Documente Academic
Documente Profesional
Documente Cultură
Protecţia Datelor
2017
Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera
circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor)
www.dataprotection.ro
Minorii beneficiază de mai multă Astfel, în măsura în care bunurile
atenţie întrucât regulamentul stabileşte sau serviciile oferite de o companie
o serie de garanţii specifice pentru a aflată în afara UE, care presupun
proteja cât mai eficient viaţa privată a prelucrarea datelor personale, sunt
acestora, în special, în mediul on-line. adresate în mod vădit şi cetăţenilor
Regulile stabilite de Regulament Uniunii Europene, regulile stabilite de
vor fi aplicabile tuturor operatorilor de Regulament îi vor fi aplicabile şi acestei
date, indiferent de locul unde sunt companii.
stabiliