
este numit, și/sau departamentul IT, ar trebui să ofere asistență operatorului și ar putea
propune efectuarea unei DPIA pentru o anumită operațiune de prelucrare, în funcție de
cerințele de securitate sau operaționale..
c) Care este metodologia pentru efectuarea DPIA? Metodologii diferite, dar criterii
comune RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și
Considerentele 84 și 90):
- „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării”;
- „o evaluare a necesității și proporționalității prelucrării”;
- „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
- „măsurile preconizate în vederea:
 abordării riscurilor
 demonstrării conformității cu dispozițiile prezentului Regulament”.
Figura următoare ilustrează procesul generic iterativ pentru realizarea unei DPIA:

Descrierea
prelucrării
preconizate

Evaluarea
Monitorizare și necesității și
revizuire proporționalității

Măsuri deja
Documentare preconizate

Măsurile Evaluarea riscurilor

preconizate pentru pentru drepturile și
abordarea riscurilor libertățile
persoanelor vizate
Trebuie avută în vedere respectarea (art 35 (8)) unui cod de conduită (art. 40) atunci
când se evaluează impactul unei operațiuni de prelucrare a datelor. Acest lucru poate fi
util pentru a demonstra că au fost alese sau introduse măsuri adecvate, cu condiția ca
respectivul cod de conduită să fie adecvat operațiunii de prelucrare. Trebuie avute în
vedere și certificările, sigiliile și mărci (art. 42), precum și Regulile corporatiste obligatorii
(BCR) în scopul demonstrării conformității cu RGPD a operațiunilor de prelucrare
efectuate de operatori și persoane împuternicite de operatori.

Toate cerințele relevante stabilite în RGPD oferă un cadru larg, generic pentru
proiectarea și realizarea unei DPIA. Implementarea practică a unei DPIA va depinde de
cerințele stabilite în RGPD care pot fi completate cu orientări practice mai detaliate. Prin

14
urmare, implementarea DPIA este scalabilă. Acest lucru înseamnă că și un operator de
date mic poate proiecta și implementa o DPIA care este potrivită pentru operațiunile de
prelucrare a acestuia.
Considerentul 90 al RGPD conturează o serie de componente ale DPIA care se
suprapun cu componente bine definite ale managementului riscului (de exemplu, ISO
3100026). În ceea ce privește managementul riscurilor, DPIA vizează „gestionarea
riscurilor” asupra drepturilor și libertăților persoanelor fizice, utilizând următoarele
procese, prin:
- stabilirea contextul: „ținând cont de natura, obiectivul, contextul și scopurile prelucrării
și sursele riscului”;
- evaluarea riscurilor: „evaluarea probabilității și gravității deosebite a riscului ridicat”;
- tratarea riscurilor: „atenuarea acestui risc” și „asigurarea protecției datelor cu caracter
personal” și „demonstrarea conformității cu dispozițiile prezentului Regulament”.
Notă: DPIA potrivit RGPD reprezintă un instrument de gestionare a riscurilor pentru
drepturile persoanelor vizate și, prin urmare, prezintă perspectiva acestora, ca în
anumite domenii (de exemplu, securitatea societății). În schimb, gestionarea riscurilor în
alte domenii (de exemplu, securitatea informațiilor) se concentrează asupra organizației.
RGPD oferă operatorilor de date flexibilitatea de a determina structura și forma exactă a
DPIA, pentru a permite ca aceasta să se potrivească practicilor de lucru existente.
Există un număr de procese diferite stabilite în UE și în întreaga lume care iau în
considerare componentele descrise în Considerentul 90. Cu toate acestea, indiferent de
forma sa, DPIA trebuie să fie o evaluare reală a riscurilor, permițând operatorilor
adoptarea de măsuri în vederea atenuării acestora.
Ar putea fi utilizate metodologii diferite (a se vedea Anexa 1 pentru exemple de
metodologii de evaluare a impactului asupra protecției datelor și a vieții private) pentru a
contribui la punerea în aplicare a cerințelor de bază stabilite în RGPD. Au fost
identificate criterii comune pentru a permite existența unor astfel de abordări diferite și,
în același timp, pentru a permite operatorilor să respecte RGPD (a se vedea anexa 2).
Respectivele criterii clarifică cerințele de bază ale Regulamentului și oferă suficiente
posibilități pentru diferite forme de punere în aplicare. Aceste criterii pot fi folosite pentru
a arăta că o anumită metodologie DPIA îndeplinește standardele cerute de RGPD.
Depinde de operatorul de date să aleagă o metodologie, însă această metodologie ar
trebui să fie conformă cu criteriile prevăzute în Anexa 2.
Pe final, atunci când este necesar, „operatorul efectuează o analiză pentru a evalua
dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției
datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile
de prelucrare” (art. 35 (11)).

d) Există vreo obligație de a publica DPIA? Nu, dar publicarea unui rezumat poate
oferi încredere, iar DPIA integrală poate fi comunicată autorității de supraveghere în
cazul unei consultări prealabile sau la solicitarea DPO.
Publicarea unei DPIA nu este o cerință legală a RGPD, este decizia operatorului de a
face acest lucru. Cu toate acestea, operatorii ar trebui să ia în considerare cel puțin
publicarea unor părți, cum ar fi un rezumat sau o concluzie a DPIA.
Scopul unui astfel de proces ar fi să contribuie la încurajarea încrederii în operațiunile de
prelucrare ale operatorului și să demonstreze responsabilitatea și transparența. Este o
practică deosebit de bună de a publica o DPIA atunci când membrii publicului sunt

15
afectați de operațiunea de prelucrare. Acest lucru ar putea fi, în special, cazul în care o
autoritate publică efectuează o DPIA.
DPIA publicată nu trebuie să conțină întreaga evaluare, mai ales atunci când DPIA ar
putea să prezinte informații specifice privind riscurile de securitate pentru operatorul de
date sau să dezvăluie secrete comerciale sau informații comerciale sensibile. În aceste
condiții, versiunea publicată ar putea constitui doar un rezumat al principalelor constatări
ale DPIA sau chiar doar o afirmație potrivit căreia a fost efectuată o DPIA.
Mai mult, în cazul în care o DPIA dezvăluie riscuri reziduale ridicate, operatorul de date
va trebui să solicite consultări prealabile pentru prelucrarea de la autoritatea de
supraveghere (art. 36 (1)). Ca parte a acestui fapt, DPIA trebuie să fie furnizată complet
(articolul 36 (3) (e)). Autoritatea de supraveghere poate să furnizeze opinia sa și nu va
compromite secretele comerciale sau nu va dezvălui vulnerabilitățile privind securitatea,
sub rezerva principiilor aplicabile în fiecare stat membru privind accesul public la
documentele oficiale.
E . Când trebuie consultată autoritatea de supraveghere? Când riscurile residuale
sunt ridicate
Așa cum a fost explicat mai sus:
- o DPIA este necesară atunci când o operațiunie de prelucrare „este susceptibilă să
genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice” (art. 35 (1), a se
vedea III.B.a). Ca exemplu, prelucrarea pe scară largă a datelor privind starea de
sănătate este considerată ca fiind susceptibilă să genereze un risc ridicat și necesită o
DPIA;
- atunci este responsabilitatea operatorului de date să evalueze riscurile pentru
drepturile și libertățile persoanelor vizate și să identifice măsurile prevăzute pentru a
reduce aceste riscuri la un nivel acceptabil și pentru a demonstra conformitatea cu
RGPD (art. 35 (7), a se vedea III.C.c).
Un exemplu ar putea fi utilizarea unor măsuri de securitate tehnice și organizaționale
adecvate (criptarea eficientă a discului complet, gestionarea robustă a cheilor, controlul
adecvat al accesului, copiile securizate etc.) pe lângă politicile existente (notificarea,
consimțământul, dreptul de acces, dreptul de a se opune etc.) pentru stocarea datelor
cu caracter personal pe computerele portabile.
În exemplul computerulului portabil de mai sus, în cazul în care riscurile au fost
considerate suficient de reduse de către operatorul de date și în urma citirii art. 36 (1) și
a Considerentelor 84 și 94, prelucrarea poate continua fără consultarea autorității de
supraveghere. În cazurile în care riscurile identificate nu pot fi abordate suficient de
către operatorul de date (adică riscurile reziduale rămân ridicate), operatorul de date
trebuie să consulte autoritatea de supraveghere.
Un exemplu de risc rezidual ridicat inacceptabil include cazurile în care persoanele
vizate pot întâmpina consecințe semnificative sau chiar ireversibile pe care nu le pot
depăși (de exemplu: accesul ilegal la datele care duc la amenințarea vieții persoanelor
vizate, concediere, risc financiar) și/sau când pare evident că riscul va avea loc (de
exemplu: prin faptul că nu este capabil să reducă numărul de persoane care accesează
datele datorită modalităților de partajare, de utilizare sau distribuție sau atunci când
vulnerabilitatea bine cunoscut nu este înlăturată).
Este necesară consultarea cu autoritatea de supraveghere de fiecare dată când
operatorul de date nu poate găsi suficiente măsuri pentru a reduce riscurile la un nivel
acceptabil (adică riscurile reziduale sunt încă ridicate).

16
În plus, operatorul va trebui să consulte autoritatea de supraveghere atunci dreptul
intern impune operatorilor să consulte autoritatea de supraveghere și/sau să obțină
autorizarea prealabilă din partea acesteia în ceea ce privește prelucrarea de către un
operator pentru îndeplinirea unei sarcini exercitate de operator în interes public, inclusiv
prelucrarea în legătură cu protecția socială și sănătatea publică (art. 36(5)).
Cu toate acestea, trebuie precizat faptul că obligațiile de a păstra o evidență a DPIA și
de a actualiza DPIA în timp util rămân, indiferent dacă este necesară sau nu consultarea
autorității de supraveghere în funcție de nivelul riscului rezidual.

CONCLUZII ȘI RECOMANDĂRI
DPIA reprezintă o modalitate utilă pentru operatorii de date de a implementa sisteme de
prelucrare a datelor care respectă RGPD și pot
fi obligatorii pentru anumite tipuri de
operațiuni de prelucrare. Acestea sunt
scalabile și pot lua forme diferite, dar RGPD
stabilește cerințele de bază ale unei DPIA
eficiente.
Operatorii de date ar trebui să considere
că realizarea unei DPIA reprezintă o
activitate utilă și pozitivă care ajută la
respectarea legislației.

Art. 24 (1) stabilește responsabilitatea de bază pentru operatorii de date în ceea ce

privește respectarea RGPD: „ținând seama de natura, domeniul de aplicare, contextul și
scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate
pentru drepturile și libertățile persoanelor fizice, opertorul pune în aplicare măsuri
tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că
prelucrarea se efectuează în conformitate cu prezentul Regulament. Respectivele
măsuri se revizuiesc și se actualizează dacă este necesar”.
Politica internă a operatorului de date ar putea extinde această listă în afara cerințelor
legale ale RGPD. Acest lucru ar trebui să ducă la o mai mare încredere a persoanelor
vizate și a altor operatori de date.
În cazul în care este planificată o prelucrare cu risc ridicat, operatorul de date trebuie:
- să aleagă o metodologie DPIA (exemple prezentate în Anexa 1) care să îndeplinească
creiteriile din Anexa 2 sau să specifice și să implementexe un proces sistematic de DPIA
care:
 să fie în conformitate cu criteriile din Anexa 2;
 este integrat în procesele existente de proiectare, dezvoltare, schimbare, risc și
revizuire operațională, în conformitate cu procedurile interne, contextul și cultura;
 implică părțile interesată și care definește în mod clar responsabilitățile acestora
(operatorul, DPO, persoanele vizate sau reprezentanții acestora, întreprinderi,
servicii
 tehnice, persoanele împuternicite de operatori, ofițerii de securitate a informațiilor
etc.);
- să furnizeze raportul DPIA autorității de supraveghere competente atunci când este
necesar să o facă;

17
- să consulte autoritatea de supraveghere atunci când nu a reușit să stabilească
suficiente măsuri pentru atenuarea riscurilor ridicate;
- să revizuiască periodic DPIA și procesele pe care le evaluează, cel puțin atunci când
există o schimbare a riscului reprezentat de prelucrarea operațiuinii;
- să documenteze deciziile luate.

ANEXA 1 – EXEMPLE DE DPIA EXISTENTE LA NIVELUL UE

RGPD nu specifică ce procedură DPIA trebuie urmată, ci permite operatorilor de date să

introducă un cadru care să completeze practicile lor de lucru existente, cu condiția să ia
in considerare componentele descrise la art. 35 (7). Un astfel de cadru poate fi
personalizat pentru operatorul de date sau poate fi comun într-o anumită industrie.
Cadrele publicate anterior, elaborate de DPA-urile UE și cadrele specifice sectorului UE,
includ (dar nu se limitează la acestea):
Exemple de cadre generice UE:
- DE: Standard Data Protection Model, V.1.0 – Trial version, 2016.
https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf
- ES: Guía para una Evaluación de Impacto en la Protección de Datos Personales
(EIPD), Agencia espanola de proteccion de datos (AGPD), 2014.
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guia
s/Guia_EIPD.pdf
- FR: Privacy Impact Assessment (PIA), Commission nationale de l’informatique et des
libertes (CNIL), 2015. https://www.cnil.fr/fr/node/15798
- UK: Conducting privacy impact assessments code of practice, Information
Commissioner’s Office (ICO), 2014.
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
Exemple de cadre specifice sectorului UE:
- Cadru de evaluare a impactului asupra protecției datelor și vieții private a aplicațiilor
RFID.
- Scenariul de evaluare a impactului asupra protecția datelor pentru sistemele inteligente
de rețea și de măsurare inteligentă.
Un standard internațional va furniza, de asemenea, linii directoare pentru metodologiile
utilizate pentru realizarea unei DPIA (ISO/IEC 29134).

ANEXA 2 – CRITERII PENTRU O DPIA ACCEPTATĂ

Operatorii de date pot utiliza următoarele criterii pentru a evalua dacă o DPIA sau o
metodologie de realizare a unei DPIA este suficient de cuprinzătoare pentru a se
conforma RGPD:
 se furnizează o descriere sistematică a prelucrării (art. 35 (7) a)):
 se ține cont de natura, domeniul de aplicare, contextul și scopurile prelucrării
 (Considerentul 90);
 se inregistrează datele cu caracter personal, destinatarii, și perioada pentru care
datele cu caracter personal sunt stocate;
 se furnizează o descriere funcțională a operațiunii de prelucrare;

18
  se identifică activele pe care se bazează datele cu caracter personal (hardware,
software, rețelele, persoanele, documentele pe suport hartie sau canalele de
transmitere pe suport de hartie);
 se ține cont de respectarea codurilor de conduită aprobate (art. 35 (8));
 se evaluează necesitatea și proporționalitatea (art. 35 (7) b)
 se determină măsurile preconizate in vederea conformării cu Regulamentul (art. 35
(7) d) și Considerentul 90), avand in vedere:
 măsuri care contribuie la proporționalitatea și necesitatea prelucrării pe baza:
· scopurilor determinate, explicite și legitime (art. 5 (1) b));
· legalitatea prelucrării (art. 6);
· adecvate, relevante și limitate la ceea ce este necesar (art. 5 (1) c));
· perioadă de stocare limitată (art. 5 (1) e));
 măsuri care contribuie la drepturile persoanelor vizate:
· informațiile furnizate persoanei vizate (art. 12, 13 și 14);
· dreptul de acces și dreptul la portabilitatea datelor (art. 15 și 20);
· dreptul la rectificare și dreptul la ștergere (art. 16, 17 și 19);
· dreptul la opoziție și dreptul la restricționarea prelucrării (art. 18, 19 și 21);
· relațiile cu persoanele imputernicite de operator (art. 28);
· garanțiile pentru transferurile internaționale (Capitolul V);
· consultarea prealabilă (art. 36).
 se gestionează riscurile pentru drepturile și libertățile persoanelor vizate (art. 35 (7) c)):
 se analizează originea, natura, particularitatea și gravitatea riscurilor (a se vedea
Considerentul 84) sau, mai exact, pentru fiecare risc (acces ilegal, modificări
nedorite și dispariția datelor) din perspectiva persoanelor vizate:
 se ține cont de sursele riscurilor (Considerentul 90);
 se identifică impactul posibil asupra drepturilor și libertăților persoanelor
vizate in cazul unor evenimente ce includ accesul ilegal, modificările
nedorite sau dispariția datelor;
 se identifică amenințările care ar putea conduce la accesul ilegal,
modificarea nedorită sau dispariția datelor;
 se estimează probabilitatea și gravitatea (Considerentul 90);
 se determină măsurile preconizate pentru atenuarea respectivelor riscuri (art. 35
(7) d) și Considerentul 90);
 sunt implicate părțile interesate:
 se solicită avizul DPO (art. 35 (2));
 se solicită, acolo unde este cazul, avizul peroanelor vizate sau al reprezentanților
acestora (art. 35 (9)).

19
 Asigurarea protecției datelor începând cu momentul
conceperii și în mod implicit (conceptul de data
protection by design and by default)
Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal,
operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea
protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot
apărea pe parcursul efectuării prelucrărilor de date, precum:
 breșe de securitate;
 solicitări privind exercitarea drepturilor persoanelor vizate;
 modificarea datelor cu caracter personal colectate;
 schimbarea prestatorului.
Organizarea procedurilor interne implică, în special:
 luarea în considerare a protecţiei datelor cu caracter personal încă de la
momentul conceperii (privacy by design) unei aplicaţii sau a unei prelucrări:
minimizarea colectării datelor în funcţie de scop, cookie-uri, perioada de stocare,
informaţiile furnizate persoanelor vizate, obţinerea consimţământului persoanelor
vizate, securitatea și confidenţialitatea datelor cu caracter personal, garantarea
rolului și responsabilităţii părţilor implicate în efectuarea prelucrării datelor;
 aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în
mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare
pentru fiecare scop specific al prelucrării (privacy by default), având în vedere:
volumul de date colectate, gradul de prelucrare a acestora, perioada de stocare și
accesibilitatea lor, astfel încât datele cu caracter personal să nu fie accesate, fără
intervenţia persoanei, de un număr nelimitat de persoane;
 sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui
plan de pregătire și de comunicare cu persoanele care prelucrează date cu
caracter personal;
 soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea
drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora;
exercitarea drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în
cazul în care datele au fost colectate prin astfel de mijloace;
 anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite
cazuri, obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72
de ore și a persoanelor vizate în cel mai scurt timp;
 asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri
tehnice și organizatorice adecvate, incluzând printre altele, după caz:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea
și rezistenţa continue ale sistemelor și serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și
accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau
tehnică;

20
 d) un proces pentru testarea, evaluarea și aprecierea periodice ale
eficacităţii măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

GDPR prevede la art. 38 că operatorul și persoana împuternicită de operator se asigură

că DPO este „implicat în mod corespunzător și în timp util în toate aspectele legate de
protecția datelor cu caracter personal”.
În ceea ce privește evaluările impactului asupra protecției datelor, GDPR prevede în
mod explicit implicarea timpurie a DPO și precizează că operatorul solicită avizul DPO
atunci când se efectuează o astfel de evaluare a impactului.
Asigurarea că DPO este informat și consultat de la bun început va facilita respectarea
GDPR, va promova o abordare privacy by design și, prin urmare, ar trebui să fie o
procedură standard în cadrul guvernării organizației.

Ce este confidențialitatea prin proiectare - Privacy by Design?

Confidențialitatea prin design este o abordare a proiectelor care promovează
respectarea vieții private și protecția datelor încă de la început.
Din nefericire, aceste aspecte sunt adesea întâlnite ca o gândire ulterioară sau ignorate
cu totul. Deși această abordare nu este o cerință a Legii privind protecția datelor, ea va
ajuta organizațiile să își respecte obligațiile care le revin în temeiul legislației.
Autoritatea de supraveghere încurajează organizațiile să se asigure că confidențialitatea
și protecția datelor reprezintă un element-cheie în primele etape ale oricărui proiect și
apoi pe tot parcursul ciclului său de viață.
Exemple:
• crearea de noi sisteme IT pentru stocarea sau accesarea datelor cu caracter personal;
• elaborarea de legislație, politici sau strategii care au implicații asupra vieții private;
• lansarea unei inițiative de partajare a datelor; sau
• folosirea datelor în scopuri noi
Beneficiile adoptării unei abordări "confidențialitate prin proiectare"
Luarea unei abordări privind confidențialitatea prin design este un instrument esențial în
reducerea riscurilor de confidențialitate și construirea încrederii.
Proiectarea proiectelor, a proceselor, a produselor sau a sistemelor cu intimitate în
minte la început poate duce la beneficii care includ:
 problemele potențiale sunt identificate într-un stadiu incipient, când abordarea lor
va fi adesea mai simplă și mai puțin costisitoare.
 creșterea gradului de conștientizare a vieții private și a protecției datelor în cadrul
unei organizații.
 organizațiile își vor îndeplini mai ușor obligațiile legale și vor fi mai puțin
susceptibile de a încălca legea privind protecția datelor.

21
Transferul de date cu caracter personal – regim juridic
aplicabil, drepturi și obligații în funcție de natura
destinatarului (inclusiv transferul către țări terțe)

Transferul de date se referă la transmiterea / comunicarea datelor către un destinatar în

orice mod.
Într-o lume globalizată, abilitatea de a transfera date între organizații situate în diferite
părți ale lumii este de cea mai mare importanță.
Directiva UE privind protecția datelor (GDPR), care se aplică începând cu 25 mai 2018,
reglementează transferul internațional de date cu caracter personal. GDPR impune
restricții privind transferul de date cu caracter personal în afara Uniunii Europene, țărilor
terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a se asigura
că nivelul de protecție a persoanelor acordat de GDPR nu este subminat.

Transferul de date în cadrul UE

Schimbul liber de date cu caracter personal între statele membre reprezintă o parte
fundamentală a principiilor de bază ale UE. Aceasta rezultă din cele patru libertăți
fundamentale, și anume libera circulație a persoanelor, bunurilor, serviciilor și capitalului.
Acest principiu este reflectat și în GDPR, care exclude restricția sau interzicerea liberei
circulații a datelor cu caracter personal în cadrul UE sau, chiar mai larg, în cadrul SEE.

Transferul de date către țări terțe

Se aplică reguli diferite atunci când se transferă date către o țară terță. GDPR nu
definește termenul "țară terță", dar ar trebui să se presupună că aceasta este o țară care
nu face parte din SEE, precum SUA și India.
Transferul de date către o țară terță apare atunci când este efectuat dincolo de granițele
SEE (de exemplu, transferul de date prin e-mail), indiferent dacă datele vor fi apoi
utilizate în mod activ (de exemplu, modificate, șterse) sau stocate (de ex. loc pentru a le
depozita pe servere situate în India).

GDPR art. 44 prevede “Principiul general al transferurilor” în care se specifică faptul că:
„Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt
destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională
are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt
respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru
transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație
internațională către o altă țară terță sau la o altă organizație internațională. Toate
dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a
persoanelor fizice garantat prin prezentul regulament nu este subminat.”

Este de reținut că, orice transfer internațional de date cu caracter personal de către un
operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții:

22
  Transferuri pe baza adecvării
 Transferuri supuse garanțiilor adecvate
 Aplicabilitatea unor reguli corporative obligatorii

Exemplu
Un e-mail simplu care conține date personale este trimis la o adresă internă de e-mail a
grupului, care include adrese situate în afara UE, formează deja un transfer internațional
de date.
Deci, mai întâi, este important să determinați datele pe care o organizație le colectează
și procesează (maparea datelor), acoperind categoriile de date deținute și procesate de
fiecare departament, precum și transferurile și dezvăluirile de date între ele și părți terțe.
 Următorul pas ar fi să se stabilească dacă datele cu caracter personal sunt
transferate într-o țară din afara UE;
 Locul de depozitare a datelor cu caracter personal
 Țările sau jurisdicțiile din care pot fi accesate datele cu caracter personal
 Entitățile cărora le pot fi dezvăluite datele cu caracter personal și temeiurile legale
pentru divulgare.
 Lista țărilor sau jurisdicțiilor implicate în fluxul transfrontalier de date
Acum, datorită creșterii digitalizării și adoptării de tehnologii - servicii cloud și analize de
date - și implementarea reglementărilor cu domeniu de aplicare internațional, există o
posibilitate foarte mare ca o organizație să transfere datele personale în străinătate
zilnic.
De reținut: atunci când se transferă date internaționale, trebuie respectat principiul
protecției adecvate .
În absența unei decizii de adecvare, clauzelor contractuale standard (”SCC“) regulilor
corporative obligatorii (”BCR“) și derogări specifice sunt instrumente alternative de
transfer.
De asemenea, rețineți că, din cauza GDPR, Spațiul Economic European (”SEE”) va fi
disponibil și pentru procesatori și prelucrători din UE dintr-o țară din afara UE, BCR vor fi
de asemenea disponibile între parteneri de afaceri și introduc noi instrumente pentru
transferurile internaționale: "Coduri de conduită aprobate" și "Mecanismul de certificare".
Fluxurile de date cu caracter personal către și din țările din afara Uniunii și organizațiile
internaționale sunt necesare pentru extinderea comerțului internațional și a cooperării
internaționale.
Creșterea acestor fluxuri a generat noi provocări și preocupări în ceea ce privește
protecția datelor cu caracter personal. Cu toate acestea, atunci când datele cu caracter
personal sunt transferate din Uniune către controlori, prelucrători sau alți destinatari din
țări terțe sau organizații internaționale, nivelul de protecție a persoanelor fizice asigurat
în Uniune prin prezentul regulament nu trebuie să fie subminat, inclusiv în cazurile de
transferuri ulterioare a datelor cu caracter personal din țara terță sau organizația
internațională către controlorii, prelucrătorii din aceeași țară sau dintr-o altă țară terță
sau organizație internațională.
În orice caz, transferurile către țări terțe și organizații internaționale pot fi efectuate
numai în deplină conformitate cu GDPR.
Normele UE privind protecția datelor se aplică în Spațiul Economic European (”SEE”),
care include toate țările UE și țările din afara UE, Islanda, Liechtenstein și Norvegia.

23
Atunci când datele cu caracter personal sunt transferate în afara Spațiului Economic
European, se prevăd măsuri de protecție speciale pentru a se asigura că protecția
călătorește cu datele.
Reforma legislației UE privind protecția datelor adoptată în 2016 oferă un set diversificat
de mecanisme de transfer de date către țări terțe: decizii de adecvare, norme
contractuale standard, reguli corporative obligatorii, mecanisme de certificare, coduri de
conduită, așa-numitele "derogări" etc.
În timp ce arhitectura regimului transferurilor internaționale este similară cu cea din
Directiva privind protecția datelor din 1995, reforma simplifică și extinde utilizarea
mecanismelor existente și introduce noi instrumente pentru transferurile internaționale.

În materie de confidențialitate, Comisia a adoptat o strategie privind promovarea

standardelor internaționale după finalizarea reformei legislației UE privind protecția
datelor. Comunicarea din 10 ianuarie 2017 prezintă abordarea sa în elaborarea
deciziilor de adecvare, precum și a altor instrumente de transfer și instrumente
internaționale de protecție a datelor.
Principiile cheie care stau la baza transferurilor (și anume adecvarea și garanțiile
corespunzătoare) continua să se aplice în cadrul GDPR.
Deciziile existente ale Comisiei privind adecvarea și clauzele contractuale aprobate au
rămas valabile.
Interdicția transferurilor se aplică acum procesatorilor de date.
Sunt disponibile "măsuri de protecție adecvate" suplimentare, inclusiv unele noi opțiuni:
coduri de conduită aprobate, mecanisme de certificare, sigilii și marcaje și un nou
procedeu prescris pentru BCR. Autorizațiile/depunerile autorității de supraveghere nu
vor fi necesare atunci când se utilizează aceste garanții.
În cazul în care se bazează pe consimțământul ca o derogare, consimțământul trebuie
să fie explicit și persoana vizată trebuie să fi fost informată cu privire la riscurile
transferului.
Pentru a efectua corespunzător transferul datelor trebuie să avem în vedere
următoarele aspecte:
 să analizăm transferurile existente și să evaluăm modul în care acestea ar trebui
protejate în cadrul regimului juridic existent;

24
  aveți grijă la noile transferuri propuse și asigurați-vă că adoptați soluții de transfer
adecvate;
 pentru toate transferurile, păstrați o evidență a detaliilor sale și a soluției de
transfer pe care ați aplicat-o.
 aveți grijă de actualizările legate de GDPR din partea autorităților de
supraveghere și a Comisiei, care ar putea oferi îndrumări utile cu privire la
măsurile de siguranță care se vor potrivi cel mai bine necesităților dvs.

Ca și în cazul regimului juridic actual, transferurile de date cu caracter personal

către o țară terță sunt, în general, interzise, cu excepția cazului în care se poate
aplica o decizie de adecvare, o măsură de salvgardare sau o derogare adecvată.
Principiul adecvării a fost transpus în GDPR. În mod similar cu dispozițiile directivei,
adecvarea ar trebui evaluată în lumina mai multor elemente diferite, care includ în
continuare statul de drept, normele profesionale și măsurile de securitate care sunt în
vigoare și respectate în țara respectivă (cu toate acestea, există modificări).

De asemenea, organizațiile vor putea totuși să se bazeze pe clauze contractuale

standard (adică diferite seturi de clauze model aprobate de Comisie) ca mijloc de
asigurare a transferurilor legale.
Derogările disponibile pentru organizațiile care doresc să transfere date în străinătate
rămân, în general, neschimbate, cu excepția unei noi derogări în cazul în care transferul
este necesar în scopul "intereselor legitime convingătoare ale operatorului".

Când pot fi transferate date cu caracter personal în afara Uniunii Europene?

Datele cu caracter personal pot fi transferate numai în afara UE, în conformitate cu
condițiile de transfer stabilite în capitolul V din GDPR.
 Transferuri pe baza adecvării;
 Transferuri supuse garanțiilor adecvate
 Aplicabilitatea unor reguli corporative obligatorii.

Transferurile pot fi efectuate în cazul în care Comisia a decis că o țară terță, un

teritoriu sau unul sau mai multe sectoare specifice din țara terță sau o organizație
internațională asigură un nivel adecvat de protecție. Puteți transfera date cu caracter
personal în cazul în care organizația care primește datele personale a furnizat garanții
adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului
trebuie să fie disponibile căi de atac efective pentru persoanele fizice.
Se pot asigura garanții adecvate prin:
 un acord obligatoriu din punct de vedere juridic între autoritățile sau organismele
publice;
 norme corporative obligatorii (acorduri care reglementează transferurile efectuate
între organizații din cadrul unui grup corporativ);
 clauzele standard de protecție a datelor, sub forma clauzelor de transfer de
șabloane adoptate de Comisie;
 clauzele standard de protecție a datelor, sub forma clauzelor de transfer de
șablon adoptate de o autoritate de supraveghere și aprobate de Comisie;
 respectarea unui cod de conduită aprobat aprobat de o autoritate de
supraveghere;

25
  certificarea conform unui mecanism de certificare aprobat, astfel cum este
prevăzut în GDPR;
 clauzele contractuale convenite de autoritatea de supraveghere competentă; sau
 dispozițiile introduse în acordurile administrative dintre autoritățile publice sau
organismele autorizate de autoritatea de supraveghere competentă.

GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în

cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al
protecției acordate datelor cu caracter personal.
Autorizațiile transferurilor efectuate de statele membre sau de autoritățile de
supraveghere și deciziile Comisiei privind garanțiile adecvate efectuate în temeiul
directivei vor rămâne valabile / vor rămâne în vigoare până la modificarea, înlocuirea
sau abrogarea acestora.

GDPR prevede derogări de la interdicția generală privind transferurile de date cu

caracter personal în afara UE pentru anumite situații specifice. Se poate efectua un
transfer sau un set de transferuri în cazul în care transferul este:
 făcute cu consimțământul informat al persoanei;
 necesare pentru îndeplinirea unui contract între individ și organizație sau pentru
măsurile precontractuale luate la cererea persoanei;
 necesare pentru executarea unui contract încheiat în interesul persoanei fizice
între operator și o altă persoană;
 necesare din motive importante de interes public;
 necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
 necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor
persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere
fizic sau legal să-și dea consimțământul; sau
 realizat dintr-un registru care are ca scop furnizarea de informații publicului (și
care poate fi consultat fie de către public în general, fie de cei care pot demonstra
un interes legitim în inspectarea registrului) în conformitate cu legislația britanică
sau UE.

26
Primele trei derogări nu sunt disponibile pentru activitățile autorităților publice în
exercitarea puterilor lor publice.
În ceea ce privește transferurile de date către o țară terță, GDPR introduce norme
specifice, și anume:
 Transferurile de date către o țară terță pot fi efectuate numai pe baza unei
decizii a Comisiei Europene prin care se stabilește că o anumită țară, teritoriu sau sector
terță asigură un nivel adecvat de protecție (în prezent, astfel de decizii sunt emise
pentru Argentina, Israel, Canada, Noua Zeelandă, Elveția și va rămâne în vigoare în
cadrul GDPR până la abrogare sau modificare; pentru transferul de date către SUA,
programul Privacy Shield se aplică pe bază de auto- certificare - entitățile care participă
la program sunt considerate a asigura un nivel adecvat de protejarea datelor).
 În lipsa unei decizii relevante din partea Comisiei Europene, transferul de date
către o țară terță fără a fi nevoie de consimțământul autorității de protecție a datelor
poate avea loc numai dacă sunt furnizate garanții adecvate, cum ar fi utilizarea Regulilor
Corporative obligatorii (BCR) aprobată de autoritatea competentă pentru protecția
datelor cu caracter personal (o soluție deosebit de favorabilă corporațiilor internaționale)
sau clauzele contractuale standard adoptate de Comisia Europeană (clauze controlor-
controlor sau controlor-procesor) sau utilizarea unui cod de conduită sau certificare
aprobat mecanism.
 În absența unei decizii relevante din partea Comisiei Europene, transferul de
date către o țară terță poate avea loc cu permisiunea autorității de protecție a datelor, de
exemplu, în temeiul unei clauze contractuale ad-hoc între operatorul sau prelucrătorul și
operatorul sau procesor din țara terță.
 Atunci când nu este posibilă utilizarea opțiunilor menționate mai sus, transferul
de date către o țară terță poate avea loc numai după îndeplinirea condițiilor prevăzute la
articolul 49 din GDPR, care prevede derogări (excepții) în situații speciale. Aceste
derogări includ, de exemplu, consimțământul explicit și voluntar al persoanei vizate
pentru transferul propus, după ce a fost informat cu privire la posibilele riscuri ale unor
astfel de transferuri pentru persoana vizată, necesitatea transferului de date pentru
îndeplinirea unui contract între persoana vizată și controlorul sau necesitatea
transferului de date pentru exercitarea sau apărarea revendicărilor legale.

O modificare importantă introdusă de GDPR este că interdicția transferurilor în afara

SEE a fost extinsă pentru a se aplica atât procesatorilor de date, cât și operatorilor de
date.
Deși este adevărat că directiva împuternicește Comisia să ia decizii de adecvare și
solicită statelor membre să adopte măsurile necesare pentru a se conforma deciziilor
respective, ea permite statelor membre și, la rândul lor, autorităților de supraveghere să
evalueze și să evalueze adecvarea, în unele cazuri, ca în Marea Britanie, permițând
exportatorilor de date să auto- evalueze adecvarea.
O serie de autorități naționale de supraveghere, au emis îndrumări cu privire la auto-
evaluări privind gradul de adecvare. Poziția pare a fi diferită în cadrul GDPR - aparent,
numai Comisia poate determina de fapt adecvarea.
De asemenea, trebuie remarcat faptul că au fost lărgite criteriile de evaluare a adecvării
stabilite în GDPR (adică ceea ce Comisia va lua în considerare la evaluarea gradului de
adecvare) pentru a include în mod explicit (printre altele) normele privind transferul
ulterior, securitatea națională, dreptul penal și accesul autorităților publice la datele cu

27
caracter personal.

Măsuri de protecție adecvate: Clauze model, BCR, coduri de conduită și

mecanisme de certificare
Clauzele contractuale standard care există deja ca un posibil mecanism de transfer
rămân disponibile. GDPR oferă și o serie de alternative.
BCR-urile au fost consacrate în legislație pentru prima dată pentru a include transferurile
de date cu caracter personal către companii din cadrul unui grup corporativ.
Informații suplimentare privind procesul de aprobare a BCR au fost limitate până în
prezent la recomandările emise de Comisie și de autoritățile de supraveghere.
GDPR recunoaște BCR ca instrument de transfer oficial și stabilește un proces de
aprobare. Pentru prima dată, BCR trebuie să fie acceptat ca un mecanism legal de
transfer în toate statele membre ale UE.

GDPR oferă, de asemenea, o suită de noi mecanisme de transfer. Acestea includ coduri
de conduită aprobate, mecanisme de certificare, sigilii și mărci. În cazul în care acestea
sunt invocate ca o garanție adecvată pentru transferurile de date, acestea trebuie
furnizate împreună cu angajamentele obligatorii și executorii ale controlorului sau
prelucrătorului destinatar din țara terță.
GDPR clarifică faptul că garanțiile corespunzătoare menționate nu necesită nici o
autorizare specifică din partea niciunei autorități de supraveghere.
Până în prezent, regimurile de aprobare a transferurilor au variat semnificativ între
statele membre - cerințele de depunere și / sau de autorizare diferite au reprezentat o
durere de cap pentru companiile internaționale în special.

Eliminarea aparentă a birocrației GDPR va fi salutată de exportatorii de date. Cu toate

acestea, este vorba de un avertisment de sănătate deoarece unele dintre noile
mecanisme de transfer (de exemplu, coduri de conduită, certificare și sigilii) trebuie să
fie în primul rând aprobate de autoritatea locală de supraveghere; și organizațiile care
doresc să modifice clauzele contractuale aprobate de Comisie vor necesita în
continuare autorizarea de la autoritatea lor locală de supraveghere.
Derogări: consimțământul, "interesele legitime convingătoare" și "motivele importante de
interes public"
După cum sa menționat, GDPR include o nouă (deși limitată) derogare. În cazul în care
un operator de date nu se poate baza pe o decizie de adecvare, o măsură de
salvgardare sau o altă derogare, un transfer poate avea loc dacă: nu este repetitiv,
privește doar un număr limitat de persoane vizate, este necesar pentru a determina
interesele legitime urmărite de operator nu este suprimată de interesele, drepturile sau
libertățile persoanei vizate și operatorul a furnizat garanții adecvate în ceea ce privește
protecția datelor cu caracter personal.
Operatorul trebuie să notifice autoritatea de supraveghere în cauză în cazul în care
încearcă să se prevaleze de această derogare. În plus, interesele legitime
convingătoare ale transferului trebuie explicate persoanei vizate.
În cazul în care un controlor de date dorește să se bazeze pe acordul unui subiect de
date de a-și transfera datele personale, consimțământul trebuie să fie explicit.
În plus, persoana vizată trebuie să fi fost informată cu privire la posibilele riscuri legate
de transfer, din cauza lipsei unei decizii de adecvare sau a unei măsuri de salvgardare

28
adecvate.
De asemenea, trebuie remarcat faptul că, din motive de interes general, statele membre
pot stabili în mod expres limite pentru transferul anumitor categorii de date cu caracter
personal către o țară terță sau o organizație internațională.
GDPR cere contractul obligatoriu care reglementează orice numire a procesorului de
date trebuie să stipuleze că procesatorul poate procesa numai datele personale
relevante pe instrucțiunile documentate de la operator, inclusiv cu privire la transferuri
(cu excepția cazului în care transferul este cerut de lege).
Așteptăm orientări suplimentare cu privire la modul în care aceste instrucțiuni trebuie să
fie detaliate. Acest lucru ar putea fi dificil de îndeplinit în practică atunci când vânzătorii
au stabilit operațiuni extensive de prelucrare în străinătate, care sunt utilizate ca parte a
ofertei lor standard.
GDPR cere ca atât controlorii, cât și operatorii să țină o evidență a transferurilor de
date cu caracter personal către o țară terță sau o organizație internațională, identitatea
țării sau a organizației relevante, precum și detalii cu privire la ce decizie de adecvare
sau de protecție a fost aplicată pentru fiecare transfer.
Aceste obligații au fost introduse ca parte a unei cerințe de guvernanță internă.
În conformitate cu GDPR, trebuie sa desfășurați un audit al transferurilor de date.
Iată cele mai importante întrebări care trebuie adresate organizației dvs. includ:
 Transferați date personale în străinătate - mergeți în afara UE?
 Cui trimiteți date și de ce?
 Destinatarii procesează date personale în numele dvs. sau partajați datele cu o
organizație terță parte pentru a le utiliza în scopuri proprii?
 Împărțiți datele în interiorul grupului - (ar putea ca BCR să fie un exemplu atractiv
pentru dvs. în cadrul GDPR)?

Regulile corporative obligatorii sunt reguli interne pentru transferul de date în

cadrul companiilor multinaționale. Acestea permit companiilor multinaționale să
transfere date personale pe plan internațional în cadrul aceluiași grup corporativ în țări
care nu oferă un nivel adecvat de protecție.
Regulile obligatorii ale companiilor asigură că toate transferurile de date din cadrul unui
grup corporativ sunt sigure.
Trebuie să conțină principiile de confidențialitate, cum ar fi transparența, calitatea datelor,
securitatea instrumentele de eficacitate (cum ar fi sistemele de audit, de instruire sau de
soluționare a reclamațiilor) un element care demonstrează că regulile sunt obligatorii.

29
 Conceptul de securitate al prelucrării datelor cu
caracter personal. Încălcarea securității datelor cu
caracter personal
O încălcare a datelor cu caracter personal înseamnă o încălcare a securității care duce
la distrugerea, pierderea, modificarea, dezvăluirea neautorizată sau accesul la date cu
caracter personal accidentale sau ilegale. Acestea includ încălcări care sunt rezultatul
cauzelor accidentale și deliberate. De asemenea, înseamnă că o încălcare este mai
mult decât pierderea datelor cu caracter personal.
Ca parte a oricărei încercări de remediere a unei încălcări, controlorul ar trebui mai întâi
să poată recunoaște unul. GDPR definește o "încălcare a datelor cu caracter personal"
la articolul 4 alineatul (12): "O încălcare a securității care duce la distrugerea, pierderea,
modificarea, dezvăluirea neautorizată sau accesul la datele personale transmise,
stocate sau prelucrate în alt mod, în mod accidental sau ilegal".

Înțelegem prin "distrugerea" datelor cu caracter personal: datele nu mai există sau nu
mai există într-o formă care este de nici o folosință pentru controlor.

"Deteriorarea" se referă la faptul că datele cu caracter personal au fost modificate,

corupte sau nu mai sunt complete.

În ceea ce privește "pierderea" datelor cu caracter personal, aceasta ar trebui

interpretată deoarece datele ar putea să existe, dar controlorul a pierdut controlul sau
accesul la acesta sau nu mai are în posesia sa. În cele din urmă, prelucrarea
neautorizată sau ilegală poate include divulgarea de date cu caracter personal
destinatarilor care nu sunt autorizați să primească (sau acceseze) datele sau orice altă
formă de procesare care încalcă GDPR.
Exemplu: Un exemplu de pierdere a datelor personale poate include în cazul în care un
dispozitiv care conține o copie a bazei de date a clienților unui controler a fost pierdut
sau furat.

Exemplu: Un alt exemplu de pierdere poate fi cazul în care singura copie a unui set de
date cu caracter personal a fost criptată prin ransomware sau a fost criptată de controlor
folosind o cheie care nu mai este în posesia sa.

De reținut: o încălcare este un tip de incident de securitate.

Cu toate acestea, după cum se indică la articolul 4 alineatul (12), GDPR se aplică numai
atunci când există o încălcare a datelor cu caracter personal.

30
Consecința unei astfel de încălcări este aceea că operatorul nu va fi capabil să asigure
respectarea principiilor referitoare la prelucrarea datelor cu caracter personal, așa cum
este prevăzut la articolul 5 din GDPR. Acest lucru evidențiază diferența dintre un
incident de securitate și o încălcare a datelor cu caracter personal - în esență, în timp ce
toate încălcările datelor cu caracter personal sunt incidente de securitate, nu toate
incidentele de securitate sunt în mod necesar încălcări ale datelor cu caracter personal.

Trebuie remarcat faptul că un incident de securitate nu se limitează la modelele de

amenințare în care se atacă o organizație dintr-o sursă externă, dar include incidente din
procesarea internă care încalcă principiile de securitate.
O încălcare a datelor cu caracter personal poate fi în mare măsură definită ca un
incident de securitate care a afectat confidențialitatea, integritatea sau disponibilitatea
datelor cu caracter personal.

Pe scurt, va exista o încălcare a datelor cu caracter personal

 ori de câte ori sunt pierdute, distruse, corupte sau dezvăluite date personale;
 dacă cineva accesează datele sau le transmite fără o autorizare
corespunzătoare; sau
 dacă datele sunt indisponibile și această indisponibilitate are un efect negativ
semnificativ asupra persoanelor.
Considerentul 87 al GDPR clarifică faptul că, atunci când are loc un incident de
securitate, trebuie să stabiliți rapid dacă a avut loc o încălcare a datelor cu caracter
personal și, dacă da, să luați imediat măsuri pentru a le aborda, inclusiv informarea
ANSPDCP, dacă este cazul.

Tipuri de încălcări ale datelor cu caracter personal

În avizul său din 03/2014 privind notificarea privind încălcarea legislației, Grupul de lucru
WP29 a explicat că încălcările pot fi clasificate în funcție de următoarele trei principii
bine cunoscute privind securitatea informațiilor:
 "încălcarea confidențialității" - în cazul în care există divulgarea neautorizată sau
accidentală a datelor cu caracter personal sau accesul la acestea.
 "încălcarea integrității" - în cazul în care există o modificare neautorizată sau
accidentală a datelor cu caracter personal.

31
  "Încălcarea distanței" - în cazul în care există o pierdere accidentală sau
neautorizată a accesului sau distrugerea datelor cu caracter personal.

De asemenea, trebuie remarcat faptul că, în funcție de circumstanțe, o încălcare se

poate referi la confidențialitatea, integritatea și disponibilitatea datelor personale în
același timp, precum și orice combinație a acestora.
Întrucât determinarea relativ clară a încălcării confidențialității sau integrității, dacă a
existat o încălcare a disponibilității, poate fi mai puțin evidentă. O încălcare va fi
întotdeauna considerată o încălcare a disponibilității atunci când a avut loc o pierdere
permanentă sau distrugerea datelor personale.

Exemplu: Exemple de pierderi de disponibilitate includ unde datele au fost șterse fie
accidental, fie de către o persoană neautorizată sau, în exemplul datelor criptate în
siguranță, cheia de decriptare a fost pierdută.
În cazul în care controlerul nu poate restabili accesul la date, de exemplu, dintr-o copie
de rezervă, atunci aceasta este considerată ca o pierdere permanentă de disponibilitate.
O pierdere de disponibilitate poate apărea, de asemenea, în cazul în care a existat o
întrerupere semnificativă a serviciului normal al unei organizații, de exemplu, în cazul
unei întreruperi a alimentării sau a unui atac de refuz al serviciului, ceea ce face ca
datele personale să nu fie disponibile.
Ca și în cazul pierderii sau distrugerii permanente a datelor cu caracter personal (sau
într-adevăr, a oricărui alt tip de încălcare), o încălcare care implică pierderea temporară
a disponibilității trebuie documentată în conformitate cu articolul 33 alineatul (5).
Acest lucru îi ajută pe controlor să demonstreze responsabilitatea față de autoritatea de
supraveghere, care poate solicita înregistrarea acestor înregistrări.
Se poate pune întrebarea dacă o pierdere temporară a disponibilității datelor cu caracter
personal ar trebui considerată o încălcare și, dacă este cazul, una care trebuie notificată.
Articolul 32 din GDPR, "securitatea prelucrării", explică faptul că, atunci când se
implementează măsuri tehnice și organizatorice pentru a asigura un nivel de securitate
adecvat riscului, ar trebui să se ia în considerare, printre altele, "capacitatea de a
asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și
serviciilor de procesare "și" capacitatea de a restabili disponibilitatea și accesul la datele
cu caracter personal în timp util în cazul unui incident fizic sau tehnic ".
Exemplu : În contextul unui spital, dacă datele medicale critice despre pacienți nu sunt
disponibile, chiar și temporar, acest lucru ar putea prezenta un risc pentru drepturile și
libertățile persoanelor; de exemplu, operațiunile pot fi anulate și viețile sunt expuse
riscului.
Dimpotrivă, în cazul în care sistemele unei companii media nu sunt disponibile timp de
mai multe ore (de exemplu, din cauza unei întreruperi a alimentării cu energie electrică),
în cazul în care întreprinderea respectivă este împiedicată să trimită buletine de știri
abonaților săi, este puțin probabil ca aceasta să prezinte un risc pentru drepturile și
libertățile persoanelor .
Trebuie remarcat faptul că, deși o pierdere a disponibilității sistemelor operatorului poate
fi doar temporară și nu poate avea un impact asupra persoanelor, este important ca
operatorul să ia în considerare toate consecințele posibile ale unei încălcări, deoarece
este posibil să fie nevoie de notificare pentru alte motive.
Exemplu : Infecția prin ransomware (software rău intenționat care criptează datele

32
controlerului până la rambursarea acestuia) ar putea duce la pierderea temporară a
disponibilității în cazul în care datele pot fi restabilite din copia de rezervă. Cu toate
acestea, a avut loc încă o intrare în rețea și ar putea fi necesară notificarea în cazul în
care incidentul este calificat drept încălcare a confidențialității (adică datele personale
sunt accesate de atacator), ceea ce reprezintă un risc pentru drepturile și libertățile
persoanelor.
Posibilele consecințe ale încălcării securității datelor cu caracter personal
O încălcare poate avea o serie de efecte adverse semnificative asupra persoanelor,
ceea ce poate duce la daune fizice, materiale sau nemateriale. GDPR explică faptul că
aceasta poate include pierderea controlului asupra datelor personale, limitarea
drepturilor lor, discriminarea, furtul de identitate sau fraudarea, pierderea financiară,
inversarea neautorizată a pseudonimiei, deteriorarea reputației și pierderea
confidențialității datelor cu caracter personal protejate prin secretul profesional . Poate
include și orice alt dezavantaj economic sau social semnificativ pentru acei indivizi.
În consecință, GDPR cere operatorului să notifice o încălcare a autorității de
supraveghere competente, cu excepția cazului în care este puțin probabil ca acest lucru
să ducă la riscul apariției unor astfel de efecte adverse. În cazul în care există un risc
probabil ridicat de apariție a acestor efecte adverse, GDPR cere operatorului să
comunice încălcarea persoanelor afectate de îndată ce este posibil în mod rezonabil.
Importanța identificării unei încălcări, evaluarea riscului pentru persoane și apoi
notificarea, dacă este necesar, este evidențiată în considerentul 87 al GDPR:
"Trebuie să se verifice dacă au fost puse în aplicare toate măsurile tehnologice
adecvate și organizatorice pentru a stabili imediat dacă a avut loc o încălcare a datelor
cu caracter personal și pentru a informa prompt autoritatea de supraveghere și
persoana vizată. Faptul că notificarea a fost efectuată fără întârzieri nejustificate ar
trebui stabilită ținând seama, în special, de natura și de gravitatea încălcării datelor cu
caracter personal, precum și de consecințele și efectele sale negative asupra persoanei
vizate. O astfel de notificare poate duce la o intervenție a autorității de supraveghere în
conformitate cu sarcinile și competențele sale stabilite în prezentul regulament. "
Dacă controlorii nu notifică autorității de supraveghere sau persoanelor vizate o
încălcare a datelor sau ambele, chiar dacă sunt îndeplinite cerințele articolelor 33 și /
sau 34, atunci autoritatea de supraveghere este prezentată cu o alegere care trebuie să
includă luarea în considerare a tuturor măsurilor corective măsurile pe care le are la
dispoziție, care ar include luarea în considerare a impunerii amenzii administrative
adecvate, care să însoțească o măsură corectivă în temeiul articolului 58 alineatul (2)
sau pe cont propriu.

Extras din Regulamentul General privind protecția datelor

Secţiunea 2: Securitatea datelor cu caracter personal

Art. 32: Securitatea prelucrării
(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura,
domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade
de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi
persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice
adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc,
incluzând printre altele, după caz:

33
a) pseudonimizarea şi criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa
continue ale sistemelor şi serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la
acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor
tehnice şi organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile
prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de
distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la
datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(3) Aderarea la un cod de conduită aprobat, menţionat la articolul 40, sau la un
mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizată ca element
prin care să se demonstreze îndeplinirea cerinţelor prevăzute la alineatul (1) din
prezentul articol.
(4) Operatorul şi persoana împuternicită de acesta iau măsuri pentru a asigura faptul că
orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei
împuternicite de operator şi care are acces la date cu caracter personal nu le
prelucrează decât la cererea operatorului, cu excepţia cazului în care această obligaţie îi
revine în temeiul dreptului Uniunii sau al dreptului intern.
Art. 33: Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu
caracter personal
(1) În cazul în care are loc o încălcare a securităţii datelor cu caracter personal,
operatorul notifică acest lucru autorităţii de supraveghere competente în temeiul
articolului 55, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72
de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este
puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În
cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de
ore, aceasta este însoţită de o explicaţie motivată pentru întârziere. (La data de 23 mai
2018 Art. 33, alin. (1) din capitolul IV, secțiunea 2 rectificat de punctul 8 din Rectificare
din 23 mai 2018)
(2) Persoana împuternicită de operator înştiinţează operatorul fără întârzieri nejustificate
după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
(3) Notificarea menţionată la alineatul (1) cel puţin: a) descrie caracterul încălcării
securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi
numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul
aproximativ al înregistrărilor de date cu caracter personal în cauză; b) comunică numele
şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact
de unde se pot obţine mai multe informaţii; c) descrie consecinţele probabile ale
încălcării securităţii datelor cu caracter personal; d) descrie măsurile luate sau propuse
spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu
caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale
efecte negative.
(4) Atunci când şi în măsura în care nu este posibil să se furnizeze informaţiile în acelaşi
timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
(5) Operatorul păstrează documente referitoare la toate cazurile de încălcare a
securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în

34
care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi
a măsurilor de remediere întreprinse. Această documentaţie permite autorităţii de
supraveghere să verifice conformitatea cu prezentul articol.
Art. 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu
caracter personal
(1) În cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă
să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul
informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
(2) În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul
articol se include o descriere într-un limbaj clar şi simplu a caracterului încălcării
securităţii datelor cu caracter personal, precum şi cel puţin informaţiile şi măsurile
menţionate la articolul 33 alineatul (3) literele (b), (c) şi (d).
(3) Informarea persoanei vizate menţionată la alineatul (1) nu este necesară în cazul în
care oricare dintre următoarele condiţii este îndeplinită: a) operatorul a implementat
măsuri de protecţie tehnice şi organizatorice adecvate, iar aceste măsuri au fost aplicate
în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu
caracter personal, în special măsuri prin care se asigură că datele cu caracter personal
devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi
criptarea; b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat
pentru drepturile şi libertăţile persoanelor vizate menţionat la alineatul (1) nu mai este
susceptibil să se materializeze; c) ar necesita un efort disproporţionat. În această
situaţie, se efectuează în loc o informare publică sau se ia o măsură similară prin care
persoanele vizate sunt informate într-un mod la fel de eficace.
(4) În cazul în care operatorul nu a comunicat deja încălcarea securităţii datelor cu
caracter personal către persoana vizată, autoritatea de supraveghere, după ce a luat în
considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să
genereze un risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate
decide că oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.

35
 Răspunderea și sancțiunile aplicabile în cazul
nerespectării legislației în domeniul protecției datelor
cu caracter personal
În cazul în care considerați că vă sunt încălcate drepturile aveți dreptul de a depune o
plângere la ANSPDCP - Autoritatea Națională de Supraveghere a Protecției Datelor cu
Caracter Personal.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

(A.N.S.P.D.C.P.) este autoritate publică, autonomă și independentă, cu personalitate
juridică care monitorizează și controlează sub aspectul legalității prelucrările de date cu
caracter personal care cad sub incidența legislației în vigoare.

În prezent cadrul legislativ a cărui aplicare este asigurată de către ANSPDCP este
compus din:
 Directiva Parlamentului European nr. 95/46/CE a Parlamentului European
Convenția nr. 108 pentru protecția pentru protecția persoanelor referitor la
prelucrarea automatizată a datelor cu caracter personal
 Regulamentul UE nr. 11/2013 al Comisiei din 24 iunie 2013
 Directiva Parlamentului European nr. 2002/58/CE a Parlamentului European și a
Consiliului privind confidențialitatea și comunicațiile electronice
 Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor
cu caracter personal și libera circulație a acestor date din 25 Mai 2018,
Regulamentul UE nr. 679/2016 cunoscut ca GDPR.

Conform cu recomandările Autorității trebuie reținute câteva aspecte de către

persoanele vizate înainte de depunerea unei plângeri:

Persoanele fizice ale căror date cu caracter personal sunt prelucrate se pot adresa în
scris Autorității de Supraveghere (ANSPDCP) în cazul în care apreciază că le-au fost
încălcate drepturile prevăzute de Legea nr. 677/2001, cu condiția:
 de a nu fi introdus anterior o acțiune în justiție, cu același obiect și aceleași părți,
 numai după ce s-au adresat în prealabil operatorului reclamat.

Mesajul ANSPDCP în secțiunea dedicate plângerilor din siteul oficial al autorității este
( https://www.dataprotection.ro/?page=Plangeri_pagina_principala ):
Înainte de a depune o plângere vă rugăm să consultați ”Condițiile procedurale privind
adresarea unei plângeri admisibile” reglementate în Procedura de soluționare a
plângerilor aprobată Decizia nr. 133/2018.

Dacă v-ați adresat operatorului pentru exercitarea drepturilor ce vă sunt recunoscute de

RGPD și nu ați primit răspuns în cel mult o lună de la primirea cererii dvs. de către
acesta (în mod excepțional perioada poate fi prelungită cu două luni, cu respectarea
anumitor obligații de către operator) sau sunteți nemulţumit/ă de răspunsul primit, vă

36
puteţi adresa Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter
Personal cu plângere însoţită de dovezi.”

Important : Pe cale de excepție, plângerea poate fi adresată în lipsa parcurgerii

procedurii prealabile numai în cazul în care o întârziere ar cauza un prejudiciu iminent și
ireparabil, aspect care trebuie justificat și dovedit de petent, la data depunerii plângerii la
autoritatea de supraveghere.
Nerespectarea acestor condiții atrage respingerea plângerii ca inadmisibilă.

În toate cazurile, plângerea trebuie însoțită de dovezi.

Există o serie de instrumente disponibile biroului pentru protecția datelor ANSPDCP
pentru informații pentru a lua măsuri pentru a schimba comportamentul organizațiilor și
persoanelor care colectează, utilizează și păstrează informațiile personale. Dintre aceste
instrumente amintim aplicarea de sancțiuni financiare – amenzi administrative, urmărirea
penală, executarea non-penală, precum și auditul. De reținut faptul că Autoritatea are
competența de a notifica un administrator de date cu o amendă penală.
Instrumentele nu se exclud reciproc și pot fi folosite cumulativ acolo unde se justifică
circumstanțele.

Principalele opțiuni sunt:

 să difuzeze notificări de informare prin care organizațiile trebuie să furnizeze
ANSPDCP informații specifice într-o anumită perioadă de timp;
 să elaboreze angajamente care angajează o organizație într-un anumit mod de
acțiune pentru a îmbunătăți respectarea acesteia;
 să execute notificări de executare și ordine "opriți acum" în cazul în care a existat
o încălcare, cerând organizațiilor să ia (sau să se abțină de la luare) măsuri
specifice pentru a se asigura că respectă legea;
 realizează evaluări (audituri) consensuale pentru verificarea respectării de către
organizații;
 execută notificări de evaluare pentru a efectua audituri obligatorii pentru a evalua
dacă organizațiile care procesează date cu caracter personal respectă bunele
practici;
 să emită anunțuri privind pedeapsa penală, cerând organizațiilor să plătească
până la 10 Milioane de Euro pentru încălcări grave ale legii privind protecția
datelor cu caracter personal;
 urmărirea penală a celor care comit infracțiuni în temeiul legii; și
 să raporteze Parlamentului cu privire la problemele care prezintă motive de
îngrijorare.

Amenzi administrative
Amenzile administrative sunt mai degrabă discreționare decât obligatorii; acestea
trebuie să fie impuse de la caz la caz și trebuie să fie "eficiente, proporționale și cu efect
de descurajare".

37
Regulamentul prevede două niveluri de
amenzi administrative care pot fi
percepute:
 Până la 10 milioane EUR sau 2% la
cifra de afaceri anuală globală -
oricare dintre acestea este mai
mare.
 Până la 20 de milioane de euro,
sau 4% din cifra de afaceri globală
anuală - oricare dintre acestea este
mai mare.

Amenzile administrative se bazează pe articolele specifice ale regulamentului pe care

organizația le-a încălcat. Încălcările obligațiilor organizației, inclusiv încălcările securității
datelor, vor fi supuse nivelului inferior, în timp ce încălcarea drepturilor de
confidențialitate ale unui individ va fi supusă unui nivel mai ridicat.

Atunci când decide dacă să impună o amendă și un nivel, ANSDCP trebuie să ia în

considerare următoarele aspecte:
 Natura, gravitatea și durata încălcării;
 Caracterul intenționat sau neglijent al încălcării;
 Orice acțiune întreprinsă de organizație pentru a diminua daunele suferite de
persoane fizice;
 Măsuri tehnice și organizatorice care au fost implementate de organizație;
 Orice încălcare anterioară a organizației sau a prelucrătorului de date;
 Gradul de cooperare cu autoritatea de reglementare pentru remedierea încălcării;
 Tipurile de date cu caracter personal implicate;
 Modul în care autoritatea de reglementare a aflat despre încălcare;
 Modalitatea în care încălcarea a devenit cunoscută autorității de supraveghere, în
special dacă și în ce măsură organizația a notificat încălcarea;
 Dacă și, în caz afirmativ, în ce măsură operatorul sau operatorul au notificat
încălcarea; și
 Respectarea codurilor de conduită aprobate sau a schemelor de certificare.

Descurajarea neconformității la GDPR

Grupul de lucru W29 precizează in documentul WP 253 - ”Orientări privind aplicarea și
stabilirea amenzilor administrative în sensul Regulamentului 2016/679” modul de
abordare a autorităților de protecție a datelor personale în fața cazurilor de încălcare a
confidențialității, a neconformității la GDPR Art. 83, următoarele aspecte:
Întrebarea la care autoritatea de supraveghere trebuie să răspundă este: În ce măsură
operatorul a "făcut ceea ce trebuia din ce aștepta să facă" având în vedere natura,
scopurile sau dimensiunea prelucrării, văzute în lumina obligațiilor impuse de
Regulament.
Articolul 58 prevede anumite îndrumări cu privire la măsurile pe care o autoritate de
supraveghere le-ar putea alege, deoarece măsurile corective sunt ele însele diferite și
sunt destinate, în primul rând, scopurilor diferite. Unele dintre măsurile prevăzute la
articolul 58 pot fi chiar cumulate, realizând astfel o acțiune de reglementare care

38
cuprinde mai multe măsuri corective.
Nu este întotdeauna necesară completarea măsurii prin utilizarea unei alte măsuri
corective.
De exemplu: Eficacitatea și disuasivitatea intervenției autorității de supraveghere, luând
în considerare în mod corespunzător ceea ce este proporțional cu acel caz specific, se
poate realiza numai prin amendă.

În esență, autoritățile trebuie să-și restabilească conformitatea prin toate măsurile

corective de care dispun. De asemenea, autoritățile de supraveghere vor trebui să
aleagă cel mai adecvat canal pentru urmărirea acțiunilor de reglementare. De exemplu,
aceasta ar putea include sancțiuni penale (în cazul în care acestea sunt disponibile la
nivel național).
Practica aplicării cu regularitate a amenzilor administrative în întreaga Uniune
Europeană este o artă în evoluție. Acțiunile ar trebui luate de autoritățile de
supraveghere care colaborează pentru a îmbunătăți coerența în mod continuu. Acest
lucru se poate realiza prin schimburi regulate prin intermediul atelierelor de tratare a
cazurilor sau prin alte evenimente care permit compararea cazurilor de la niveluri
subnaționale, naționale și transfrontaliere.

Considerentul 148 din GDPR prevede:

Pentru a consolida respectarea normelor prezentului regulament, sancțiunile, inclusiv

amenzile administrative, ar trebui impuse pentru orice încălcare a prezentului
regulament, în plus față de sau în locul măsurilor adecvate impuse de autoritatea de
supraveghere în temeiul prezentului regulament. În cazul unei încălcări minore sau dacă
amenda care ar putea fi impusă ar constitui o povară disproporționată pentru o persoană
fizică, se poate emite o mustrare în locul unei amenzi.

Cu toate acestea, ar trebui acordată o atenție deosebită naturii, gravității și duratei

încălcării, caracterului intenționat al încălcării, acțiunilor întreprinse pentru diminuarea
prejudiciului suferit, gradului de răspundere sau oricărei încălcări anterioare relevante,
modului în care încălcarea a devenit cunoscută autoritatea de supraveghere,
respectarea măsurilor dispuse împotriva operatorului sau prelucrătorului, respectarea
unui cod de conduită și orice alt factor agravant sau atenuant. Impunerea de sancțiuni,
inclusiv amenzile administrative, ar trebui să facă obiectul unor garanții procedurale
adecvate, în conformitate cu principiile generale ale dreptului Uniunii și ale Cartei,
inclusiv protecția jurisdicțională efectivă și procesul echitabil.

Regulamentul sancționează neglijența și repetarea încălcărilor, prevăzând amenzi

cumulative.

Articolul 83 Sancțiuni prevede:

(3)În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod
intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru
operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament,
cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea

39
mai gravă încălcare.
(4)Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică
amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de
până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului
financiar anterior, luându-se în calcul cea mai mare valoare
(5)Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică
amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de
până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului
financiar anterior, luându-se în calcul cea mai mare valoare
(8)Exercitarea de către autoritatea de supraveghere a competențelor sale în temeiul
prezentului articol are loc cu condiția existenței unor garanții procedurale adecvate în
conformitate cu dreptul Uniunii și cu dreptul intern, inclusiv căi de atac judiciare eficiente
și dreptul la un proces echitabil.

Daune acordate în cazul încălcărilor

GDPR prin Articolul 82 permite persoanelor vizate dreptul la despăgubiri pentru orice
daune materiale și / sau morale care rezultă din încălcarea Regulamentului GDPR din
partea unei organizații. În anumite cazuri, organismele non-profit pot lua măsuri
reprezentative în numele persoanelor vizate. Acest aspect va declanșa apariția unui
număr masiv de cereri în cazuri de încălcări la scară largă.

40
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL

MODULUL VI

Relația cu autoritatea de supraveghere

în domeniul protecției datelor cu
caracter personal. Instrumente și
situații specifice

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020

RESUM Consulting S.R.L.

RC
Ploiesti, Romania
 CONȚINUT TEMATIC:

 Competențele autorității de supraveghere.

Conceptul de autoritate de supraveghere principală
conform GDPR.
 Consultarea și/sau aprobarea autorității de
supraveghere cu privire la efectuarea anumitor
operațiuni de prelucrare în cazurile prevăzute de
legislația aplicabilă.
 Notificarea autorității de supraveghere în cazul
încălcării securității datelor cu caracter personal.
Modalitate de lucru și instrumente.

1
Competențele autorității de supraveghere. Conceptul
de autoritate de supraveghere principală conform
GDPR
În conformitate cu prevederile Regulamentului nr. 679 din 27 aprilie 2016 privind
protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter
personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor), publicat în Jurnalul Oficial al Uniunii
Europene, seria L, nr. 119 din 4 mai 2016, denumit în continuare Regulamentul general
privind protecţia datelor, autoritatea națională de protecția datelor este
responsabilă de monitorizarea aplicării prezentului regulament, în vederea
protejării drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce
priveşte prelucrarea şi în vederea facilitării liberei circulaţii a datelor cu caracter
personal în cadrul Uniunii.
Fiecare autoritate de supraveghere beneficiază de independenţă deplină în
îndeplinirea sarcinilor sale şi exercitarea competenţelor sale în conformitate cu
prezentul regulament.
Totodată, conducerea fiecărei autorităţi de supraveghere, în cadrul îndeplinirii
sarcinilor şi al exercitării competenţelor sale în conformitate cu prezentul regulament,
rămâne independentă de orice influenţă externă directă sau indirectă şi nici nu solicită,
nici nu acceptă instrucţiuni de la o parte externă.
Aplicarea, pe data de 25 mai 2018, a Regulamentului general privind protecţia datelor
a condus la necesitatea armonizării prevederilor naționale care reglementau domeniul
protecției datelor cu caracter personal cu dispozițiile acestui act normativ european.
În acest context, prin Legea nr. 129/2018 de modificare și completare a Legii nr.
102/005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) s-a urmărit,
în principal, asigurarea competențelor și sarcinilor de monitorizare și control ale
Autorității Naționale de Supraveghere în acord cu prevederile art. 55-59 din
Regulamentul (UE) 2016/679, asigurând în acest mod un cadru legal adecvat pentru
respectarea drepturilor specifice ale persoanelor fizice în domeniul prelucrării datelor
cu caracter personal (dreptul de informare, dreptul de acces, dreptul la rectificare,
dreptul la restricționarea prelucrării, dreptul la ștergerea datelor – dreptul ”de a fi uitat”,
dreptul de opoziție, dreptul la portabilitatea datelor), precum și o interacțiune eficientă
în relația administrație-cetățeni.

Autoritatea Naţională de Supraveghere are drept obiectiv apărarea

drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în
special a dreptului la viaţă privată, în legătură cu prelucrarea datelor
cu caracter personal şi cu libera circulaţie a acestor date.

2
Printre principalele atribuţii ale Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal și ale președintelui acesteia, stabilite în
acord cu elementele de noutate aduse de Regulamentul (UE) 2016/679, enumerăm:
- monitorizarea aplicării unitare a legislației privind protecția datelor cu caracter
personal, de către toate entitățile care au calitatea de operatori de date;
- reglementarea, prin elaborarea de decizii și instrucțiuni cu caracter obligatoriu, care
se publică în Monitorul Oficial al României;
- avizarea proiectelor de acte normative în materie de protecție a datelor cu caracter
personal;
- îndrumarea, prin activitatea de consiliere, inclusiv a Parlamentului, Guvernului și
altor autorități sau instituții publice și a entităților ce au calitatea de operatori de date,
precum și informarea persoanelor vizate și a publicului asupra a obligațiilor ce le
revin în temeiul legislației în domeniul protecției datelor personale, respectiv
drepturilor garantate de lege;
- controlul îndeplinirii obligațiilor legale de către operatorii de date cu caracter
personal, prin intermediul competențelor de investigare a încălcării drepturilor
persoanelor vizate, din oficiu sau la primirea unei plângeri ori sesizări;
- aplicarea măsurilor corective în situațiile în care se constată încălcări ale legislației
în domeniu;
- cooperare și asistență reciprocă cu autoritățile de supraveghere din celelalte state
membre, precum și de cooperare cu Comisia Europeană și Comitetul european
pentru protecția datelor, în cadrul mecanismului de asigurare a coerenței aplicării
Regulamentului general pentru protecția datelor pe teritoriul întregii Uniuni;
- informare a Parlamentului, Guvernului, Comisiei europene și a Comitetului
european pentru protecția datelor, asupra activităţii proprii, prin intermediul raportului
anual de activitate.

Consultarea și/sau aprobarea autorității de

supraveghere cu privire la efectuarea anumitor
operațiuni de prelucrare în cazurile prevăzute de
legislația aplicabilă

Relația Ofițerului cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu

Caracter Personal este realizată pe orizontală, fiind un punct de mijloc între
autoritatea de supraveghere și organizație.
În cazul unui eventual control din partea unei autorități de supraveghere a protecției
datelor personale, DPO este cel care va menține pe toată durata contactul cu
aceasta și împreună cu controlorii și procesatorii vor pune la dispoziția autorității
informațiile și documentele necesare derulării investigațiilor.

3
Articolul 36
Consultarea prealabilă
(1) Operatorul consultă autoritatea de supraveghere înainte de prelucrarea atunci
când evaluarea impactului asupra protecției datelor prevăzută la articolul 35 indică
faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de
operator pentru atenuarea riscului.
(2) Atunci când consideră că prelucrarea prevăzută menționată la alineatul (1) ar
încălca prezentul regulament, în special atunci când riscul nu a fost identificat sau
atenuat într-o măsură suficientă de către operator, autoritatea de supraveghere oferă
consiliere în scris operatorului și, după caz, persoanei împuternicite de operator, în
cel mult opt săptămâni de la primirea cererii de consultare, și își poate utiliza oricare
dintre competențele menționate la articolul 58. Această perioadă poate fi prelungită
cu șase săptămâni, ținându-se seama de complexitatea prelucrării prevăzute.
Autoritatea de supraveghere informează operatorul și, după caz, persoana
împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la orice
astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi
suspendate până când autoritatea de supraveghere a obținut informațiile pe care le-a
solicitat în scopul consultării.
(3) Atunci când consultă autoritatea de supraveghere în conformitate cu alineatul
(1), operatorul îi furnizează acesteia:
(a) dacă este cazul, responsabilitățile respective ale operatorului, ale operatorilor
asociați și ale persoanelor împuternicite de operator implicate în activitățile de
prelucrare, în special pentru prelucrarea în cadrul unui grup de întreprinderi;
(b) scopurile și mijloacele prelucrării preconizate;
(c) măsurile și garanțiile prevăzute pentru protecția drepturilor și libertăților
persoanelor vizate, în conformitate cu prezentul regulament;
(d) dacă este cazul, datele de contact ale responsabilului cu protecția datelor;
(e) evaluarea impactului asupra protecției datelor prevăzută la articolul 35; și
(f) orice alte informații solicitate de autoritatea de supraveghere.
(4) Statele membre consultă autoritatea de supraveghere în cadrul procesului de
pregătire a unei propuneri de măsură legislativă care urmează să fie adoptată de un
parlament național sau a unei măsuri de reglementare întemeiate pe o astfel de
măsură legislativă, care se referă la prelucrarea.
(5) În pofida alineatului (1), dreptul intern poate impune operatorilor să se consulte
cu autoritatea de supraveghere și să obțină în prealabil autorizarea din partea
acesteia în legătură cu prelucrarea de către un operator în vederea îndeplinirii unei
sarcini exercitate de acesta în interes public, inclusiv prelucrarea în legătură cu
protecția socială și sănătatea publică.

4
 Notificarea autorității de supraveghere în cazul
încălcării securității datelor cu caracter personal

Articolul 33 alineatul (1) prevede că:

„În cazul în care are loc o încălcare a securității datelor cu caracter personal,
operatorul notifică acest lucru autorității de supraveghere competente în temeiul
articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel
mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului
în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor
fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este
însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care.”
Considerentul 87 prevede că:
„Ar trebui să se stabilească dacă au fost implementate toate măsurile tehnologice de
protecție și organizatorice corespunzătoare în scopul de a se stabili imediat dacă s-a
produs o încălcare a securității datelor cu caracter personal și de a se informa cu
promptitudine autoritatea de supraveghere și persoana vizată. Faptul că notificarea a
fost efectuată fără întârziere nejustificată ar trebui stabilit luându-se în considerare, în
special, natura și gravitatea încălcării securității datelor cu caracter personal, precum
și consecințele și efectele negative ale acesteia asupra persoanei vizate. Această
notificare poate conduce la o intervenție a autorității de supraveghere, în conformitate
cu sarcinile și competențele specificate în prezentul regulament.”

Astfel cum este detaliat mai sus, RGPD prevede că, în cazul în care are loc o încălcare,
operatorul trebuie să notifice încălcarea fără întârzieri nejustificate și, dacă este posibil,
în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta. Aceasta
poate ridica chestiunea momentului în care se poate considera că un operator „a luat
cunoștință” de o încălcare. În opinia GL29, ar trebui considerat că un operator „a luat
cunoștință” atunci când operatorul respectiv are un grad rezonabil de certitudine că s-
a produs un incident de securitate care a condus la compromiterea datelor cu caracter
personal.
Cu toate acestea, astfel cum s-a indicat anterior, RGPD impune operatorului să pună
în aplicare toate măsurile de protecție tehnice și organizatorice adecvate pentru a
stabili imediat dacă a avut loc o încălcare și pentru a informa imediat autoritatea de
supraveghere și persoanele vizate. De asemenea, acesta precizează că efectuarea
notificării fără întârzieri nejustificate ar trebui stabilită luând în considerare, în special,
natura și gravitatea încălcării, precum și consecințele și efectele negative ale acesteia
asupra persoanei vizate. Aceasta impune operatorului obligația de a se asigura că va
lua „cunoștință” de orice încălcare în timp util, astfel încât să poată lua măsurile
corespunzătoare.
Momentul exact în care se poate considera că un operator „a luat cunoștință” de o
anumită încălcare va depinde de circumstanțele încălcării specifice. În unele cazuri, va
fi relativ clar încă de la început că a existat o încălcare, în timp ce în alte cazuri poate
dura ceva timp pentru a stabili dacă datele cu caracter personal au fost compromise.
Cu toate acestea, accentul ar trebui să fie plasat pe acțiunea promptă de a investiga
un incident pentru a determina dacă a avut loc într-adevăr o încălcare a securității
datelor cu caracter personal și, în caz afirmativ, de a lua măsuri de remediere și de a
o notifica dacă este necesar.

5
Exemple
1. În cazul pierderii unei chei USB cu date cu caracter personal necriptate, adesea nu
este posibil să se verifice dacă persoane neautorizate au obținut acces la datele
respective. Cu toate acestea, chiar dacă operatorul nu poate stabili dacă a avut loc o
încălcare a confidențialității, un astfel de caz trebuie notificat deoarece există un grad
rezonabil de certitudine că s-a produs o încălcare a disponibilității; operatorul ar lua
„cunoștință” de aceasta în momentul în care își dă seama că s-a pierdut cheia USB.
2. O parte terță informează un operator că a primit în mod accidental datele cu caracter
personal ale unuia dintre clienții săi și oferă dovezi ale divulgării neautorizate. Întrucât
operatorului i s-au prezentat dovezi clare privind o încălcare a confidențialității, nu
există nicio îndoială că „a luat cunoștință” de aceasta.
3. Un operator depistează că a existat o posibilă intruziune în rețeaua sa. Operatorul
își controlează sistemele pentru a stabili dacă datele cu caracter personal stocate în
sistemul respectiv au fost compromise și confirmă acest lucru. Și în acest caz, întrucât
operatorul are acum dovezi clare despre o încălcare, nu poate exista nicio îndoială că
„a luat cunoștință” de aceasta.
4. Un infractor informatic intră în contact cu operatorul după ce a spart sistemul
acestuia, pentru a cere o răscumpărare. În acest caz, după verificarea sistemului
pentru a confirma că acesta a fost atacat, operatorul are dovezi clare că a avut loc o
încălcare și nu există nicio îndoială că a luat cunoștință de aceasta.
După ce a fost informat prima dată despre o posibilă încălcare de către o persoană, o
organizație media sau o altă sursă sau atunci când a depistat el însuși un incident de
securitate, operatorul poate întreprinde o scurtă investigație pentru a stabili dacă o
încălcare a avut loc sau nu de fapt. În această perioadă de investigație, operatorul nu
poate fi considerat ca având „cunoștință” de încălcare. Cu toate acestea, se așteaptă
ca investigația inițială să înceapă cât mai curând posibil și să stabilească cu un grad
rezonabil de certitudine dacă a avut loc o încălcare; ulterior poate urma o investigație
mai detaliată.
Odată ce operatorul a luat cunoștință de aceasta, o încălcare notificabilă trebuie să fie
notificată fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore. În
această perioadă, operatorul ar trebui să evalueze riscul potențial pentru persoane în
scopul de a determina dacă a fost declanșată obligația de notificare, precum și
acțiunea (acțiunile) necesară (necesare) pentru a remedia încălcarea. Cu toate
acestea, un operator poate dispune deja de o evaluare inițială a riscului potențial care
ar putea rezulta dintr-o încălcare, ca parte unei evaluări a impactului asupra protecției
datelor (EIPD) efectuate înainte de efectuarea operațiunii de prelucrare în cauză. Cu
toate acestea, EIPD poate fi mai generalizată în comparație cu circumstanțele
specifice ale oricărei încălcări efective și, în orice caz, va trebui efectuată o evaluare
suplimentară ținând cont de aceste circumstanțe. Pentru mai multe detalii privind
evaluarea riscului, consultați secțiunea IV.
În cele mai multe cazuri, aceste acțiuni preliminare ar trebui să fie finalizate imediat
după alerta inițială (și anume, atunci când operatorul sau persoana împuternicită de
operator suspectează că a avut loc un incident de securitate care poate implica date
cu caracter personal.) – doar în cazuri excepționale ar trebui acestea să dureze mai
mult.
Exemplu
O persoană informează operatorul că a primit, de la o entitate utilizând identitatea
operatorului, un e˗mail care conține date cu caracter personal referitoare la utilizarea
(efectivă) de către aceasta a serviciului operatorului, ceea ce sugerează că securitatea
operatorului a fost compromisă. Operatorul efectuează o scurtă investigație și

6
identifică o intruziune în rețeaua sa și dovada accesului neautorizat la datele cu
caracter personal. În acest moment, s-ar considera că operatorul are „cunoștință” de
încălcare și este necesară notificarea autorității de supraveghere, cu excepția cazului
în care este puțin probabil ca aceasta să prezinte un risc pentru drepturile și libertățile
persoanelor. Operatorul va trebui să ia măsurile corective adecvate pentru remedierea
nerespectării.
Prin urmare, operatorul ar trebui să dispună de procese interne pentru a depista și a
remedia o încălcare. De exemplu, pentru identificarea unor nereguli în prelucrarea
datelor, operatorul sau persoana împuternicită de operator poate utiliza anumite
măsuri tehnice, cum ar fi fluxul de date și analizatorii de registre, din care este posibil
să se definească evenimente și alerte prin corelarea datelor din registre. Este
important ca, atunci când se depistează o încălcare, aceasta să fie raportată în sens
ascendent către nivelul adecvat al conducerii, astfel încât încălcarea să poată fi
remediată și, dacă este necesar, să fie notificată în conformitate cu articolul 33 și, după
caz, cu articolul 34. Astfel de măsuri și mecanisme de raportare ar putea fi detaliate în
planurile de răspuns la incidente și/sau mecanismele de guvernanță ale operatorului.
Acestea vor sprijini operatorul să planifice în mod eficace și să determine cine are
responsabilitatea operațională în cadrul organizației pentru gestionarea unei încălcări,
precum și modul sau necesitatea de a modifica statutul unui incident, după caz.
Operatorul ar trebui să dispună, de asemenea, de mecanisme cu orice persoane
împuternicite de operator pe care le utilizează, care la rândul lor au obligația de a
notifica operatorul în cazul unei încălcări.
În timp ce este responsabilitatea operatorilor și a persoanelor împuternicite de operator
să pună în aplicare măsuri adecvate pentru a preveni o încălcare, a reacționa la
aceasta și a o remedia, există unele măsuri practice care ar trebui luate în toate
cazurile.
• Informațiile referitoare la toate evenimentele legate de securitate ar trebui să fie
direcționate către o persoană responsabilă sau către persoanele însărcinate cu
remedierea incidentelor, stabilirea existenței unei încălcări și evaluarea riscului.
• Ulterior, trebuie evaluat riscul la adresa persoanelor ca urmare a unei încălcări
(probabilitatea de a nu exista niciun risc, probabilitatea unui risc sau a unui risc ridicat),
secțiunile relevante ale organizației fiind informate în acest sens.
• Dacă este necesar, ar trebui să se efectueze notificarea autorității de supraveghere
și, eventual, informarea persoanelor afectate cu privire la încălcarea securității datelor.
• În același timp, operatorul ar trebui să acționeze pentru a limita și a remedia
încălcarea.
• Documentarea încălcării ar trebui să aibă loc pe măsură ce aceasta evoluează.

Prin urmare, ar trebui să fie clar că operatorul are obligația de a acționa în legătură cu
orice alertă inițială și de a stabili dacă într-adevăr s-a produs sau nu o încălcare.
Această perioadă scurtă permite efectuarea unor investigații și oferă operatorul ocazia
să obțină probe și alte detalii relevante. Cu toate acestea, odată ce operatorul a stabilit
cu un grad rezonabil de certitudine că a avut loc o încălcare, în cazul în care au fost
îndeplinite condițiile prevăzute la articolul 33 alineatul (1), acesta trebuie să notifice
încălcarea autorității de supraveghere fără întârzieri nejustificate și, dacă este posibil,
în termen de cel mult 72 de ore.
Dacă un operator nu acționează în timp util și devine evident că a avut loc o încălcare,
atunci acest lucru poate fi considerat o nerespectare a obligației de notificare în
conformitate cu articolul 33.

7
Articolul 32 clarifică faptul că operatorul și persoana împuternicită de acesta ar trebui
să dispună de măsuri tehnice și organizatorice adecvate în vederea asigurării unui
nivel adecvat de securitate a datelor cu caracter personal: capacitatea de a depista, a
remedia și a raporta o încălcare în timp util ar trebui considerată o parte esențială a
acestor măsuri.
Operatori asociați
Articolul 26 se referă la operatorii asociați și precizează că operatorii asociați stabilesc
responsabilitățile fiecăruia pentru respectarea RGPD. Aceasta va include stabilirea
părții care va avea responsabilitatea pentru asigurarea respectării obligațiilor
prevăzute la articolele 33 și 34. GL29 recomandă ca mecanismele contractuale dintre
operatorii asociați să includă dispoziții care stabilesc operatorul care va prelua sarcina
sau va fi responsabil pentru asigurarea respectării obligațiilor de notificare a încălcării
prevăzute în RGPD.
Obligațiile persoanei împuternicite de operator
Operatorul își păstrează responsabilitatea generală pentru protecția datelor cu
caracter personal, însă persoana împuternicită de operator are un rol important în a
permite operatorului să își respecte obligațiile; acesta include notificarea încălcării. Într-
adevăr, articolul 28 alineatul (3) precizează că prelucrarea de către o persoană
împuternicită de un operator este reglementată de un contract sau de un alt act juridic.
Articolul 28 alineatul (3) litera (f) prevede că în contract sau orice alt act juridic se
stipulează că persoana împuternicită de operator „ajută operatorul să asigure
respectarea obligațiilor prevăzute la articolele 32-36, ținând seama de caracterul
prelucrării și informațiile aflate la dispoziția persoanei împuternicite de operator”.
Articolul 33 alineatul (2) precizează că, în cazul în care un operatorul apelează la o
persoană împuternicită de operator și aceasta constată o încălcare a securității datelor
cu caracter personal pe care le prelucrează în numele operatorului, trebuie să
înștiințeze operatorul „fără întârzieri nejustificate”. Ar trebui remarcat faptul că
persoana împuternicită de operator nu trebuie să evalueze mai întâi probabilitatea unui
risc care decurge dintr-o încălcare înainte de a o notifica operatorului; operatorul
trebuie să facă această evaluare atunci când ia cunoștință de încălcare.
Persoana împuternicită de operator trebuie să stabilească doar dacă a avut loc o
încălcare și ulterior să o notifice operatorului. Operatorul se bazează pe persoana
împuternicită de acesta pentru a-și atinge obiectivele; prin urmare, în principiu, ar trebui
considerat că operatorul are „cunoștință” odată ce persoana împuternicită de acesta l-
a informat despre încălcare. Obligația persoanei împuternicite de operator de a notifica
operatorul său permite acestuia din urmă să remedieze încălcarea și să stabilească
dacă este sau nu obligat să notifice încălcarea autorității de supraveghere în
conformitate cu articolul 33 alineatul (1) și persoanelor afectate în conformitate cu
articolul 34 alineatul (1). De asemenea, operatorul ar putea dori să investigheze
încălcarea, întrucât persoana împuternicită de operator ar putea să nu fi în măsură să
cunoască toate faptele relevante cu privire la aceasta, de exemplu dacă operatorul
mai deține o copie sau o copie de rezervă a datelor cu caracter personal distruse sau
pierdute de către persoana împuternicită de operator. Acest lucru poate afecta
obligația ulterioară a operatorului de a efectua notificarea.
RGPD nu oferă un termen explicit în care persoana împuternicită de operator trebuie
să alerteze operatorul, cu excepția faptului că operatorul trebuie să facă acest lucru
„fără întârzieri nejustificate”. Prin urmare, GL29 recomandă persoanei împuternicite de
operator să transmită de îndată operatorului o notificare, furnizând informații
suplimentare despre încălcare în etape, pe măsură ce devin disponibile mai multe

8
detalii. Acest lucru este important pentru a ajuta operatorul să îndeplinească cerința
de notificare a autorității de supraveghere în termen de 72 de ore.
Astfel cum s-a explicat mai sus, contractul dintre operator și persoana împuternicită de
operator ar trebui să precizeze modul în care ar trebui îndeplinite cerințele formulate
la articolul 33 alineatul (2), în plus față de alte dispoziții din RGPD. Aceasta poate
include cerințe pentru notificarea timpurie de către persoana împuternicită de operator
care, la rândul său, contribuie la îndeplinirea obligațiilor operatorului de a raporta
autorității de supraveghere în termen de 72 de ore.
În cazul în care persoana împuternicită de operator oferă servicii mai multor operatori
care sunt toți afectați de același incident, persoana împuternicită de operator va trebui
să transmită fiecărui operator detalii despre incident.
O persoană împuternicită de operator ar putea efectua o notificare în numele
operatorului, în cazul în care operatorul a acordat persoanei împuternicite de acesta
autorizația corespunzătoare și aceasta face parte din mecanismele contractuale dintre
operator și persoana împuternicită de operator. O astfel de notificare trebuie efectuată
în conformitate cu articolele 33 și 34. Cu toate acestea, este important de reținut că
responsabilitatea juridică de notificare revine în continuare operatorului.

Furnizarea de informații autorității de supraveghere. Informațiile care trebuie

furnizate
Atunci când un operator notifică o încălcare autorității de supraveghere, articolul 33
alineatul (3) prevede că acesta ar trebui, cel puțin, să:
„(a) descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo
unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză,
precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter
personal în cauză;
(b) comunice numele și datele de contact ale responsabilului cu protecția datelor sau
un alt punct de contact de unde se pot obține mai multe informații;
(c) descrie consecințele probabile ale încălcării securității datelor cu caracter personal;
(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia
problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile
pentru atenuarea eventualelor sale efecte negative.”

RGPD nu definește categoriile de persoane vizate sau înregistrările de date cu

caracter personal. Cu toate acestea, GL29 sugerează că aceste categorii de persoane
vizate se referă la diferitele tipuri de persoane ale căror date cu caracter personal au
fost afectate de o încălcare: în funcție de descriptorii utilizați, acestea ar putea include,
printre altele, copiii și alte grupuri vulnerabile, persoanele cu dizabilități, angajații sau
clienții. În mod similar, categoriile de înregistrări de date cu caracter personal se pot
referi la diferitele tipuri de înregistrări pe care le poate prelucra operatorul, cum ar fi
datele medicale, foaia matricolă cu rezultatele educaționale, informații privind asistența
socială, detalii financiare, numere de conturi bancare, numere de pașapoarte etc.
Considerentul 85 arată clar că unul dintre scopurile notificării este limitarea prejudiciilor
aduse persoanelor. În consecință, dacă tipurile de persoane vizate sau tipurile de date
cu caracter personal indică riscul anumitor prejudicii care apar ca urmare a unei
încălcări (de exemplu, furt sau fraudă de identitate, pierdere financiară, amenințare la
adresa secretului profesional), atunci este important ca notificarea să indice aceste
categorii. Astfel aceasta este legată de cerința de a descrie consecințele posibile ale
încălcării.

9
Chiar dacă nu sunt disponibile informații precise (de exemplu, numărul exact de
persoane vizate afectate), aceasta nu ar trebui să constituie o barieră pentru
notificarea în timp util a încălcării. RGPD permite aproximări în ceea ce privește
numărul de persoane afectate și numărul de înregistrări de date cu caracter personal
în cauză. Accentul ar trebui să fie plasat pe remedierea efectelor negative ale
încălcării, mai degrabă decât pe furnizarea de cifre precise. Astfel, atunci când a
devenit clar că s-a produs o încălcare într-un anumit caz, dar încă nu este cunoscută
amploarea acesteia, o notificare în etape (a se vedea mai jos) este o modalitate sigură
de a respecta obligațiile de notificare.
Articolul 33 alineatul (3) prevede că operatorul furnizează „cel puțin” aceste informații
printr-o notificare, astfel încât un operator poate, dacă este necesar, să furnizeze detalii
suplimentare. Diferitele tipuri de încălcări (confidențialitate, integritate sau
disponibilitate) ar putea necesita furnizarea de informații suplimentare pentru a explica
pe deplin circumstanțele fiecărui caz.
Exemplu
Ca parte a notificării adresate autorității de supraveghere, un operator poate considera
că este util să menționeze numele persoanei împuternicite de operator, dacă aceasta
se află la originea unei încălcări, în special dacă aceasta a condus la un incident care
afectează înregistrările de date cu caracter personal ale multor altor operatori care
utilizează aceeași persoană împuternicită de operator.
În orice caz, autoritatea de supraveghere poate solicita detalii suplimentare în cadrul
investigației sale cu privire la o încălcare.
Notificarea în etape
În funcție de natura încălcării, poate fi necesară o investigație suplimentară efectuată
de către operator pentru a stabili toate faptele relevante referitoare la incident. Prin
urmare, articolul 33 alineatul (4) prevede că:
„Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același
timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate”.
Aceasta înseamnă că RGPD recunoaște că operatorii nu vor avea întotdeauna toate
informațiile necesare cu privire la o încălcare în termen de 72 de ore de la luare la
cunoștință a acesteia, întrucât detaliile complete și ample cu privire la incident nu pot
fi disponibile întotdeauna în această perioadă inițială. Ca atare, RGPD permite o
notificare în etape. Probabil că acest lucru va fi valabil, de asemenea, pentru încălcări
mai complexe, cum ar fi anumite tipuri de incidente de securitate cibernetică atunci
când, de exemplu, poate fi necesară o anchetă criminalistică detaliată pentru a stabili
pe deplin natura încălcării și măsura în care au fost compromise datele cu caracter
personal. În consecință, în multe cazuri, operatorul va trebui să efectueze mai multe
investigații și să revină cu informații suplimentare la o dată ulterioară. Acest lucru este
permis în cazul în care operatorul prezintă motive pentru întârziere, în conformitate cu
articolul 33 alineatul (1). GL29 recomandă ca, atunci când operatorul notifică pentru
prima dată autoritatea de supraveghere, acesta ar trebui să informeze, de asemenea,
autoritatea de supraveghere în cazul în care nu dispune încă de toate informațiile
necesare și va furniza mai multe detalii ulterior. Autoritatea de supraveghere ar trebui
să convină asupra modului și momentului în care ar trebui furnizate informații
suplimentare. Acest lucru nu împiedică operatorul să furnizeze informații suplimentare
în orice altă etapă, în cazul în care i se aduc la cunoștință detalii suplimentare relevante
despre încălcare care trebuie furnizate autorității de supraveghere.
Obiectul cerinței de notificare este de a încuraja operatorii să acționeze cu
promptitudine cu privire la o încălcare, să o limiteze și, dacă este posibil, să recupereze
datele cu caracter personal compromise și să solicite avizul competent al autorității de

10
supraveghere. Notificarea autorității de supraveghere în primele 72 de ore poate
permite operatorului să se asigure că deciziile privind notificarea sau lipsa notificării
persoanelor sunt corecte.
Cu toate acestea, scopul notificării autorității de supraveghere nu este numai de a
obține îndrumări asupra necesității de a informa persoanele afectate. În anumite
cazuri, va fi evident că, având în vedere natura încălcării și gravitatea riscului,
operatorul va trebui să notifice persoanele afectate fără întârziere. De exemple, dacă
există o amenințare imediată de furt de identitate sau în cazul în care categoriile
speciale de date cu caracter personal sunt divulgate online, operatorul ar trebui să
acționeze fără întârzieri nejustificate pentru a limita încălcarea și pentru a o comunica
persoanelor vizate (a se vedea secțiunea III). În circumstanțe excepționale, acest lucru
ar putea avea loc chiar înainte de notificarea autorității de supraveghere. La un nivel
mai general, notificarea autorității de supraveghere nu poate servi drept justificare
pentru necomunicarea încălcării către persoana vizată atunci când acest lucru este
necesar.
De asemenea, ar trebui să fie clar că, după efectuarea unei notificări inițiale, un
operator ar putea să transmită actualizări autorității de supraveghere în cazul în care
într-o investigație ulterioară se descoperă dovezi că incidentul de securitate este limitat
și că nu a avut loc de fapt nicio încălcare. Aceste informații ar putea fi adăugate ulterior
informațiilor deja furnizate autorității de supraveghere, iar incidentul să fie înregistrat
corespunzător ca nefiind o încălcare. Nu există nici o sancțiune pentru raportarea unui
incident care în cele din urmă se dovedește a nu fi o încălcare.
Exemplu
Un operator notifică autorității de supraveghere în termen de 72 de ore de la detectarea
unei încălcări că a pierdut o cheie USB care conține o copie a datelor cu caracter
personal ale unora dintre clienții săi. Mai târziu, cheia USB este găsită, fiind îndosariată
greșit în incinta operatorului și este recuperată. Operatorul furnizează informații
actualizate autoritatea de supraveghere și solicită modificarea notificării.
Ar trebui remarcat faptul că o abordare pe etape a notificării se aplică deja în
conformitate cu obligațiile existente din Directiva 2002/58/CE, Regulamentul 611/2013
și pentru alte incidente auto˗raportate.
Notificări amânate
Articolul 33 alineatul (1) precizează că, în cazul în care notificarea către autoritatea de
supraveghere nu se face în termen de 72 de ore, aceasta este însoțită de motive
întârzierii. Această dispoziție, împreună cu noțiunea de notificare în etape, recunoaște
că un operator nu poate fi întotdeauna în măsură să notifice o încălcare în termenul
respectiv și că o notificare întârziată poate fi admisă.
Un astfel de scenariu ar putea avea loc în cazul în care, de exemplu, un operator
suportă mai multe încălcări de confidențialitate similare într-o perioadă scurtă de timp,
care afectează în același mod un număr mare de persoane vizate. Un operator ar
putea lua cunoștință de o încălcare și, în timp ce începe investigația și înainte de
notificare, poate depista alte încălcări similare, care au cauze diferite. În funcție de
circumstanțe, este posibil ca operatorul să necesite ceva timp pentru a stabili
amploarea încălcărilor și, mai degrabă decât să notifice fiecare încălcare în mod
individual, operatorul pregătește în schimb o notificare semnificativă care reprezintă
mai multe încălcări foarte asemănătoare, cu posibile cauze diferite. Acest lucru ar
putea conduce la întârzierea notificării transmise autorității de supraveghere cu mai
mult de 72 de ore după ce operatorul a luat cunoștință de încălcări.
Strict vorbind, fiecare încălcare individuală este un incident raportabil. Cu toate
acestea, pentru a evita o sarcină excesivă, operatorul ar putea să prezinte o notificare

11
„grupată” care să reprezinte toate încălcările în cauză, cu condiția să se refere la
aceleași tipuri de date cu caracter personal afectate în același mod, într-un interval de
timp relativ scurt. În cazul în care are loc o serie de încălcări care privesc diferite tipuri
de date cu caracter personal, a căror securitate a fost încălcată în moduri diferite,
notificarea ar trebui să se desfășoare în mod normal, fiecare încălcare fiind raportată
în conformitate cu articolul 33.
În timp ce RGPD permite notificări întârziate într-o anumită măsură, acest lucru nu
trebuie văzut ca o situație care are loc în mod regulat. Trebuie subliniat faptul că
notificările grupate pot fi efectuate, de asemenea, pentru mai multe încălcări similare
raportate în decurs de 72 de ore.

Încălcări la nivel transfrontalier

În cazul în care există o prelucrare transfrontalieră a datelor cu caracter personal, o
încălcare poate afecta persoane vizate din mai multe state membre. Articolul 33
alineatul (1) precizează că, atunci când s-a produs o încălcare, operatorul ar trebui să
notifice încălcarea autorității de supraveghere competente în conformitate cu articolul
55 din RGPD.
Articolul 55 alineatul (1) prevede că:
„Fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să
exercite competențele care îi sunt conferite în conformitate cu prezentul regulament
pe teritoriul statului membru de care aparține.”
Cu toate acestea, articolul 56 alineatul (1) prevede următoarele:
„Fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal
sau a sediului unic al operatorului sau al persoanei împuternicite de operator este
competentă să acționeze în calitate de autoritate de supraveghere principală pentru
prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană
împuternicită în cauză în conformitate cu procedura prevăzută la articolul 60.”
În plus, articolul 56 alineatul (6) prevede că:
„Autoritatea de supraveghere principală este singurul interlocutor al operatorului sau
al persoanei împuternicite de operator în ceea ce privește prelucrarea transfrontalieră
efectuată de respectivul operator sau de respectiva persoană împuternicită de
operator”.
Aceasta înseamnă că, ori de câte ori o încălcare are loc în contextul prelucrării
transfrontaliere și este necesară notificarea, operatorul va trebui să notifice încălcarea
autorității de supraveghere principale. Prin urmare, atunci când își elaborează planul
de răspuns la încălcări, un operator trebuie să evalueze care autoritate de
supraveghere este autoritatea principală de supraveghere pe care va trebui să o
notifice. Acest lucru va permite operatorului să răspundă cu promptitudine la o
încălcare și să își îndeplinească obligațiile care îi revin în temeiul articolului 33. Ar
trebui să fie clar că, în cazul unei încălcări care implică prelucrarea transfrontalieră,
notificarea trebuie transmisă autorității de supraveghere principale, care nu se află
neapărat în locul unde sunt stabilite persoanele vizate afectate sau chiar în locul unde
a avut loc încălcarea. Atunci când transmite o notificare autorității principale, operatorul
ar trebui să indice, după caz, dacă încălcarea implică unități situate în alte state
membre, precum și statele membre în care este posibil ca persoane vizate să fi fost
afectate de încălcare. În cazul în care operatorul are îndoieli cu privire la identitatea
autorității principale de supraveghere, acesta ar trebui să informeze, cel puțin,
autoritatea de supraveghere de la nivel local acolo unde a avut loc încălcarea.

12
Încălcări care au loc în unități din afara UE
Articolul 3 se referă la domeniul teritorial de aplicare a RGPD, inclusiv atunci când
acesta se aplică prelucrării datelor cu caracter personal de către un operator sau o
persoană împuternicită de operator care nu este stabilită în UE. În special, articolul 3
alineatul (2) prevede:
„Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor
persoane vizate care se află în Uniune de către un operator sau o persoană
împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de
prelucrare sunt legate de:
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent
dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
(b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.”
Articolul 3 alineatul (3) este, de asemenea, relevant și prevede:
„Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un
operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în
temeiul dreptului internațional public.”
În cazul în care un operator care nu este stabilit în UE face obiectul dispozițiilor
articolului 3 alineatul (2) sau alineatul (3) și se confruntă cu o încălcare, acesta este
obligat, prin urmare, să respecte obligațiile de notificare prevăzute la articolele 33 și
34. Articolul 27 impune unui operator (și persoanei împuternicite de operator) să
desemneze un reprezentant în UE, în cazul în care se aplică articolul 3 alineatul (2).
În astfel de cazuri, GL29 recomandă ca notificarea să fie făcută autorității de
supraveghere din statul membru în care este stabilit reprezentantul în UE al
operatorului.
În mod similar, în cazul în care o persoană împuternicită de operator face obiectul
dispozițiilor articolului 3 alineatul (2), aceasta se află sub incidența obligațiilor asumate
de persoanele împuternicite de operator, din care cea care prezintă o importanță
deosebită în cazul de față este obligația de a notifica o încălcare operatorului în
conformitate cu articolul 33 alineatul (2).

CONDIȚII ÎN CARE NU ESTE NECESARĂ NOTIFICAREA

Articolul 33 alineatul (1) precizează că încălcările care nu sunt „susceptibile să
genereze un risc pentru drepturile și libertățile persoanelor fizice” nu necesită
notificarea autorității de supraveghere. Un exemplu ar putea fi cazul în care datele cu
caracter personal sunt deja disponibile în mod public și o divulgare a acestor date nu
constituie un risc probabil pentru persoana vizată. Acest lucru este în contrast cu
cerințele existente privind notificarea încălcării pentru furnizorii de servicii de
comunicații electronice disponibile publicului în Directiva 2009/136/CE, care
precizează că toate încălcările relevante trebuie notificate autorității competente.
În Avizul său 03/2014 privind notificarea încălcării34, GL29 a explicat că încălcarea
confidențialității datelor cu caracter personal care au fost criptate utilizând un algoritm
de ultimă generație este în continuare o încălcare a datelor cu caracter personal și
trebuie notificată. Cu toate acestea, în cazul în care confidențialitatea cheii este intactă
– și anume, cheia nu a fost compromisă în nicio încălcare a securității și a fost generată
astfel încât să nu poată fi identificată prin mijloace tehnice disponibile de către nicio
persoană care nu este autorizată să o acceseze – datele sunt în principiu neinteligibile.
Astfel, este puțin probabil ca încălcarea să afecteze persoanele și, prin urmare, nu ar
impune informarea persoanelor respective. Cu toate acestea, chiar dacă datele sunt
criptate, o pierdere sau o modificare poate avea consecințe negative pentru
persoanele vizate, în cazul în care operatorul nu are copii de rezervă adecvate. În

13
acest caz, ar fi necesară informarea persoanelor vizate, chiar dacă datele în sine
făceau obiectul unor măsuri de criptare adecvate.
De asemenea, GL29 a explicat că o situație similară ar fi cea în care date cu caracter
personal, cum ar fi parolele, au fost criptate și securizate utilizând o valoare aleatorie
(„salt”), valoarea algoritmului de criptare (hash) a fost calculată cu o funcție hash de
ultimă generație cu cheie criptografică, cheia utilizată pentru a cripta datele nu a fost
compromisă în nicio încălcare și cheia utilizată pentru a cripta datele au fost generată
astfel încât să nu poată fi identificată prin mijloace tehnologice disponibile de nicio
persoană care nu este autorizată să o acceseze.
În consecință, dacă datele cu caracter personal au fost făcute în esență neinteligibile
pentru părțile neautorizate și există o copie sau o copie de rezervă, în cazul unei
încălcări a confidențialității care implică date cu caracter personal criptate în mod
corespunzător ar putea să nu fie necesară notificarea autorității de supraveghere.
Aceasta se datorează faptului că este puțin probabil ca o astfel de încălcare să
reprezinte un risc pentru drepturile și libertățile persoanelor. Bineînțeles, acest lucru
înseamnă că nici persoana nu va trebui să fie informată, întrucât probabil nu există un
risc ridicat. Cu toate acestea, ar trebui să se țină seama de faptul că, deși inițial nu
este necesară notificarea în cazul în care probabil nu există un riscuri pentru drepturile
și libertățile persoanelor, acest lucru se poate schimba în timp, iar riscul ar trebui
reevaluat. De exemplu, în cazul în care se constată ulterior că a fost compromisă
cheia sau este expusă o vulnerabilitate în software-ul de criptare, este posibil ca
notificarea să fie în continuare necesară.
În plus, ar trebui remarcat faptul că, dacă există o încălcare într-un caz în care nu
există copii de rezervă ale datelor cu caracter personal criptate, atunci va exista o
încălcare a disponibilității, care ar putea prezenta riscuri pentru persoane și, prin
urmare, poate necesita notificare. În mod similar, în cazul în care are loc o încălcare
care implică pierderea datelor criptate, chiar dacă există o copie de rezervă a datelor
cu caracter personal, aceasta ar putea fi totuși o încălcare raportabilă, în funcție de
perioada de timp necesară pentru recuperarea datelor din copia de rezervă și de
efectul lipsei de disponibilitate asupra persoanelor. Astfel cum prevede articolul 32
alineatul (1) litera (c), un factor important de securitate este „capacitatea de a restabili
disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul
în care are loc un incident de natură fizică sau tehnică”.
Exemplu
O încălcare care nu ar necesita notificarea autorității de supraveghere ar fi pierderea
unui dispozitiv mobil criptat securizat, utilizat de operator și personalul său. În cazul în
care cheia de criptare rămâne în posesia securizată a operatorului și aceasta nu este
singura copie a datelor cu caracter personal, datele cu caracter personal nu ar fi
accesibile unui atacator. Aceasta înseamnă că este puțin probabil ca încălcarea să
genereze un risc pentru drepturile și libertățile persoanelor vizate în cauză. Dacă
ulterior devine evident că a fost compromisă cheia de criptare sau că software-ul sau
algoritmul de criptare este vulnerabil, atunci riscul pentru drepturile și libertățile
persoanelor fizice se va schimba și, prin urmare, notificarea poate deveni necesară.
Cu toate acestea, va constitui o nerespectare a articolului 33 dacă un operator nu
notifică autoritatea de supraveghere într-o situație în care datele nu au fost criptate
securizat. Prin urmare, atunci când selectează software de criptare, operatorii ar trebui
să evalueze cu atenție calitatea și aplicarea corectă a criptării oferite, pentru a înțelege
ce nivel de protecție oferă de fapt și dacă acesta este adecvat riscurilor prezentate. De
asemenea, operatorii ar trebui să fie familiarizați cu specificul funcționării produsului
lor de criptare. De exemplu, un dispozitiv poate fi criptat odată ce este oprit, dar nu în

14
timp ce se află în modul „standby”. Unele produse care utilizează criptarea au „chei
prestabilite” care trebuie să fie modificate de către fiecare client pentru a fi eficace. De
asemenea, criptarea poate fi considerată adecvată în prezent de către experți din
domeniul securității, dar poate deveni depășită în câțiva ani, ceea ce înseamnă că este
discutabil dacă datele ar fi suficient de criptate de produsul respectiv și ar oferi un nivel
adecvat de protecție.

Concluzie
GDPR introduce o obligație pentru toate organizațiile de a raporta anumite tipuri
de încălcări ale datelor cu caracter personal către autoritatea de supraveghere
competentă. Trebuie să faceți acest lucru în termen de 72 de ore de la
conștientizarea încălcării, acolo unde este posibil.
Dacă încălcarea este susceptibilă să ducă la un risc ridicat de a afecta drepturile și
libertățile persoanelor, trebuie să le informați și pe acei indivizi fără întârzieri
nejustificate.
Ar trebui să vă asigurați că aveți proceduri robuste de detectare, investigație
și raportare internă. Acest lucru va facilita luarea deciziilor cu privire la necesitatea
notificării sau nu a autorității de supraveghere relevante și a persoanelor afectate.
De asemenea, trebuie să păstrați o evidență a oricăror încălcări ale datelor cu
caracter personal, indiferent dacă vi se cere să notificați.

În cazul în care operatorii nu comunică autorității de supraveghere sau persoanelor

vizate sau ambelor entități o încălcare a securității datelor, deși sunt îndeplinite
cerințele articolului 33 și/sau ale articolului 34, autoritatea de supraveghere are
opțiunea, pe baza unei analize a tuturor măsurilor corective aflate la dispoziția
acesteia, de a lua în considerare impunerea amenzii administrative fie pentru a
însoți o măsură corectivă în temeiul articolului 58 alineatul (2), fie ca atare. Atunci când
se optează pentru aplicarea unei amenzi administrative, valoarea acesteia poate fi de
până la 10 000 000 EUR sau până la 2 % din cifra de afaceri mondială totală anuală
a unei întreprinderi, în conformitate cu articolul 83 alineatul (4) litera (a) din RGPD. De
asemenea, este important să se țină seama de faptul că, în unele cazuri,
nerespectarea obligației de a notifica o încălcare ar putea semnala fie o lipsă a
măsurilor de securitate existente, fie caracterul neadecvat al măsurilor de securitate
existente. Orientările GL29 privind amenzile administrative prevăd că: „Apariția mai
multor încălcări diferite comise împreună într-un anumit caz înseamnă că autoritatea
de supraveghere poate să aplice amenzile administrative la un nivel care să fie eficace,
proporțional și disuasiv în limita celei mai grave încălcări”. În acest caz, autoritatea de
supraveghere va avea, de asemenea, posibilitatea de a aplica sancțiuni, pe de o parte,
pentru nerespectarea obligației de a notifica sau a comunica încălcarea (articolele 33
și 34) și, pe de altă parte, pentru absența măsurilor de securitate (adecvate) (articolul
32), întrucât acestea reprezintă două încălcări distincte ale regulamentului.

Plângeri adresate autorității de supraveghere

În vederea apărării drepturilor prevăzute de prezenta lege, persoanele ale căror
date cu caracter personal fac obiectul unei prelucrări care cade sub incidența legii
pot înainta plângere către autoritatea de supraveghere.
Plângerea se poate face direct sau prin reprezentant.
Plângerea către autoritatea de supraveghere nu poate fi înaintată dacă o cerere în
justiție, având același obiect și aceleași pârți, a fost introdusă anterior.

15
În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent și ireparabil,
plângerea către autoritatea de supraveghere nu poate fi înaintată mai devreme de
15 zile de la înaintarea unei plângeri cu același conținut către operator.
Dacă plângerea este găsită întemeiată, autoritatea de supraveghere poate dispune
suspendarea provizorie sau încetarea prelucrării datelor, ștergerea parțială sau
integrală a prelucrării datelor și poate să sesizeze organele de urmărire penală sau
să intenteze acțiune în justiție. Decizia trebuie motivată și se comunică părților
interesate în termen de 30 de zile de la data primirii plângerii.
Când a avut loc o încălcare a datelor cu caracter personal, trebuie să stabiliți
probabilitatea și severitatea riscului care rezultă în drepturile și libertățile
cetățenilor. Dacă este probabil că va exista un risc, atunci trebuie să informați
ANSPDCP; dacă este puțin probabil, atunci nu trebuie să raportați. Cu toate
acestea, dacă decideți că nu este necesar să raportați încălcarea, trebuie să
puteți justifica această decizie, deci ar trebui să o documentați.

În evaluarea riscului la adresa drepturilor și libertăților, este important să ne

concentrăm asupra consecințelor negative potențiale asupra persoanelor.
Considerentul 85 al GDPR explică faptul că:
"Dacă o încălcare a datelor cu caracter personal poate să ducă la daune fizice,
materiale sau morale persoanelor fizice, cum ar fi pierderea controlului asupra
datelor lor personale sau limitarea drepturilor lor, discriminarea, furtul de identitate
sau frauda, pierderea financiară, inversarea neautorizată a pseudonimiei,
prejudiciul reputației, pierderea confidențialității datelor cu caracter personal
protejate prin secretul profesional sau orice alt dezavantaj economic sau social
semnificativ față de persoana fizică în cauză ".
Aceasta înseamnă că o încălcare poate avea o serie de efecte adverse asupra
persoanelor, care includ stresul emoțional și daunele fizice și materiale. Unele
încălcări ale datelor cu caracter personal nu vor conduce la riscuri dincolo de
eventualele inconveniente pentru cei care au nevoie de date pentru a-și face
treaba. Alte încălcări pot afecta în mod semnificativ persoanele ale căror date cu
caracter personal au fost compromise. Trebuie să evaluați acest caz de la caz la
caz, analizând toți factorii relevanți.
Prin urmare, în momentul în care sesizați o încălcare, ar trebui să încercați să o
rețineți și să evaluați consecințele negative potențiale pentru persoane, bazate pe
cât de grave sau substanțiale sunt acestea și pe cât de probabil se vor întâmpla.

16
DIAGRAMĂ CARE PREZINTĂ CERINȚELE DE NOTIFICARE

17
Contact ANSPDCP
Sediul Autorității Naționale de Supraveghere a Prelucrării Datelor cu
Caracter Personal: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal
010336, București, Romania
Telefon: +40.318.059.211 / +40.318.059.212
Sit web: www.dataprotection.ro
E-mail: anspdcp@dataprotection.ro

18
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL

MODULUL VII

Aspecte specifice cu privire la rolul și

activitatea responsabilului cu protecția
datelor cu caracter personal

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020

RESUM Consulting S.R.L.

RC
Ploiesti, Romania
 1

CONȚINUT TEMATIC:
 Desemnarea responsabilului cu protecția datelor cu caracter
personal
 Rolul și atribuțiile responsabilului cu protecția datelor cu caracter
personal
 Poziția responsabilului cu protecția datelor cu caracter personal în
cadrul organizației
 Principiul obiectivității în desfășurerea sarcinilor și activităților
responsabilului cu protecția datelor cu caracter personal (garanțiile
care permit responsabilului cu protecția datelor cu caracter
personal să-și îndeplinescă sarcinile în mod independent).
Conflictul de interese cu alte structuri din cadrul organizației
 Obligațiile organizației față de responsabilul cu protecția datelor cu
caracter personal. Resursele de care trebuie să beneficieze
responsabilul cu protecția datelor cu caracter personal în vederea
îndeplinirii sarcinilor
 Obligațiile responsabilului cu protecția datelor cu caracter personal
din perspectiva dezvoltării profesionale continue (inclusiv a
personalului organizației). Metode de responsabilizare a
personalului organizației
 Răspunderea responsabilului cu protecția datelor cu caracter
personal

1
 2

Un element de noutate pe care GDPR îl aduce în peisajul juridic românesc îl reprezintă

instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de
operator, în anumite cazuri, a unui responsabil cu protecția datelor.

Pentru asigurarea unei aplicări unitare a Regulamentului General privind Protecția

Datelor, Grupul de Lucru Art. 29 de pe lângă Comisia Europeană a emis Ghidul privind
Responsabilul cu protecția datelor (Data Protection Officer), accesibil la secțiunea
specială dedicată Regulamentului General privind Protecția Datelor, la adresa
http://www.dataprotection.ro/servlet/ViewDocument?id=1384, accesibilă pe site-ul
Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

RGPD recunoaște DPO ca un actor-cheie în noul sistem de guvernare al protecției

datelor și stabilește condițiile pentru numirea sa, poziția și sarcinile sale. Obiectivul
acestui cursului este de a clarifica prevederile relevante din RGPD pentru a ajuta
operatorii și persoanele împuternicite de operator în vederea respectării legii, dar și
pentru a ajuta DPO în ceea ce privește rolul său.

I. Cazurile în care este obligatorie desemnarea unui responsabil cu protecția

datelor
1. Când prelucrarea este efectuată de o autoritate publică sau un organism public,
cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale
2. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de
operator constau în operațiuni de prelucrarea care necesită o monitorizare
periodică și sistematică a persoanelor vizate pe scară largă
3. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de
operator constau în prelucrarea pe scară largă a unor categorii speciale de date
sau a unor categorii de date cu caracter personal privind condamnări penale și
infracțiuni

Ce înseamnă ”Activități principale”?

Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit,
aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal
efectuate.

La ce se referă „Monitorizarea periodică și sistematică”?

Aceasta presupune toate formele de urmărire și profilare pe Internet, inclusiv în scop de
publicitate comportamentală, nefiind însă restrictionată în mediul online.
Sintagma ”periodică și sistematică” presupune o activitate continuă și recurentă, care
implică prelucrări de date.

2
 3

Ce presupune prelucrarea ”Pe scară largă”?

Pentru a se stabili dacă o prelucrare este pe scară largă trebuie ținut cont de 4 criterii:
 numărul persoanelor vizate – un număr exact ori un procent din populația
relevantă;
 volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
 durata sau permanența activității de prelucrare a datelor;
 suprafața geografică a activității de prelucrare.

Ce înseamnă ”Categorii speciale de date”?

Categoriile speciale sunt acele date cu caracter personal care dezvăluie originea rasială
sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau
apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru
identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind
viața sexuală sau orientarea sexuală ale unei persoane fizice.
Exemple de situații care pot constitui o monitorizare periodică și sistematică a
persoanelor vizate:
 gestionarea unei rețele de telecomunicații;
 profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării
unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea
spălării banilor);
 urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare);
 desfășurarea de programe de loialitate;
 monitorizarea stării de sănătate prin intermediul dispozitivelor portabile;
 televiziune cu circuit închis - CCTV;
 prelucrarea datelor pacienților de către un spital;
 prelucrarea datelor datelor de conținut, locație, trafic de către furnizorii de servicii
de internet;
 prelucrarea datelor personale de către companii de asigurări;
 publicitate comportamentală.

Când nu este necesară desemnarea unui responsabil cu protecţia datelor?

- atunci când nu se prelucrează pe scară largă date cu caracter personal.
Spre exemplu:
 prelucrarea datelor pacientului de către un cabinet medical individual;
 prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de
către un cabinet individual de avocatură.
De reținut !
Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor,
Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este
utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter
personal.

3
 4

II. Cine poate îndeplini funcția de responsabil cu protecția datelor?

Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabilește ca responsabilul cu
protecția datelor să fie ”desemnat pe baza calităţilor profesionale şi, în special, a
cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor,
precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”

Responsabilul cu protecția datelor

 în domeniul public,
 în domeniul privat, raportat la situațiile prevăzute expres de art. 37 RGDP
Responsabilul cu protecția datelor poate fi angajat al operatorului/persoanei
împuternicite de operator sau poate să-și îndeplinească sarcinile pe baza unui contract
de prestări servicii.
În domeniul public, poate fi desemnat pentru mai multe autorități sau instituții publice,
luând în considerare structura organizatorică și dimensiunea acestora

Calități și competențe:
 Trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt necesare
anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și
o anumită poziție în cadrul organizației.
 Trebuie să aibă anumite calități profesionale, astfel:
 experiență în legislația și practicile de protecție a datelor la nivel național și
european, precum și o înțelegere adecvată a RGPD;
 nivelul necesar de cunoștințe în domeniul protecției datelor în funcție de
operațiunile de prelucrare a datelor efectuate și de nivelul de protecție
necesar pentru datele cu caracter personal prelucrate;
 să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de
informații și necesitățile de securitate și protecție a datelor prelucrate de
operator;
 în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor
trebuie să dețină, de asemenea, cunoștințe privind reglementările legale
referitoare la organizarea și funcționarea acestora, precum și a procedurilor
interne administrative ce vizează desfășurarea activității.

Principala preocupare a responsabilului cu protecția datelor trebuie să fie respectarea

Regulamentului General privind Protecția Datelor și a reglementărilor naționale
incidente.

Este obligat să păstreze secretul sau confidențialitatea în ceea ce privește

îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.

4
 5

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile

cu responsabilul cu protecția datelor, este obligat să:
 publice datele de contact ale responsabilului (adresă poștală, număr de telefon
alocat special și/sau o adresă de email alocată special).
 comunice datele de contact ale responsabilului către Autoritatea Națională de
Supraveghere a Prelucrării Datelor cu Caracter Personal.

Responsabilului cu protecția datelor îi este permis să aibă și alte funcții.

Acestuia îi pot fi încredințate și alte sarcini și atribuții, cu condiția ca acestea să nu dea
naștere unor conflicte de interese (de ex: nu poate fi director executiv, director
operațional, director financiar, șeful serviciului medical, șeful departamentului de
marketing, șeful departamentului de resurse umane sau șeful departamentului IT).
Responsabilul pentru protecția datelor nu poate fi demis sau sancționat de operator sau
persoana împuternicită de operator pentru îndeplinirea sarcinilor sale.
De exemplu, responsabilul nu poate fi demis pentru oferirea unui sfat conform sacinilor
sale.
Un responsabil cu protecția datelor ar putea fi totuși demis, în mod legal, din alte motive
decât cele privind îndeplinirea sarcinilor sale în această calitate.
De exemplu, responsabilul poate fi demis în caz de furt, hărțuire ori o abatere gravă
similară.
Există anumite garanții ce-i permit DPO să acționeze în mod independent:
 nu primește instrucțiuni de la operator sau persoana împuternicită de operator în
ceea ce privește îndeplinirea sarcinilor sale
 nu este demis sau sancționat de operator pentru îndeplinirea sarcinilor sale
 nu există conflict de interese cu alte posibile sarcini sau atribuții.
Celelalte sarcini sau atribuții ale DPO nu trebuie să genereze un conflic de interese.
Acest lucru presupune, în special, faptul că DPO nu poate deține o poziție în cadrul
organizației care ar conduce la posibilitatea ca DPO să stabilească scopurile și
mijloacele de prelucrare a datelor cu caracter personale. Acest lucru trebuie luat în
considerare de la caz la caz, ținându-se cont de structura organizațională specifică
fiecărei organizații.
Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot
include funcții de conducere (cum ar fi director executiv, director operațional, director
financiar, șeful serviciului medical, șeful departamentului de marketing, șef
departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și
alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și
mijloacelor de prelucrare. În plus, un conflict de interese poate apărea, de asemenea, de
exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau
persoana împuternicită de operator în instanță, în cazurile care implică probleme de
protecție a datelor.

5
 6

III. Sarcinile responsabilului cu protecția datelor

 de a informa şi consilia operatorul, sau persoana împuternicită de operator,
precum şi angajaţii care se ocupă de prelucrările de date;
 de a monitoriza respectarea Regulamentului, a altor dispoziţii de drept al Uniunii
sau de drept intern referitoare la protecţia datelor;
 de a consilia operatorul în ceea ce priveşte realizarea unei analize de impact
asupra protecţiei datelor şi de a monitoriza executarea acesteia;
 de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de
contact cu aceasta;
 de a ține seama în mod corespunzător de riscul asociat operațiunilor de
prelucrare, la îndeplinirea sarcinilor sale.

Este important ca DPO să fie văzut ca un partener de discuție în cadrul organizației și ca

acesta să facă parte din grupurile de lucru relevante care se ocupă cu activități de
prelucrare a datelor din cadrul organizației.
În consecință, organizația ar trebui să se asigure, de exemplu, că:
 DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și
la nivel mediu.
 Prezența DPO este recomandată în cazul în care se iau decizii cu implicații
asupra protecției datelor. Toate informațiile relevante trebuie să fie transmise
DPO în timp util pentru a permite ca acesta să ofere o consiliere corespunzătoare.
 Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz
de dezacord, se recomandă, ca bună practică, documentarea motivelor pentru
care nu a fost urmat avizul DPO.
 DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a
securității datelor sau un alt incident.
 Atunci când este cazul, operatorul sau persoana împuternicită de operator ar
putea elabora ghiduri privind protecția datelor sau proceduri care stabilesc situații
când DPO trebuie să fie consultat.
 Organizația trebuie să ofere personal și resurse pentru a sprijini DPO să-și
îndeplinească atribuțiile. În acest sens, DPO din instituțiile și organismele UE pot
fi detașați de un asistent sau de un adjunct al DPO și se pot baza pe
coordonatorii de protecție a datelor (DCP) din fiecare secțiune a organizației.
Accesul la resurse include și facilități de instruire.
 DPO ar trebui să aibă autoritatea de a investiga. În instituțiile și organismele UE,
de exemplu, DPO au acces imediat la toate datele cu caracter personal și
operațiunile de prelucrare a datelor; cei responsabili sunt, de asemenea, obligați
să furnizeze informații ca răspuns la întrebările lui.
 Durata minimă de numire și condițiile stricte de concediere trebuie să fie stabilite
de organizație pentru un post DPO.

6
 7

În instituțiile și organismele UE, DPO este numit pentru o perioadă cuprinsă între 2 și 5
ani, poate fi reînnoit pentru o perioadă de maxim 10 ani și poate fi revocat numai cu
consimțământul EUPD.
În concluzie, DPO este acolo pentru a asista organizația în menținerea respectării
protecției datelor. Acestea ar trebui să ofere consultanță de specialitate, să sprijine
evaluările de impact și auditurile privind protecția datelor și să acționeze ca intermediar
între persoanele vizate, unitățile de afaceri ale organizației și autoritatea de
supraveghere.
Totodată, detaliile de contact ale DPO trebuie să fie disponibile publicului pentru accesul
persoanelor vizate, de exemplu pe pagina "Politica de confidențialitate" a unui site web,
iar angajații ar trebui să știe cine este DPO și cum să se angajeze cu aceștia.
Mai exact, DPO este autoritatea internă pentru îndrumarea privind protecția datelor
pentru toate activitățile care implică date cu caracter personal. Orice proiect nou, de
exemplu: arhitectură, proiectare sau plan care include date cu caracter personal ar
trebui să aibă contribuția unui DPO.
În schimb, disponibilitatea DPO pentru toate echipele este esențială. Orientarea DPO nu
trebuie neapărat urmată, dar dacă nu este, atunci acest lucru ar trebui să fie documentat
în mod explicit cu privire la motivul și la evaluarea riscurilor.

Asigurarea de resurse necesare pentru îndeplinirea atribuțiilor GDPR prin Art. 38

alineatul (2) impune ca organizația să sprijine DPO prin „asigurarea resurselor necesare
pentru exercitarea sarcinilor sale, precum și accesarea datelor cu caracter personal și a
operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate”.
Pentru sprijinirea activității DPO-ului, trebuie avute în vedere, în special,
următoarele aspecte:
• Sprijin activ al funcției DPO din partea managementului superior (cum ar fi la nivelul
consiliului de conducere).
• Timp suficient pentru DPO în vederea îndeplinirii atribuțiilor sale. Acest lucru este
deosebit de important în cazul în care un DPO intern este numit part-time sau în cazul în
care DPO extern realizează protecția datelor în plus față de alte atribuții.
• În caz contrar, conflictul de priorități poate rezulta în neglijarea sarcinilor DPO. Este
extrem de important să existe suficient timp pentru a se dedica sarcinilor DPO. Stabilirea
unui procent de timp pentru funcția DPO atunci când aceasta nu este realizată full-time
reprezintă o bună practică. De asemenea, o bună practică poate fi și determinarea
timpului necesar pentru îndeplinirea funcției, nivelul corespunzător de prioritate pentru
sarcinile DPO, cât și pentru DPO (sau organizație) să elaboreze un plan de lucru.
• Sprijin corespunzător în ceea ce privește resursele financiare, infrastructură (sediu,
facilități, echipament) și personal, după caz.
• Comunicare oficială către toți angajații cu privire la desemnarea DPO astfel încât să se
asigure că este cunoscută existența și funcționarea DPO

7
 8

Accesul necesar la alte servicii precum resurse umane, juridic, IT, securitate etc. astfel
încât DPO să beneficieze de un sprijin esențial, reacții și informații din partea altor
servicii.
• Pregătire continuă. DPO trebuie să aibă posibilitatea de a rămâne la curent cu evoluțiile
în domeniul protecției datelor. Obiectivul ar trebui să fie de a crește în mod constant
nivelul de expertiză al DPO, iar acesta ar trebui încurajat să participe la cursuri de
formare în legătură cu protecția datelor și la alte forme de dezvoltare profesională, cum
ar fi participarea la foruri privind protecția vieții private, seminare, etc.
• Având în vedere mărimea și structura organizației, ar putea fi necesară crearea unei
echipe DPO (un DPO și personalul său).
În general, cu cât operațiunile de prelucrare sunt mai complexe sau/și mai sensibile, cu
atât mai mult DPO trebuie să beneficieze de resurse. Funcția de protecție a datelor
trebuie să fie finanțată în mod eficient și suficient în ceea ce privește prelucrarea datelor
efectuată. În special, operatorii/persoanele împuternicite de operator trebuie să se
asigure că DPO „nu primește niciun fel de instrucțiuni în ceea ce privește
îndeplinirea sarcinilor sale”.
Considerentul 97 adaugă faptul că DPO „indiferent dacă este sau nu angajat al
operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod
independent”.

De asemenea, art. 38 (3) din GDPR stabilește anumite garanții de bază pentru a se
asigura că DPO este în măsură să-și îndeplinească sarcinile cu un grad suficient de
autonomie în cadrul organizației.
În special, operatorii/persoanele împuternicite de operator trebuie să se asigure că DPO
„nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale”.
Considerentul 97 adaugă faptul că DPO „indiferent dacă este sau nu angajat al
operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod
independent”.
Totodată, operatorul sau persoana împuternicită de operator este responsabil pentru
respectarea legislației privind protecția datelor și trebuie să poată demonstra
conformitatea.

Demiterea sau sancționarea DPO pentru îndeplinirea sarcinilor sale

Art. 38(3) impune ca DPO să nu „fie demis sau sancționat de operator sau persoana
împuternicită de operator pentru îndeplinirea sarcinilor sale”. Această cerință întărește
autonomia DPO și ajută la asigurarea că acesta acționează în mod independent și se
bucură de o protecție suficientă în îndeplinirea sarcinilor sale în ceea ce privește
protecție a datelor. Sancțiunile sunt interzise potrivit RGPR numai în cazul în care
acestea sunt impuse ca urmare a îndeplinirea sarcinilor DPO în calitate de DPO. De
exemplu, un DPO poate considera că o anumită prelucrare este de natură să conducă la
un risc ridicat și să consilieze operatorul sau persoana împuternicită de operator să

8
 9

efectueze o evaluare a impactului asupra protecției datelor, dar operatorul sau persoana
împuternicită de operator nu este de acord cu evaluarea DPO. Într-o astfel de situație,
DPO nu poate fi demis pentru oferirea acestui sfat. Sancțiunile pot lua o varietate de
forme și pot fi directe sau indirecte. Acestea ar putea consta, de exemplu, în lipsa sau
întârzierea promovării; prevenirea de la avansarea în carieră; negare de beneficii pe
care alți angajați le primesc.
Nu este necesar ca aceste sancțiuni să fie realizate efectiv, o simplă amenințare este
suficientă atât timp cât acestea sunt folosite pentru a sancționa DPO pe motive legate
de activitățile sale de DPO.
Ca o regulă normală de management și cum ar fi cazul pentru orice alt angajat sau
contractant în conformitate cu, și sub rezerva, dreptul intern în domeniul muncii sau
contractelor și cel penal aplicabil, un DPO ar putea fi totuși demis, în mod legal, din alte
motive decât cele privind îndeplinirea sarcinilor sale în calitate de DPO (de exemplu, în
caz de furt, hărțuire fizică, psihologică sau sexuală sau abatere gravă similară). În
acest context, trebuie remarcat faptul că RGPD nu specifică modul în care și când un
DPO poate fi demis sau înlocuit de către o altă persoană. Cu toate acestea, cu cât
contractul unui DPO este mai stabil și există mai multe garanții împotriva a concedierii
abuzive, cu atât mai probabil DPO va fi în măsură să acționeze în mod independent.
Prin urmare, WP29 ar saluta eforturile organizațiilor în acest sens.

Conflict de interese
Art. 38(6) permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea,
este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu
generează un conflict”. Absența conflictului de interese este strâns legată de obligația de
a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia
îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor
conflicte de interese. Acest lucru presupune, în special, faptul că DPO nu poate deține o
poziție în cadrul organizației care ar conduce la posibilitatea ca DPO să stabilească
scopurile și mijloacele de prelucrare a datelor cu caracter personale. Acest lucru trebuie
luat în considerare de la caz la caz, ținându-se cont de structura organizațională
specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care
poate intra în conflict pot include funcții de conducere (cum ar fi director executiv,
director operațional, director financiar, șeful serviciului medical, șeful departamentului de
marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în
același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili
scopurile și mijloacelor de prelucrare. În plus, un conflict de interese poate apărea, de
asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte
oporatorul sau persoana împuternicită de operator în instanță, în cazurile care implică
probleme de protecție a datelor.
În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru
operatori și persoanele împuternicite de operatori ar putea fi:

9
 10

 să identifice funcțiile ce ar fi incompatibile cu funcția de DPO

 să elaboreze norme interne în acest sens pentru a evita conflictele de interese
 să includă o explicație mai generală cu privire la conflictele de interese
 să declare că DPO lor nu are niciun conflict de interese în ceea ce privește funcția sa
ca și DPO, ca și modalitate de creștere a gradului de conștientizare a acestei cerințe
 să includă garanții în normele interne ale organizației și să se asigure că anunțul de
post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de
precis și detaliat pentru a evita conflictul de interese. În acest context, trebuie avut în
vedere faptul că respectivele conflicte de interese pot lua diverse forme în funcție de
faptul dacă DPO este recrutat intern sau extern.

Potrivit art. 38 (3) din GDPR, DPO nu poate „fi demis sau sancționat de operator sau
de către persoana împuternicită de operator pentru îndeplinirea sarcinilor sale”.
Cerință care întărește autonomia DPO și ajută la asigurarea că acesta acționează în
mod independent și se bucură de o protecție suficientă în îndeplinirea sarcinilor sale în
ceea ce privește protecție a datelor.

Cu toate acestea, autonomia DPO nu înseamnă că acesta are competențe de luare a

deciziilor care se extind dincolo de sarcinile sale, potrivit art. 39. Operatorul sau
persoana împuternicită de operator este responsabil pentru respectarea legislației
privind protecția datelor și trebuie să poată demonstra conformitatea. Dacă operatorul
sau persoana împuternicită de operator ia decizii care sunt incompatibile cu RGPD și cu
opinia DPO, DPO ar trebui să aibă posibilitatea de a-și exprima clar opinia sa divergentă
la cel mai înalt nivel de management și persoanelor implicate în luarea deciziilor. În
acest sens, art. 38(3) prevede că DPO „răspunde direct în fața celui mai înalt nivel al
conducerii operatorului sau persoanei împuternicite de operator”.
O asemenea raportare directă asigură că managementul superior (consiliul de
conducere) este conștient de consilierea și recomandările DPO ca parte a misiunii DPO
de a informa și a consilia operatorul sau persoana împuternicită de operator. Un alt
exemplu de raportare directă este elaborarea unui raport annual al activităților DPO
oferit la cel mai înalt nivel de management.

În ceea ce privește evaluarea impactului operațiunilor de prelucrare (DPIA), operatorul

sau persoana împuternicită de operator solicită avizul DPO în legătură cu următoarele
aspecte, printre care:
 dacă să efectueze sau nu DPIA
 ce metodologie să fie folosită la efectuarea DPIA
 dacă să efectueze DPIA intern sau să externalizeze
 ce garanții (inclusiv măsuri tehnice și organizaționale) să pună în aplicare pentru
reducerea oricăror riscuri la adresa drepturilor și intereselor persoanelor vizate

10
 11

 dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă să
continue sau nu prelucrarea și ce garanții să pună în aplicare) respectă RGPD.

În ceea ce privește păstrarea unei evidențe a operațiunilor de prelucrare, operatorul sau

persoana împuternicită de operator, și nu DPO, are obligația de a păstra o evidență a
operațiunilor de prelucrare. Cu toate acestea, nimic nu împiedică operatorul sau
persoana împuternicită de operator să atribuie DPO sarcina de a păstra o evidență a
operațiunilor de prelucrare în numele operatorului sau persoanei împuternicite de
operator. O astfel de evidență trebuie să fie considerată ca fiind unul dintre
instrumentele care permit DPO să-și îndeplinească sarcinile de monitorizare a
conformității, informăre și consiliere a operatorului sau persoanei împuternicite de
operator.

In situatia unui incident de securitate, sarcinile Responsabilului cu Protectia Datelor

includ cooperarea cu Autoritatea de supraveghere si realizarea legaturii dintre aceasta si
persoanele vizate. Cu toate acestea, este important de subliniat faptul ca Responsabilul
pentru Protectia Datelor nu raspunde direct in fata Autoritatii Nationale de Supraveghere
a Prelucrarii Datelor cu Caracter Personal, aceasta raspundere revenind operatorului
sau persoanei imputernicite de operator, ci va raspunde doar in fata angajatorului sau.

în acest sens, dacă incidentul de securitate a fost generat chiar de către Responsabilul
cu Protectia Datelor, de neîndeplinirea sau îndeplinirea necorespunzătoare a sarcinilor
incredintate privind prelucrarea datelor, acesta va răspunde disciplinar, administrativ sau
civil în faâa operatorului sau persoanei împuternicite, ori, după caz, penal dacă acțiunile
ori inacțiunile sale constituie elementele constitutive ale unei infracțiuni .
De asemenea, în situația în care Responsabilul pentru Protecția Datelor este un salariat
al operatorului sau persoanei împuternicite, iar în urma unui incident de securitate
generat din culpa sa, se angajează răspunderea patrimonială a angajatorului,
operatorul-angajator (sau persoana împuternicită de operator, după caz) se va putea
întoarce impotriva salariatului sau Responsabil pentru Protecția Datelor, în temeiul art.
254 din Codul Muncii, potrivit căruia “salariații răspund patrimonial, în temeiul normelor
și principiilor răspunderii civile contractuale, pentru pagubele materiale produse
angajatorului din vina și în legatură cu munca lor”.
Concluzionând, Responsabilul pentru Protecția Datelor, deși poate juca un rol-cheie în
ceea ce privește raportarea și gestionarea incidentului de securitate privind datele cu
caracter personal, acesta nu va prelua răspunderea angajatorului (fie acesta un operator
de date cu caracter personal, fie o persoană împuternicită de operator) în fața Autorității
de Supraveghere ori a altor instituții abilitate.
Răspunderea Responsabilului pentru Protecția Datelor este, asadar, una personaă în
relația cu autoritățile, independenta de răspunderea angajatorului sau, atunci când fapta
generatoare de incident de securitate a Responsabilului intrunește caracteristicile unei

11
 12

contravenții sau chiar infracțiuni. În ceea ce privește răspunderea disciplinară și/sau

patrimonială a Responsabilului cu Protecția Datelor, aceasta iși găsește temeiul în
contractul individual de muncă, ci nu în Regulamentul General privind Protecția Datelor.

DPO joacă un rol-cheie în promovarea unei culturi de protecție a datelor în cadrul

organizației și ajută la implementarea elementelor esențiale al GDPR, cum ar fi
principiile de prelucrare a datelor, drepturile persoanelor vizate, asigurarea protecției
datelor începând cu momentul conceperii și în mod implicit, înregistrarea activităților de
prelucrare, securitatea prelucrării , precum și notificarea și comunicarea încălcărilor de
securitate.

12
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL

MODULUL VIII

Managementul riscului și securitatea

informației

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020

RESUM Consulting S.R.L.

RC
Ploiesti, Romania
 1

CONȚINUT TEMATIC:
1. Cerințe în vigoare aplicabile în domeniul securității
informaționale – roluri, responsabilități și autorități
2. Organizarea securității informației, implementarea securității
informațiilor
3. Ciclul de viață al sistemelor informatice
4. Integrarea securității și a vieții private în ciclul de viață
5. Controlul calității sistemelor informatice
6. Securitatea administrării activelor
7. Securitatea în software și proceduri
8. Securitatea aplicată tehnologiilor și documentației informatice
9. Cadrul general al evaluării și gestionării riscurilor
10. Criterii de evaluare a riscului
11. Metodologii de analiză și evaluare a riscurilor de securitate
a informațiilor
12. Evaluarea riscurilor

1
 2

Reglementarea domeniului securității

cibernetice la nivel național

Strategia de securitate cibernetică a României

Prin Hotărârea CSAT nr. 16/2013 şi HG nr. 271/2013 a fost aprobată Strategia de
Securitate Cibernetică a României, care stabileşte cadrul conceptual, organizatoric şi de
acţiune necesar asigurării securităţii cibernetice şi care vizează protecţia infrastructurilor
cibernetice în concordanţă cu noile concepte şi politici din domeniul apărării cibernetice
elaborate şi adaptate la nivelul NATO şi al Uniunii Europene.
Strategia de Securitate Cibernetică a României prezintă obiectivele, principiile şi
direcţiile majore de acţiune pentru cunoaşterea, prevenirea şi contracararea
ameninţărilor, vulnerabilităţilor şi riscurilor la adresa securităţii cibernetice a României şi
pentru promovarea intereselor, valorilor şi obiectivelor naţionale în spaţiul cibernetic.
Principalul obiectiv al Strategiei de Securitate Cibernetică a României îl reprezintă
crearea unui sistem naţional integrat - Sistemul Naţional de Securitate Cibernetică
(SNSC) reprezintă cadrul general de cooperare care reuneşte autorităţi şi instituţii
publice, cu responsabilităţi şi capabilităţi în domeniul asigurării securității cibernetice și
răspunsului la incidente, funcționând ca un mecanism unitar de relaţionare şi cooperare
interinstituţională care are rolul de a superviza implementarea coerentă a tuturor
măsurilor de prevenire şi reacţie la atacurile cibernetice împotriva instituţiilor publice sau
a companiilor private şi care reuneşte autorităţile şi instituţiile publice cu responsabilităţi
şi capabilităţi în domeniu.Scopul SNSC este de a asigura elementele de cunoaştere,
prevenire şi contracarare a ameninţărilor, vulnerabilităţilor şi riscurilor specifice spaţiului
cibernetic care pot afecta securitatea infrastructurilor cibernetice naţionale, inclusiv
managementul consecinţelor.

Organisme la nivel naţional cu atribuţii în domeniul securităţii cibernetice

Consiliul Suprem de Apărare a Ţării este autoritatea care coordonează la nivel strategic
activitatea SNSC. Guvernul României, prin Ministerul Comunicaţiilor şi Societăţii
Informaţionale asigură coordonarea celorlalte autorităţi publice în vederea realizării
coerenţei politicilor şi implementarea strategiilor guvernamentale în domeniu.
SNSC include, pe lângă autorităţile publice cu competenţe în materie (Serviciul Român
de Informaţii, Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Ministerul
Afacerilor Externe, Ministerul comunicațiilor și Societății Informaționale, Serviciul de
Telecomunicaţii Speciale, Serviciul de Informaţii Externe, Serviciul de Protecţie şi Pază,
Oficiul Registrului Naţional pentru Informaţii Secrete de Stat precum şi Secretarul
Consiliului Suprem de Apărare a Ţării), actori din mediul asociativ neguvernamental,
profesional şi de afaceri.

2
 3

Mecanismul de implementare a strategiei de securitate cibernetică la nivel naţional, în

plan proactiv/reactiv, este asigurat prin:
Consiliul Operativ de Securitate Cibernetică (COSC), al cărui Regulament de
Organizare şi Funcţionare a fost aprobat prin Hotărârea CSAT nr. 17/2013; COSC este
format din reprezentanţi la nivel de secretar de stat din cadrul instituţiilor sistemului de
securitate naţională, inclusiv ai MAE şi care realizează coordonarea unitară a SNSC.
Funcţia de coordonator tehnic al COSC este asigurată de către Centrul Naţional
Cyberint (CNC);
Grupul de Suport Tehnic (GST) – format din reprezentanţi la nivel de expert din cadrul
instituţiilor sistemului de securitate naţională reprezentate în cadrul COSC.
COSC raportează CSAT, anual sau ori de câte ori situaţia o impune, acţiunile
întreprinse, precum şi la evoluţiile înregistrate în spaţiul cibernetic, în special cu referire
la incidente sau atacuri cibernetice.
Sistemul Naţional de Alertă Cibernetică (SNAC) reprezintă principalul mijloc al SNSC
destinat prevenirii şi contracarării activităţilor de natură să afecteze securitatea
cibernetică. SNAC instituie Nivelurile de Alertă Cibernetică (NAC), pe baza evaluării
procesului de Management al Riscurilor la adresa securităţii cibernetice a României.
Centrul Naţional Cyberint (CNC) din cadrul Serviciului Român de Informaţii informează
operativ COSC cu privire la apariţia incidentelor cibernetice care pot aduce atingere
securităţii naţionale şi este punct de contact pentru relaţionarea cu organismele similare
din străinătate, în caz de atac cibernetic asupra securităţii cibernetice a României.
CNC asigură coordonarea tehnică a activităţii SNAC şi controlul măsurilor specifice
fiecărui nivel de alertă, propuse în cadrul COSC şi aprobate de CSAT.
Strategia de Securitate Cibernetică a României prevede, de asemenea, dezvoltarea
entităţilor de tip CERT (structuri specializate în înţelesul art. 2 lit. a. din Hotărârea
Guvernului nr. 494/2011).

Prin Hotărârea Guvernului nr. 494/2011 s-a înfiinţat Centrul Naţional de Răspuns la
Incidente de Securitate Cibernetică - CERT-RO, cu atribuţii atât în cadrul sectorului
public, cât şi în sectorul privat, instituţie care poate emite alerte şi atenţionări cu privire la
activităţi premergătoare atacurilor cibernetice.

CERT- RO este o structură independentă de expertiză şi cercetare-dezvoltare în

domeniul protecţiei infrastructurilor cibernetice, care dispune de capacitatea necesară
pentru prevenirea, analiza, identificarea şi reacţia la incidentele de securitate cibernetică
ale sistemelor informatice ce asigură funcţionalităţi de utilitate publică sau asigură
servicii ale societăţii informaţionale. CERT-RO se află în coordonarea Ministerului pentru
Societatea Informaţională.
Prin intrarea în vigoare la 1 ianuarie 2019 a legii nr. 362/2018 prin care este

3
 4

transpusă,în totalitate, Directiva (UE) 2016/1148 a Parlamentului European şi Consiliului

din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a
sistemelor informatice în Uniune, CERT-RO a primit noi atribuții, devenind Autoritate
Competentă la Nivel Naţional pentru Securitatea Reţelelor şi Sistemelor Informatice,
Punct Naţional de Contact şi CSIRT Naţional în domeniul de aplicare a Directivei NIS.
Cadrul normativ intern privind Securitatea Cibernetică
Conform angajamentelor asumate, România a întreprins măsuri pentru a elabora cadrul
normativ naţional în domeniul securităţii cibernetice armonizat cu prevederile legislaţiei
internaţionale, care să răspundă cerinţelor internaţionale şi care să faciliteze, pe baze
voluntare, cooperarea bilaterală şi schimbul prompt şi eficient de informaţii între
autorităţile competente pentru combaterea utilizării infrastructurilor critice ICT în scopuri
teroriste sau criminale.
Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor
şi sistemelor informatice, stabilește cadrul juridic și instituțional, măsurile și mecanismele
necesare în vederea asigurării unui nivel comun ridicat de securitate a rețelelor și
sistemelor informatice și a stimulării cooperării în domeniu, fiind (în linie cu scopul de
creștere a încrederii în Piața Digitală Unică pe care Directiva 1148/2016 îl are) adresată
în mod exclusiv operatorilor economici (publici sau privați) din două categorii mari:

Operatorii de servicii esențiale din 7 categorii economice importante (Energie,

Transporturi, Medical, Bancar, Piețe financiare, Furnizare de apă potabilă, Infrastructuri
Digitale);
Furnizorii de servicii digitale din 3 categorii: Motoare de căutare, Piețe online, Servicii
cloud.
Legea creează un ecosistem național de prevenire și răspuns la incidente, prin stabilirea
de cerințe de asigurare a securității informatice a serviciilor furnizate, cerințe de
notificare a incidentelor survenite, mecanisme de răspuns la nivel național și de
participare la răspunsul comun în cadrul ecosistemului european creat de Directiva NIS.
Legea utilizează terminologia de ”securitate informatică” pentru a nu aduce atingere și a
permite dezvoltarea cadrului legal național de ”securitate cibernetică” (care implică și
aspectele de securitate națională și apărare).
România urmărește actualizarea cadrului normativ în domeniul securității cibernetice,
prin revizuirea, în perioada următoare, Strategiei pentru Securitate Cibernetică a
României din 2013 și adoptarea unei legi care să reglementeze securitatea şi apărarea
cibernetică a României/LSACR.

4
 5

Hotărârea nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetică a

României şi a Planului de acţiune la nivel naţional privind implementarea
Sistemului naţional de securitate cibernetică
Context: Dezvoltarea rapidă a tehnologiilor moderne de informaţii şi comunicaţii -
condiţie sine qua non a edificării societăţii informaţionale - a avut un impact major asupra
ansamblului social, marcând adevărate mutaţii în filozofia de funcţionare a economicului,
politicului şi culturalului, dar şi asupra vieţii de zi cu zi a individului. Practic, în prezent,
accesul facil la tehnologia informaţiei şi comunicaţiilor reprezintă una dintre premisele
bunei funcţionări a societăţii moderne. Spaţiul cibernetic se caracterizează prin lipsa
frontierelor, dinamism şi anonimat, generând deopotrivă oportunităţi de dezvoltare a
societăţii informaţionale bazate pe cunoaştere, dar şi riscuri la adresa funcţionării
acesteia (la nivel individual, statal şi chiar cu manifestare transfrontalieră). Alături de
beneficiile incontestabile pe care informatizarea le induce la nivelul societăţii moderne,
aceasta introduce şi vulnerabilităţi, astfel că asigurarea securităţii spaţiului cibernetic
trebuie să constituie o preocupare majoră a tuturor actorilor implicaţi, mai ales la nivel
instituţional, unde se concentrează responsabilitatea elaborării şi aplicării de politici
coerente în domeniu. România urmăreşte atât dezvoltarea unui mediu informaţional
dinamic bazat pe interoperabilitate şi servicii specifice societăţii informaţionale, cât şi
asigurarea respectării drepturilor şi libertăţilor fundamentale ale cetăţenilor şi a
intereselor de securitate naţională, într-un cadru legal adecvat. Din această perspectivă
se resimte necesitatea dezvoltării culturii de securitate cibernetică a utilizatorilor
sistemelor informatice şi de comunicaţii, adesea insuficient informaţi în legătură cu
potenţialele riscuri, dar şi cu soluţiile de contracarare a acestora. Cunoaşterea pe scară
largă a riscurilor şi ameninţărilor derivate din activităţile desfăşurate în spaţiul cibernetic,
precum şi a modului de prevenire şi contracarare a acestora necesită o comunicare şi
cooperare eficiente între actorii specifici în acest domeniu. Statul român îşi asumă rolul
de coordonator al activităţilor desfăşurate la nivel naţional pentru asigurarea securităţii
cibernetice, în concordanţă cu demersurile iniţiate la nivelul UE şi NATO. Problematica
securităţii cibernetice a devenit prioritară pentru aceste organisme, care derulează
demersuri reglementare necesare dezvoltării mecanismelor de apărare cibernetică. 5 /
17 Incidentele de securitate cibernetică şi atacurile cibernetice majore cu care s-au
confruntat în ultimii ani unele state şi organizaţii internaţionale au determinat
conştientizarea, la nivel internaţional, a necesităţii adoptării unor strategii şi politici în
domeniul securităţii cibernetice. Astfel, există în prezent strategii naţionale de securitate
cibernetică, precum cele ale Estoniei, Statelor Unite ale Americii, Marii Britanii,
Germaniei şi Franţei, care fundamentează necesitatea demersurilor pentru dezvoltarea
capabilităţilor proprii de contracarare a atacurilor cibernetice şi stabilesc cadrul de
acţiune şi cooperare între diverse entităţi guvernamentale şi nonguvernamentale pentru
limitarea consecinţelor. Conform acestor strategii, eforturile naţiunilor vizează
implementarea unor măsuri de securitate care să conducă la creşterea nivelului de
protecţie a infrastructurilor cibernetice, în special a celor care susţin infrastructurile critice
naţionale. Evoluţia rapidă a naturii ameninţărilor cibernetice a necesitat adoptarea, şi de
către Organizaţia Nord-Atlantică, a unui nou concept şi a unei noi politici în domeniul
apărării cibernetice. În acest sens, NATO şi-a redefinit rolul şi perimetrul de acţiune în
domeniu şi a elaborat un plan de acţiune pentru dezvoltarea unor capabilităţi necesare
protejării infrastructurilor cibernetice proprii, precum şi a unor mecanisme de consultare a

5
 6

statelor membre şi de asigurare a asistenţei în cazul unor atacuri cibernetice majore. La

nivelul UE sunt întreprinse demersuri în privinţa adoptării unei strategii europene pentru
securitatea cibernetică, care să armonizeze eforturile statelor membre în abordarea
provocărilor de securitate din spaţiul cibernetic şi protecţia infrastructurilor informatice
critice. Totodată, la nivelul UE, s-a conturat necesitatea adoptării unei politici privind
lupta împotriva criminalităţii informatice. Iniţiativele subsecvente au pornit de la
constatarea creşterii numărului de infracţiuni informatice, a tot mai amplei implicări a
grupurilor de criminalitate organizată în criminalitatea informatică, precum şi a necesităţii
unei coordonări a eforturilor europene în direcţia combaterii acestor acte. Având în
vedere că atacurile cibernetice pe scară largă, bine coordonate şi direcţionate către
infrastructurile cibernetice critice ale statelor membre, constituie o preocupare crescândă
a UE, întreprinderea de acţiuni pentru combaterea tuturor formelor de criminalitate
informatică, atât la nivel european, cât şi la nivel naţional, a devenit o necesitate
stringentă. Creşterea capacităţii de luptă împotriva criminalităţii informatice la nivel
naţional, european şi internaţional implică, printre altele: - creşterea gradului de
cooperare şi coordonare între unităţile responsabile cu combaterea criminalităţii
informatice, alte autorităţi şi experţi din cadrul Uniunii Europene; - dezvoltarea unui cadru
de reglementare coerent, la nivelul UE, privind lupta împotriva criminalităţii informatice, în
coordonare cu statele membre, precum şi cu autorităţile europene şi internaţionale cu
relevanţă în domeniu; 6 / 17 - creşterea nivelului de conştientizare a costurilor şi
pericolelor pe care le implică criminalitatea informatică. În acest context, România
recunoaşte existenţa unor astfel de ameninţări şi susţine o abordare comună, integrată şi
coordonată, atât la nivelul NATO, cât şi la nivelul UE, pentru a putea oferi un răspuns
oportun la atacurile cibernetice.

Datorită dezvoltării tehnologice din domeniului IT, informaţiile circulă cu o viteză foarte
mare, accesul utilizatorului fiind aproape instantaneu, via internet sau intranet.
Informațiile unei companii se pot regăsi: în format tipărit, stocate în sistemele informatice
și bineînțeles în mintea utilizatorului prin parole, username etc. .

Ce reprezintă securitatea informaţiilor ?

Securitatea informațiilor poate fi descrisă de caracteristicile de prelucrare şi stocare ale
informaţiilor de orice tip şi provenienţă, având ca scop confidenţialitatea, disponibilitatea
și integritatea datelor.

Securitatea informațiilor nu este amenințată doar de acte intenționate (interceptarea

comunicațiilor, viruși sau furt), ci și de elemente precum:

 Situaţii de forţă majoră (Inundaţii, incendii, cutremure sau furtuni) care pot
distruge sau limita accesul (documentele nemaifiind disponibile în timp util).
 O actualizare nereușită de software care poate perturba sau modifica datele.
 Indisponibilitatea (din cauza unei boli, unui accident etc.) a singurei persoane
care cunoștea informația.
 Divulgarea de informații confidențiale (intenționat sau neintenționat) către
persoane neautorizate.

6
 7

 Neasigurarea securității informațiilor în fața unor potențiale vulnerabilități poate

aduce la pierderi economice semnificative, lucru nedorit de nicio companie.

Vulnerabilităţile
Vulnerabilitățile în domeniul securității informatice pot fi împărțite în mai multe categorii:
tehnice, legate de procedurile de acces ale angajaților în sistemele IT, organizatorice
sau erori umane.

De aceea, este bine ca într-o companie politicile de acces să fie implementate după
analiza de risc, ea făcând parte din metodologia conceptului de securitate şi este
aplicată în toate etapele de dezvoltare a acesteia.

Analiza de risc are ca scop evaluarea vulnerabilităților și găsirea de soluții în faţa

amenințărilor potențiale urmărind diminuarea posibilelor pierderi.

Cum ne protejăm folosind Managementul sistemului de Securitate informatică ?

Este recomandat ca în toate organizaţiile să fie definit şi implementat un document cu
politici, norme şi standarde de securitate. Acest document trebuie să conțină toate
politicile organizatorice ale companiei referitoare la permisiuni, restricții, nivel de
acces, etc. . El trebuie respectat de către angajaţi, administratori de reţea, experţi în
securitate şi echipa de management.

Politica de securitate trebuie să cuprindă cel puțin următoarele capitole:

 Prezentare generală,
 Domeniul de aplicare,
 Standarde de securitate,
 Ghid de aplicare,
 Definiții,
 Istoricul versiunilor.

Ce trebuie să urmărim pentru a avea un Management Informatic sănătos ?

De-a lungul timpului au fost create mai multe standarde și norme de securitate, dintre
care cele mai importante în domeniul securității informatice sunt:

 ISO 17799,
 Health Insurance Portability and Accountability Act (HIPAA)
 Personally identifiable information (PII)
 ISO 27001
 ITIL

ISO 17799
Specifică cele mai bune practici pentru managementul securității informației. Acest
standard împarte managementul securității informațiilor în diferite categorii, după cum
urmează:

7
 8

 evaluarea riscurilor,
 politici de securitate,
 organizarea securităţii,
 protecţia activelor,
 securitatea personalului,
 securitatea fizică și a mediului înconjurător,
 managementul comunicării și funcționării,
 controlul accesului,
 sistemul de întreținere,
 continuitatea afacerii.

Health Insurance Portability and Accountability Act (HIPAA)

A fost creat în 1996 și se ocupă cu confidențialitatea datelor medicale.

Personally identifiable information (PII)

Se ocupă cu protejarea datelor personale de identitate.

ISO 27001
Conţine modelul de "plan-do-check-act" şi anume planificare definire, implementare
folosire, monitorizare evaluare şi în ultimă fază menţinerea şi îmbunătăţirea
performanţelor.

Figura 1: Modelul "PLAN-DO-CHECK-ACT"(ehs.unc.edu)

ITIL
Constă în orientări şi în cele mai bune practici care descriu modul în care un "IT Service
Management (ITSM)" poate fi pus în aplicare printr-un ciclu de viaţă.

8
 9

Figura 2: Ciclul de viaţă ITIL (ITIL® v3 Foundation Study Guide, taruu LLC, 2009)

Atacuri, ameninţări şi protecţie

Atacuri

 Social-Engineering sunt atacuri prin metode de contact social, cum ar fi telefon

sau E-mail prin care hackerul încearcă prin diverse metode să compromită
securitatea (de exemplu, Phishing , Dumpster diving, Tailgating );
 Atacuri asupra reţelei prin Denial of service (DOS) sau Distributed Denial of
Service (DDoS);

Figura 3: Destributed Denial of Service

9
 10

 Atacuri asupra parolelor;

 Atacuri prin SQL injection .

Ameninţări :

 Privilage Escalation,
 Worm Virus,
 Trojan Virus,
 Logic Bomb,
 Spyware,
 Rootkit,
 Keylogger.

Protecţie
Pentru a ne proteja împotriva atacurilor şi a ameninţărilor trebuie să ne întărim
securitatea dispozitivelor de reţea, să utilizăm filtre MAC, să utilizăm standarde de
control al accesului la reţea precum 802 lx şi politici de grup. Sistemele trebuie
monitorizate şi updatate continuu şi erorile apărute ca urmare a monitorizării trebuie
reparate.

Managementul Vulnerabilităţilor prin analiza de risc

Managementul Vulnerabilităţilor este un proces prin care, pe baza riscului și costurilor
asociate determinăm dacă vulnerabilitățile cu care ne putem confrunta trebuie
îndepărtate, atenuate sau chiar tolerate. După stabilirea vulnerabilităților începe
procesul de prevenție prin folosirea unei analize de risc care aparţine de Managementul
Vulnerabilităţilor.

 Această analiză conţine următoarele procese:

 Identificarea tuturor bunurilor (calculatoare, date etc.) ;
 Identificarea vulnerabilităților fiecărui bun;
 Analiza impactului acestor vulnerabilități;
 Prioritizarea ameninţărilor;
 Identificarea tehnicii de protejare;
 Evaluarea riscurilor reziduale.

De asemenea, există mai multe tipuri de analiză.

 Calitativă prin care se stabileşte tehnica de diminuare (mitigation) a riscului fără

a calcula efectiv costurile.

Risk = Probabilitate x Pierdere

 Cantitativă prin care se calculează costul pentru fiecare risc şi ce pierderi poate
aduce acesta.

Aşteptarea de pierdere unică (APU) = valoarea bunului ($) x factorul de expunere (%)

10
 11

După calcularea aşteptării de pierdere unică putem calcula:

Aşteptarea de pierdere anuală = APU x rata anuală de apariţie

În concluzie, de îndată ce au fost identificate și ierarhizate amenințările, se va decide ce

trebuie făcut pentru gestionarea acestor riscuri.

Managementul riscurilor include reducerea riscului printr-un control de securitate cu

scopul de a accepta, a transfera sau a ignora.

Minimizarea riscurilor se poate face prin audituri interne de securitate periodice şi prin
asigurarea respectării politicilor și procedurilor de securitate.

În ziua de azi, vedem din ce în ce mai multe ştiri despre atacuri informatice, adevărate
războaie cibernetice cu efecte dezastruoase.

Managementul vulnerabilităților și evaluarea riscurilor în domeniul securității informatice

reprezintă acțiuni vitale care trebuie tratate cu prioritate maximă în orice companie
împotriva "black hat hackers".

Securitatea datelor si criptarea lor

Infracțiunile de securitate a informațiilor pot provoca vătămări și suferințe reale
persoanelor care le afectează - viețile pot fi chiar expuse riscului. Exemple de prejudicii
cauzate de pierderea sau abuzul de date cu caracter personal (uneori legate de frauda
de identitate) includ:

11
 12

 tranzacții false de cărți de credit;

 martori cu risc de vătămare fizică sau de intimidare;
 infractorii aflați în pericol de vigilenți;
 expunerea adreselor personalului de serviciu, polițiștilor și ofițerilor de
penitenciare și femeilor expuse riscului de violență în familie;
 cererile false pentru creditele fiscale;
 ipoteca fraudă.
Nu toate încălcările securității au consecințe grave, desigur. Mulți provoacă stânjeniri
sau inconveniente mai puțin grave pentru persoanele în cauză. Persoanele fizice au
dreptul de a fi protejate și de acest tip de rău.
Avansurile în tehnologie au permis organizațiilor să proceseze mai multe date cu
caracter personal și să împărtășească mai ușor informațiile. Acest lucru are beneficii
evidente în cazul în care colectează și distribuie date cu caracter personal în
conformitate cu principiile de protecție a datelor, dar dă naștere la riscuri de securitate la
fel de evidente. Cu cât mai multe baze de date sunt create și cu cât mai multe informații
sunt schimbate, cu atât este mai mare riscul ca informațiile să fie pierdute, corupte sau
utilizate în mod abuziv.
O serie de pierderi de mare importanță a datelor cu caracter personal au atras atenția
asupra problemei securității informațiilor. Cu toate acestea, aceste incidente au arătat,
de asemenea, că securitatea informațiilor este o problemă de interes public, precum și
respectarea tehnică. Dacă datele cu caracter personal nu sunt protejate în mod
corespunzător, acestea pot deteriora serios reputația și prosperitatea organizației și pot
compromite siguranța persoanelor.
Este important să se înțeleagă că cerințele din Legea privind protecția datelor depășesc
modul în care sunt stocate sau transmise informațiile. Al șaptelea principiu al protecției
datelor se referă la securitatea fiecărui aspect al prelucrării datelor dvs. personale.
Astfel, măsurile de securitate pe care le-ați instituit ar trebui să urmărească:
• numai persoanele autorizate pot accesa, modifica, dezvălui sau distruge date cu
caracter personal;
• acești oameni acționează numai în limitele autorității lor; și
• dacă datele personale sunt pierdute, modificate sau distruse accidental, acestea pot fi
recuperate pentru a preveni daunele sau suferințele persoanelor în cauză.
Ce nivel de securitate este necesar?
Legea spune că trebuie să aveți o securitate adecvată:
• natura informațiilor în cauză;
• vătămarea care ar putea rezulta din folosirea necorespunzătoare a acesteia sau din

12
 13

pierderea accidentală sau distrugerea acesteia.

Actul nu definește "adecvat". Dar se spune că o evaluare a măsurilor de securitate

adecvate într-un anumit caz ar trebui să ia în considerare evoluțiile tehnologice și
costurile implicate. Legea nu vă cere să aveți o tehnologie de securitate de ultimă oră
pentru a proteja datele personale pe care le dețineți, însă trebuie să vă revizuiți în mod
regulat măsurile de securitate ca progres tehnologic. După cum am spus, nu există nici
o soluție "unică potrivită tuturor" pentru securitatea informațiilor, iar nivelul de securitate
pe care îl alegeți ar trebui să depindă de riscurile pentru organizația dvs.
Deci, înainte de a decide ce măsuri de securitate a informațiilor trebuie să luați, va trebui
să evaluați riscul de informare: trebuie să revizuiți datele personale pe care le dețineți și
modul în care le folosiți pentru a evalua cât de valoroase, sensibile sau confidențiale
sunt ele și ce prejudiciu sau primejdie ar putea fi provocate persoanelor fizice în cazul în
care au existat o încălcare a securității.
Exemplu
O organizație deține date cu caracter personal foarte sensibile sau confidențiale (cum ar
fi informații despre sănătatea sau finanțele persoanelor), care ar putea provoca pagube
sau suferință acestor persoane, dacă acestea ar fi trecute în mâinile altora. Măsurile
organizației de securitate a informațiilor ar trebui să se concentreze asupra oricărei
posibile amenințări la adresa informațiilor sau a sistemelor de informații ale organizației.
Această evaluare a riscurilor ar trebui să țină seama de factori precum:
• natura și amploarea sediilor organizației și a sistemelor informatice;
• numărul personalului pe care îl aveți;
• amploarea accesului acestora la datele cu caracter personal; și
• datele personale deținute sau utilizate de o terță parte în numele dvs. (în conformitate
cu Legea privind protecția datelor, sunteți responsabil (ă) pentru a vă asigura că orice
procesor de date pe care îl angajați are, de asemenea, o securitate adecvată.

Ce măsuri de securitate ar putea fi adecvate?

Legea privind protecția datelor nu definește măsurile de securitate pe care ar trebui să le
aveți în vigoare. Cu toate acestea, cerințele speciale de securitate aplicabile în anumite
industrii pot impune anumite standarde sau pot necesita măsuri specifice. În termeni
generali, măsurile de securitate adecvate vor depinde de circumstanțele dvs., dar există
mai multe domenii pe care ar trebui să vă concentrați. Siguranța fizică și tehnologică ar
putea fi esențială, dar este puțin probabil să fie suficientă pentru ea însăși. Măsurile de
gestionare și de securitate organizațională ar putea fi la fel de importante în protejarea
datelor cu caracter personal.

13
 14

Măsuri de management și organizare

Realizarea unei evaluări a riscului de informare este un exemplu de măsură de
securitate organizațională, dar probabil că veți avea nevoie și de alte măsuri de
management și de organizare. Trebuie să încercați să construiți o cultură de securitate
și conștientizare în cadrul organizației dvs.
Poate cel mai important, este o bună practică să identificați o persoană sau un
departament din organizația dvs. cu responsabilitate zilnică pentru măsurile de
securitate. Acestea ar trebui să aibă autoritatea și resursele necesare pentru a-și
îndeplini în mod eficace această responsabilitate.
Exemplu
Directorul executiv al unei organizații mijlocii solicită directorului Resurselor să se
asigure că organizația dispune de măsuri adecvate de securitate a informațiilor și să
prezinte rapoarte periodice privind securitatea consiliului organizației. Departamentul
Resurse își asumă responsabilitatea pentru proiectarea și implementarea politicii de
securitate a organizației, pentru stabilirea procedurilor de urmărire a personalului,
organizarea instruirii personalului, verificarea respectării măsurilor de securitate și
investigarea incidentelor de securitate.
Cu excepția cazului în care există o responsabilitate clară în organizația dvs. pentru
astfel de măsuri de securitate, acestea vor fi probabil ignorate și securitatea globală a
organizației dvs. va deveni rapid eronată și depășită.
Nu orice organizație va avea nevoie de o politică oficială de securitate a informațiilor -
aceasta va depinde de aspecte precum dimensiunea organizației, cantitatea și natura
datelor personale pe care le deține și modul în care utilizează datele. Indiferent dacă
aceste chestiuni sunt sau nu incluse într-o politică formală, toate organizațiile vor trebui
să fie clare în legătură cu acestea și despre aspecte conexe, cum ar fi:
• coordonarea între persoanele cheie din organizație (de exemplu, managerul de
securitate va trebui să știe despre punerea în funcțiune și eliminarea oricărui
echipament IT);
• accesul la spațiile sau echipamentele date oricăror persoane din afara organizației (de
exemplu, pentru întreținerea computerelor) și considerentele de securitate suplimentare
pe care le va genera;
• aranjamente de continuitate a afacerii care identifică modul de protejare și recuperare
a datelor personale deținute de organizație; și
• verificări periodice pentru a se asigura că măsurile de securitate ale organizației rămân
adecvate și actualizate.

14
 15

Personal angajat
Este vital ca personalul dvs. să înțeleagă importanța protejării datelor personale; că sunt
familiarizați cu politica de securitate a organizației dvs.; și că au pus în practică
procedurile de securitate. Deci, trebuie să oferiți o pregătire inițială și perfecționată
adecvată și aceasta ar trebui să acopere:
• obligațiile organizației dvs. în temeiul Legii privind protecția datelor și restricțiile privind
utilizarea datelor cu caracter personal;
• responsabilitățile membrilor personalului individual pentru protejarea datelor cu
caracter personal, inclusiv posibilitatea ca aceștia să comită infracțiuni dacă încearcă în
mod deliberat să acceseze sau să dezvăluie informații fără autorizare;
• procedurile adecvate de identificare a apelanților;
• pericolele persoanelor care încearcă să obțină date cu caracter personal prin
înșelăciune (de exemplu, pretinzând că sunt persoana despre care se află informația
sau făcând atacuri de "phishing") sau prin convingerea dvs. de a modifica informațiile
atunci când nu ar trebui să faceți acest lucru; și
• orice restricții pe care organizația dvs. le pune în legătură cu utilizarea personală a
computerelor sale de către personal (pentru a evita, de exemplu, infecția cu viruși sau
spam).
Eficacitatea formării personalului depinde de faptul că persoanele în cauză sunt în
primul rând sigure. Legea privind protecția datelor vă solicită să luați măsuri rezonabile
pentru a asigura fiabilitatea oricărui personal care are acces la date cu caracter
personal.
Exemplu
O organizație verifică identitatea angajaților săi atunci când sunt recrutați solicitând să
vadă pașapoartele sau permisele de conducere înainte de a începe să lucreze. Obține,
de asemenea, referințe adecvate pentru a confirma fiabilitatea acestora. Contractul
standard de angajare al organizației stabilește ceea ce personalul poate și nu poate
face cu datele personale la care au acces.
Siguranță fizică
Măsurile tehnice de securitate pentru protecția informațiilor computerizate sunt de o
importanță evidentă. Cu toate acestea, multe incidente de securitate se referă la furtul
sau pierderea echipamentului sau la abandonarea computerelor vechi sau a
înregistrărilor tipărite.
Securitatea fizică include lucruri precum calitatea ușilor și a încuietorilor și dacă spațiile
sunt protejate de alarme, iluminat de securitate sau CCTV. Totuși, aceasta include și
modul în care controlați accesul la sedii, controlați vizitatorii, eliminați deșeurile de hârtie
și păstrați siguranța echipamentului portabil.

15
 16

Exemplu
Ca parte a măsurilor sale de securitate, o organizație se asigură că informațiile de pe
computerele portabile eliberate personalului sunt protejate prin criptare și că ecranele de
birou de la birourile sale sunt poziționate astfel încât să nu poată fi văzute de trecătorii
obișnuiți. Deșeurile de hârtie sunt colectate în recipiente sigure și sunt sfărâmate la fața
locului la sfârșitul fiecărei săptămâni.
Securitatea calculatorului
Securitatea calculatorului este în continuă evoluție și este o zonă tehnică complexă. În
funcție de cât de sofisticate sunt sistemele dvs. și de expertiza tehnică a personalului
dvs., este posibil să aveți nevoie de sfaturi de specialitate în domeniul securității
informațiilor, care depășesc sfera acestui ghid. O listă de surse utile de informații despre
securitate este furnizată la sfârșitul acestui capitol. Ar trebui să luați în considerare
următoarele principii directoare atunci când decideți partea mai tehnică a securității
informațiilor.
Siguranța computerului dvs. trebuie să fie adecvată dimensiunii și utilizării sistemelor
organizației dvs.
După cum sa menționat mai sus, ar trebui să țineți cont de evoluțiile tehnologice, dar, de
asemenea, aveți dreptul să luați în considerare costurile atunci când decideți ce măsuri
de securitate să ia.
Măsurile dvs. de securitate trebuie să fie adecvate practicilor dvs. comerciale. De
exemplu, dacă aveți personal care lucrează de acasă, trebuie să puneți măsuri pentru a
vă asigura că acest lucru nu compromite securitatea.
Măsurile pe care le luați trebuie să fie adecvate naturii datelor cu caracter personal pe
care le dețineți și prejudiciului care ar putea rezulta dintr-o încălcare a securității.
Cerințele GDPRului vis a vis de securitatea datelor
GDPR cere ca datele personale să fie prelucrate într-o manieră care să le garanteze
securitatea. Aceasta include protecția împotriva prelucrării neautorizate sau ilegale și
împotriva pierderii, distrugerii sau deteriorării accidentale. Aceasta impune utilizarea
unor măsuri tehnice sau organizatorice adecvate.
În conformitate cu articolul 32, în mod similar articolului 17 din directivă, controlorii și
prelucrătorii trebuie să "implementeze măsuri tehnice și organizatorice adecvate", ținând
seama de "stadiul tehnicii și costurile implementării" și "natura, domeniul de aplicare,
contextul și scopurile prelucrării, precum și riscul variabilității și gravității diferitelor
drepturi și libertăți ale persoanelor vizate. "Spre deosebire de directivă, cu toate
acestea, GDPR oferă sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea
fi considerate" adecvate riscului, ".
Pseudonimizarea și criptarea datelor cu caracter personal.
Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența
proceselor și serviciilor de procesare.

16
 17

Abilitatea de a restabili disponibilitatea și accesul la datele cu caracter personal în timp

util, în cazul unui incident fizic sau tehnic.
Un proces de testare, evaluare și evaluare periodică a eficacității măsurilor tehnice și
organizatorice pentru asigurarea securității prelucrării.
Controlorii și prelucrătorii care respectă fie un cod de conduită aprobat, fie un mecanism
de certificare aprobat - în conformitate cu articolul 40 și cu articolul 42 - pot utiliza aceste
instrumente pentru a demonstra conformitatea cu standardele de securitate ale GDPR.
Pentru îndrumări suplimentare privind standardele de securitate, controlorii și
prelucrătorii pot lua în considerare considerentele, în special considerentele 49 și 71,
care permit prelucrarea datelor cu caracter personal în moduri care altfel ar putea fi
necorespunzătoare atunci când este necesar pentru a asigura securitatea și fiabilitatea
rețelei.
Procesele fizice de Pseudonimizare si Anonimizare

Nume Pseudoni Anonymiza

m t
Ionut hUcms xxxxx

Vasile Bhiser xxxxxx

Matei uneUe xxxx

De-identificare sau anonimizare

Un termen umbrelă pentru eliminarea sau mascarea informațiilor protejate. Într-un sens
mai specific, procesul de dezidentificare elimină identificatorii dintr-un set de date, astfel
încât nu mai este posibil să se raporteze informații la persoane. În contextul informațiilor
din domeniul sănătății, de- identificarea are loc atunci când toți identificatorii (ID-urile,
numele, adresele, numerele de telefon etc. - se află în lista precedentă de
dezidentificare HL7 pentru o listă completă) sunt eliminate din setul de informații. În
acest fel, identitatea pacientului este protejată, în timp ce majoritatea datelor rămân
disponibile pentru partajarea cu alte persoane / organizații, analize statistice sau utilizări
conexe.
Pseudonimizare
Un subset de anonimizare. Acest proces înlocuiește identificatorii elementelor de date
cu noi identificatori, astfel încât relația cu obiectul inițial este înlocuită de un subiect
complet nou. După înlocuire, nu mai este posibilă asocierea subiectului inițial cu setul de
date. În contextul informațiilor privind asistența medicală, putem "pseudonimiza"
informațiile pacienților prin înlocuirea datelor de identificare a pacienților cu date complet

17
 18

independente. Rezultatul este un nou profil de pacient. Datele continuă să pară

complete, iar semantica datelor (semnificația datelor) este păstrată în timp ce
informațiile despre pacient rămân protejate.

Re-identificare
Acest proces restabilește informațiile inițiale într-un set de date pseudonime. Pentru a
re-identifica datele, va trebui să folosiți o serie de structuri de mapare inversă construite
pe măsură ce datele sunt pseudonimizate. Există câteva cazuri de utilizare pentru re-
identificare. Un exemplu ar fi transmiterea datelor pseudonime către un sistem extern de
procesare. Odată ce informația procesată este returnată, aceasta va fi re-identificată și
împinsă la dosarul pacientului potrivit.

Identificatori
Identificatorii sunt elemente de date care pot identifica direct indivizii. Exemple de
identificatori includ, dar nu se limitează la numele, adresa de e- mail, numărul de telefon,
adresa de domiciliu, numărul de securitate socială, numărul cardului medical (vezi postul
anterior pentru o listă completă a identificatorilor HIPAA). În unele cazuri, este nevoie de
mai mult de o variabilă de identificare pentru a identifica o persoană în mod unic. De
exemplu, numele "John Smith" apare de mai multe ori în paginile albe. Cu toate
acestea, trebuie să combinați numele cu un număr de telefon pentru a identifica dreptul
de John Smith.

Cvasi-identificatorilor
Acestea sunt elemente de date care nu identifică direct o persoană, dar care oferă
suficiente informații pentru a restrânge în mod semnificativ căutarea unui anumit individ.
Unele cvasi-identificatori au fost studiate pe larg. Acestea includ sexul, data nașterii și
codul poștal / codul poștal. Cvasi- identificatorii sunt în mare măsură dependenți de tipul
de set de date. De exemplu, sexul nu va fi un cvasi-identificator semnificativ dacă toate
persoanele fizice sunt femei. Un alt lucru interesant despre cvasi-identificatori: ele sunt

18
 19

categorice în natură, cu un set finit de valori discrete. Cu alte cuvinte, sexul, datele de
naștere pe o perioadă de mai puțin de 150 de ani și adresa sunt finite. Acest lucru face
căutările simple. Persoanele fizice sunt relativ ușor de identificat folosind cvasi-
identificatori.
Non-identificatorii
Aceste elemente de date pot conține informații personale despre persoane, dar nu sunt
utile pentru reconstituirea informațiilor inițiale. De exemplu, un indicator privind dacă o
persoană are alergii la polen ar fi cel mai probabil un element de date care nu identifică.
Incidența alergiei la polen este atât de mare în populație încât nu ar fi un bun
discriminator printre indivizi. Din nou, elementele de date fără identificatori depind de
seturile de date. Într-un context diferit, acest element de date vă poate permite să
identificați indivizii.

Concluzie
“Organizatiile pot remedia expunerea la vulnerabilitati si pregati
protectii potrivite prin definirea si executia proactiva a unui plan
care urmeaza bunele practici si foloseste cele mai noi tehnologii
automatizate pentru a face acel plan repetabil”
Carl Banzhof, “ Strategies to Protect against Network Security
Vulnerabilities”

19
FONDUL SOCIAL EUROPEAN
Programul Operaţional Capital Uman 2014-2020
Axa prioritară: 3 – Locuri de muncă pentru toți
Obiectiv specific: 3.12.: Îmbunătățirea nivelului de cunoștințe/competențe/aptitudini aferente sectoarelor economice/domeniilor identificate conform
SNC și SNCDI ale angajaților
Titlul proiectului: ACTUAL – Actualizarea Competențelor Angajaților în raport cu necesitatea pieței
Contract POCU/464/3/12/128290

RESPONSABIL CU PROTECȚIA
DATELOR CU CARACTER PERSONAL

MODULUL VIII

Securitatea informației

Proiect cofinanțat din Fondul Social European prin Programul Operațional Capital Uman 2014 –
2020

RESUM Consulting S.R.L.

RC
Ploiesti, Romania
 Securitatea informatiei
1. Notiuni generale privind securitatea sistemelor
informatice
2. Fundamente privind vulnerabilităţile sistemelor
informatice
3. Concepte şi metodologii privind procesul de
management al vulnerabilităţilor
4. Bune practici privind procesul de management al
vulnerabilitatilor
 1. Notiuni generale privind securitatea
sistemelor informatice
Sistem informatic
Un sistem informatic este un sistem care permite:
 introducerea de date prin procedee manuale sau prin
culegere automată de către sistem
 stocarea datelor
 prelucrarea datelor
 extragerea informației (rezultatelor) sub diverse
forme
 1. Notiuni generale privind securitatea
sistemelor informatice
Sistem informatic
Componentele sistemului informatic:
 Calculatoarele/dispozitivele de calcul
 Programele
 Retelele de calculatoare
 Datele
 Utilizatorii
 Procesele
 1. Notiuni generale privind securitatea
sistemelor informatice
Securitatea sistemelor informatice
Securitatea informatiei (InfoSec) inseamna:
 protejarea informatiei (datelor) si a sistemelor de
informatii impotriva accesului, inspectiei, utilizarii,
inregistrarii, dezvaluirii, intreruperii, modificarii sau
distrugerii neautorizate
 Este un termen general ce se poate aplica indiferent
de modul in care se prezinta datele (electronic sau
fizic)
 1. Notiuni generale privind securitatea
sistemelor informatice
Securitatea sistemelor informatice
Securitatea IT – este Securitatea Informatiilor aplicata
tehnologiei (computerelor)
 1. Notiuni generale privind securitatea
sistemelor informatice
Securitatea sistemelor informatice
Multiple specializari:
 Securizarea retelelor si infrastructurii
 Securizarea aplicatiilor si bazelor de date
 Testarea securitatii (Pen Testing)
 Auditarea sistemelor informatice
 Planificarea continuitatii afacerii
 Digital Forensics
 Etc.
 1. Notiuni generale privind securitatea
sistemelor informatice
Securitatea sistemelor
informatice
Atribute (CIA):
 Confidentialitatea
 Integritatea
 Disponibilitatea (Availability)
 1. Notiuni generale privind securitatea
sistemelor informatice
Confidentialitatea

 Asigura ca nivelul necesar de secretizare este impus

la fiecare punct de procesare a datelor si previne
dezvaluirea neautorizata.
 Nivelul de confidentialitate trebuie pastrat din
momentul in care datele sunt stocate pe sisteme si
dispozitive, cand sunt transmise prin retea si cand
ajung la destinatie
 1. Notiuni generale privind securitatea
sistemelor informatice
Confidentialitatea
Amenintari Masuri
 Monitorizarea retelei  Criptarea datelor stocate si
 Shoulder surfing – transmise
monitorizarea tastelor sau  Blocarea razei vizuale,
a informatiilor introduse folosirea unor ecrane cu
unghiuri mici
pe ecran
 Implementarea unor
 Furtul fisierelor de parole mecanisme stricte de control
 Social Engineering – al accesului
folosirea laturii umane  Pregatirea personalului
pentru a obtine informatii asupra procedurilor permise
confidentiale
 1. Notiuni generale privind securitatea
sistemelor informatice
Integritatea

Integritatea datelor este protejata atunci cand se ofera

asigurarea acuratetii informatiei si se previne
modificarea neautorizata
 1. Notiuni generale privind securitatea
sistemelor informatice
Integritatea
Amenintari Masuri
 Virusi  Control strict al
 Man in the Middle accesului
 Backdoors  Detectia intruziunilor
 Hash-uri
 1. Notiuni generale privind securitatea
sistemelor informatice
Disponibilitatea
Disponibilitatea asigura stabilitatea si accesul in
timputil la date si resurse catre persoane autorizate.
 1. Notiuni generale privind securitatea
sistemelor informatice
Disponibilitatea
Amenintari Masuri
 Erori software sau ale  Mentinerea unui sistem
echipamentelor de backup pentru a
 Probleme legate de inlocui sistemul defect
mediu, precum caldura  IDS pentru monitorizarea
sau frig excesiv, traficului de retea si a
umiditate, electricitate activitatii sistemelor
statica, etc.  Configurarea
 Atacuri DoS (Denial of corespunzatoare a
Service) firewall-ului si router-elor
 1. Notiuni generale privind securitatea
sistemelor informatice
Managementul securitatii informatiei

Managementul securitatii informatiei se bazeaza pe

asigurarea unui management al riscurilor si verificarea
ca resursele organizatiei sunt utilizate in mod
responsabil, prin impunerea unor politici interne si/sau
externe.
 1. Notiuni generale privind securitatea
sistemelor informatice
Politica:
 Ce anume se securizeaza ?
– de obicei un sistemsau o informatie
 Cine trebuie sa se conformeze politicii ?
– de obicei angajatii
 Care sunt vulnerabilitatile, amenintarile sau riscurile ?
 1. Notiuni generale privind securitatea
sistemelor informatice
Tipuri de politici:
 Reglementari – asigura ca organizatia urmeaza
standarde impuse de reglementari in industrie – ex.
PCI-DSS
 Recomandari – din partea autoritatilor, sunt
optionale – ex. NISP
 Informative – nu impune, ci invata angajatii anumite
elemente relevante organizatiei
 1. Notiuni generale privind securitatea
sistemelor informatice
Standarde
 Se refera la activitati, actiuni, reguli sau reglementari
obligatorii
 Pot oferi politicilor suport suplimentar in fata
managementului
 Standardele pot fi impuse intern sau extern
 1. Notiuni generale privind securitatea
sistemelor informatice
Proceduri
 Activitati pas cu pas ce trebuie indeplinite pentru a
obtine un anumit rezultat (ex. Prodedura pentru
instalarea sistemului de operare)
 Sunt considerate ca fiind la cel mai jos nivel intr-o politica
deoarece sunt cele mai apropiade de computere si
utilizatori
 Indica modul in care politicile, standardele si indicatiile
vor fi efectiv implementate in productie
 Explica pasii prin care se obtine un rezultat cerut in
politica, definind metoda de implementare, configurare,
auditare, etc.
 1. Notiuni generale privind securitatea
sistemelor informatice
Configuratie de baza
 O configuratie la un anumitmoment in timp, ce va fi folosita
pentru comparatii cu viitoarele modificari.
 Dupa ce au fost eliminate riscurile si implementata
securitatea, configuratia de baza trebuie revazuta si aprobata,
si folosita pentru comparatii ulterioare
 Reprezinta de obicei un nivel minim de protectie care este
cerut
 Pot fi definite in functie de tipul sistemului, indicand setarile
necesare pentru fiecare in parte. Spre exemplu, se poate cere
ca toate sistemele din departamentul contabilitate sa
indeplineasca cel putin cerintele configuratiei de baza
Evaluation Assurance Level (EAL) 4.
 1. Notiuni generale privind securitatea
sistemelor informatice
Modele de securitate
1. Control Objectives for Information and Related
Technology (COBIT)
2. ISO/IEC 17799/BS 7799
3. Information Technology Infrastructure Library (ITIL)
4. Operationally Critical Threat, Asset and Vulnerability
Evaluation (OCTAVE).
 1. Notiuni generale privind securitatea
sistemelor informatice
1. COBIT 4.x
 Control Objectives for Information and related
Technology este un set de bune practici (framework)
pentru management IT, creat de Information Systems
Audit and Control Association (ISACA), si IT Governance
Institute (ITGI) in 1992.
 COBIT oferamanagerilor, auditorilor si utilizatorilor IT un
set de masuri, indicatori si procese general acceptate si
bune practici pentru a-I ajuta sa maximizeze beneficiile
din utilizarea IT si a dezvolta controale IT
corespunzatoare
 1. Notiuni generale privind securitatea
sistemelor informatice
2. ISO/IEC 17799/BS 7799
 Istoria standardului ISO pentru managementul
securitatii informatiei a inceput cu BS 7799 rezultand
mai tarziu ISO 17799 si in final “familia de standarde”
ISO 27000 pentru Information Security Management
Systems (ISMS).
 Seria ISO/IEC 27000 este compusa din standarde
pentru securitatea informatiei publicate in comun de
International Organization for Standardization (ISO) si
International Electrotechnical Commission (IEC).
 1. Notiuni generale privind securitatea
sistemelor informatice
3. ITIL
 Information Technology Infrastructure Library (ITIL) este
un set de concepte si tehnici pentru administrarea
infrastructurii, dezvoltarii si operatiilor IT
 ITIL este publicat ca o serie de carti, fiecare acoperind un
subiect din managmentul IT
 ITIL v3 contine volumele:
 ITIL Service Strategy Book
 ITIL Service Design Book
 ITIL Service Transition Book
 ITIL Service Operation Book
 ITIL Continual Service Improvement Book
 Securitatea informatiei
1. Notiuni generale privind securitatea sistemelor
informatice
2. Fundamente privind vulnerabilităţile sistemelor
informatice
3. Concepte şi metodologii privind procesul de
management al vulnerabilităţilor
4. Bune practici privind procesul de management al
vulnerabilitatilor
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Vulnerabilitatatea – Definitii
 ISO 27005 – o slabiciune a unui element sau grup de
elemente care pot fi exploatate de una sau mai multe
amenintari
 IETF RFC 2828 – un defect sau o slabiciune in design-
ul, implementarea, operarea sau managementul unui
sistem, care pot fi exploatate pentru a viola politica
de securitate a sistemului
 ISACA - o slabiciune in design, implementare,
operare sau control intern
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Definitii
 Amenintare – potentialul ca o anumita
vulnerabilitate sa fie utilizata, intentionat sau
accidental
 Control – masura luata pentru a preveni, detecta,
minimiza sau elimina riscul, pentru a proteja
Confidentialitatea, Integritatea si Disponibilitatea
(Availability) informatiilor
 Evaluarea vulnerabilitatilor (VA) – procesul de
identificare, cuantificare si prioritizare a
vulnerabilitatilor din sistem
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Vulnerabilitatea si modele pentru factorul de risc
OWASP
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Information Security Management System (ISMS)

 ISMS – un set de politici legate de managementul

securitatii informatiei
 Proiectat sa administreze, conform principiilor de
Risc Management, contra-masurile necesare pentru
a asigura ca strategia de securitate este stabilita
pentru a urma regulile si reglementarile aplicabile
 Contra-masurile mai sunt numite si controale de
securitate
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Clasificarea vulnerabilitatilor
 Hardware
 Susceptibilitate la umiditate
 Susceptibilitate la praf
 Susceptibilitate la murdarire
 Software
 Testare insuficienta
 Lipsa urmelor de audit
 Retea
 Linii de comunicatie neprotejate
 Arhitectura de retea nesecurizata
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Clasificarea vulnerabilitatilor
 Personal
 Procese de recrutare neadecvate
 Cunostinte insuficiente despre securitate
 Locatie
 Zona cu inundatii
 Surse de tensiune instabile
 Organizational
 Lipsa auditarilor regulate
 Lipsa unui plan de continuitate
 Lipsa securitatii
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Cauzele vulnerabilitatilor (I)

1) Complexitatea - sistemele mari, complexe creste

probabilitatea unor defecte si a punctelor de acces
nedorite
2) Familiaritatea – folosirea unor programe, sisteme de
operare si/sau hardware comun, bine cunoscut, creste
probabilitatea ca atacatorul sa aiba sau sa gaseasca
uneltele si cunostintele necesare pentru a exploata
defectul
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Cauzele vulnerabilitatilor (II)

3) Conectivitatea – cu cat sunt mai multe conexiuni fizice,

privilegii, porturi, si servicii accesibile, cu atat creste
vulnerabilitatea
4) Slabiciuni in managementul parolelor
 Folosirea parolelor slabe, care pot fi descoperite prin forta bruta
 Stocarea parolelor pe calculator, unde pot fi accesate de catre
programe
 Utilizarea aceleiasi parole pentru mai multe programe/site-uri
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Cauzele vulnerabilitatilor (III)

5) Erori de proiectare a sistemului de operare –

proiectantul sistemului de operare a ales sa impuna
politici care nu sunt optime legate de managementul
utilizatorilor/programelor

6) Navigarea pe Internet
 Unele site-uri web pot contine Spyware sau Adware care
se pot instala automat pe calculator
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
 Cauzele vulnerabilitatilor (IV)

7) Erori de programare (bug) – programatorul lasa un

bug ce poate fi exploatat in software

8) Lipsa verificarii datelor introduse - atunci cand

programul presupune ca toate datele introduse de
utilizator sunt sigure si corecte.
Programele care nu fac aceasta verificare pot permite
executia unor comenzi sau a unor declaratii SQL
 2. Fundamente privind vulnerabilităţile
sistemelor informatice
Identificarea si eliminarea vulnerabilitatilor (I)
 Exista multe unelte care pot ajuta in detectarea
vulnerabilitatilor de pe calculatoare
 Desi ele pot fi de mare ajutor auditorilor, au limitari si
necesita si judecata umana
 Vulnerabilitatile se gasesc in toate sistemele de
operare importante
 Pentru a reduce exploatarea vulnerabilitatilor:
 Efectuati o mentenanta atenta a sistemelor (patch-uri)
 Folositi bunele practici in implementare
 Auditati sistemele (in intregul ciclu de viata)
 Securitatea informatiei
1. Notiuni generale privind securitatea sistemelor
informatice
2. Fundamente privind vulnerabilităţile sistemelor
informatice
3. Concepte şi metodologii privind procesul de
management al vulnerabilităţilor
4. Bune practici privind procesul de management al
vulnerabilitatilor
3. Concepte şi metodologii privind procesul
de management al vulnerabilităţilor
Concepte (I)
 Managementul vulnerabilitatilor – procesul
continuu de identificare, clasificare, remediere si
eliminare vulnerabilitatilor, in special in software si
firmware.
 Vulnerabilitatile pot fi descoperite de catre un
scanner de vulnerabilitati, care analizeaza un sistem
in cautarea vulnerabilitatilor cunoscute:
 Porturi deschise
 Configuratii software nesecurizate
 Susceptibilitate la malware, etc.
3. Concepte şi metodologii privind procesul
de management al vulnerabilităţilor
Concepte (II)
 Vulnerabilitatile necunoscute, precumatacurile zero-day,
pot fi detectate prin fuzz testing, care poate identifica
anumite tipuri de vulnerabilitati, precum buffer overflow
 Anumite programe antivirus capabile de analiza heuristica,
pot descoperi malware nedocumentat care se comporta
suspicios.
 Corectarea vulnerabilitatilor poate include:
 Instalarea unui patch
 O modificare in politica de securitate a retelei
 Reconfigurarea unui software (ex. Firewall)
 Educarea utilizatorilor despre social engineering
3. Concepte şi metodologii privind procesul
de management al vulnerabilităţilor
Program pentru managementul vulnerabilitatilor (I)

 Ofera o abordare asupra eliminarea riscurilor si

amenintarilor
 Evalueaza potentialul impact asupra afacerii si
probabilitatea ca amenintarea sa aiba loc
 Aceste programe faciliteaza si conformitatea cu
diverse reglementari
 Securitatea informatiei
1. Notiuni generale privind securitatea sistemelor
informatice
2. Fundamente privind vulnerabilităţile sistemelor
informatice
3. Concepte şi metodologii privind procesul de
management al vulnerabilităţilor
4. Bune practici privind procesul de management al
vulnerabilitatilor
 4. Bune practici privind procesul de
management al vulnerabilitatilor
Program pentru managementul vulnerabilitatilor (II)

Elemente majore
1. Inventarierea bunurilor (assets inventory)
2. Administrarea fluxului de informatii
3. Evaluarea nivelului de risc al bunurilor si
vulnerabilitatilor
4. Urmarirea remedierii
5. Planul de raspuns
 4. Bune practici privind procesul de
management al vulnerabilitatilor
1. Inventarierea bunurilor (I)

a) Provocari
Lipsa resurselor si a uneltelor
Lipsa responsabilitatii
Management al schimbarii neadecvat
Servere/statii instalate neautorizat
Limite neclare ale retelelor
 4. Bune practici privind procesul de
management al vulnerabilitatilor
1. Inventarierea bunurilor (II)
b) Bune practici
 Stabilirea unui singur punct de autoritate pentru
inventariere (PVG –Patch & Vulnerability Group), diferit
de administratorii locali
 Avizarea utilizatorilor de persoanele pe care trebuie sa le
contacteze in cazul unei schimbari
 Actualizarea inventarului prin intermediul unui proces de
management al schimbarii
 Folosirea unei scheme consistente de numerotare a
bunurilor
 Validarea regulata (ex. anuala) a inventarului
 4. Bune practici privind procesul de
management al vulnerabilitatilor
2. Administrarea fluxului de informatii (I)

a) Provocari
 Exista un flux constant de informatii despre noi
vulnerabilitati, virusi, si amenintari
 Cantitate mare de date
 Identificarea vulnerabilitatilor si amenintarilor care
sunt relevante organizatiei
 Multitudinea de surse
 Lipsa unui ghid de raspuns la incidente
 4. Bune practici privind procesul de
management al vulnerabilitatilor
2. Administrarea fluxului de informatii (II)
b) Bune practici
 Stabilirea unei echipe CSIRT (Computer Security
Incident Response Team) care sa evalueze continuu
nivelul amenintarilor in organizatie
 Transmiterea de informatii de catre CSIRT catre
utilizatorii finali folosind un mailing list si mentinerea
unui site web cu sfaturi
 Crearea de ghiduri pentru raspuns la incidente
destinate utilizatorilor
 Crearea unui format de alerta standardizat
 4. Bune practici privind procesul de
management al vulnerabilitatilor
3. Evaluarea nivelului de risc al bunurilor si
vulnerabilitatilor (I)

a) Provocari
 Lipsa informatiilor – despre bunuri, designul retelei,
procese, etc.
 Lipsa resurselor
 Lipsa unui control al schimbarilor
 Stabilirea bunurilor pentru care se face evaluarea
 4. Bune practici privind procesul de
management al vulnerabilitatilor
3. Evaluarea nivelului de risc al bunurilor si vulnerabilitatilor
(II)
b) Bune practici (I)
 Documentarea proceselor de evaluare a noilor
vulnerabilitati pe masura ce sunt anuntate
 Metoda de asignare consistenta a riscului
 Publicarea nivelului de risc si a definitiei pentru acel nivel
 Utilizarea unui inventar exact (vezi Inventarierea bunurilor)
 Implementarea proceselor de managementul schimbarii
 Crearea unei documentatii ce contine uneltele de
remediere folosite si rezolvarea pe care o ofera, locatia
implementarii
 4. Bune practici privind procesul de
management al vulnerabilitatilor
3. Evaluarea nivelului de risc al bunurilor si vulnerabilitatilor
(II)
b) Bune practici (II)
 Obtineti permisiune inclusiv in controlul schimbarii pentru
a rula scanari, in cazul in care provocati o indisponibilitate a
resurselor din retea
 Testati noile verificari intr-un laborator, pentru a identifica
false pozitive, false negative, si indisponibilitatea serviciilor
 Creati politici personalizate in functie de OS sau de
standardul in industrie (SANS Top20, Windows Top 10
Vulns)
 Documentati scanarea printr-o procedura de operare
standard
 4. Bune practici privind procesul de
management al vulnerabilitatilor
4. Urmarirea remedierii si raportare

a) Provocari
 Conectarea personalului corect cu bunurile ce
trebuie remediate
 Stabilirea responsabilitatii pentru actualizarea si
remedierea sistemelor vulnerabile
 Crearea de rapoarte relevante
 4. Bune practici privind procesul de
management al vulnerabilitatilor
4. Urmarirea remedierii si raportare
b) Bune practici
 Folositi o unealta care are o metoda de notificare a
proprietarilor bunurilor ca au vulnerabilitati de remediat
 Stabiliti impreuna cu managementul tipurile de rapoarte
pe care le doresc si puteti sa le oferiti
 Obtineti suportul managementului pentru stabilirea unui
interval de timp pentru remediere si a consecintelor daca
nu sunt remediate sistemele
 Concentrati-va pe vulnerabilitatile importante
clasificandu-le in functie de nivelul vulnerabilitatii si al
bunului afectat
 4. Bune practici privind procesul de
management al vulnerabilitatilor
5. Planul de raspuns

a) Provocari
 Transmiterea informatiilor de catre CSIRT catre
persoanele potrivite
 Eliminarea activitatii duplicate in cadrul diferitelor
echipe
 Lipsa informatiilor despre activitatile ce trebuie
efectuate de fiecare echipa
 4. Bune practici privind procesul de
management al vulnerabilitatilor
5. Planul de raspuns

Bune practici
 Stabilirea unui plan documentat, si publicat, pe care CSIRT si
ceilalti angajati cheie sa il inteleaga si sa il urmeze
 Oferiti informatii rapide si exacte catre personalul tehnic si
catre utilizatorii finali
 Asigurati-va ca personalul help-desk este notificat si informat
cum sa trateze situatia
 CSIRT si echipa de evaluare a vulnerabilitatilor trebuie sa aiba
la indemana informatiile despre retea, pentru a actiona rapid
la nivelul intregii organizatii
 4. Bune practici privind procesul de
management al vulnerabilitatilor
5. Planul de raspuns

Trebuie sa includa:

 Daca se va remedia, atenua sau accepta

vulnerabilitatea
 Daca se va folosi remediere automata sau manuala
 Strategii pentru atenuarea vulnerabilitatilor ramase
 Justificari pentru acceptarea vulnerabilitatilor
 4. Bune practici privind procesul de
management al vulnerabilitatilor
Concluzie

“Organizatiile pot remedia expunerea la vulnerabilitati

si pregati protectii potrivite prin definirea si executia
proactiva a unui plan care urmeaza bunele practici si
foloseste cele mai noi tehnologii automatizate pentru a
face acel plan repetabil”

Carl Banzhof, “Strategies to Protect against Network

Security Vulnerabilities”
 Referinte bibliografice

1. http://andrei.clubcisco.ro/cursuri/master/set-materii-
3/managementul-securitatea-informatiei.html

2. Carl Banzhof, “Strategies to Protect against Network Security

Vulnerabilities”
https://www.computerworld.com/article/2580765/security0/str
ategies-to-protect-against-network-security-vulnerabilities.html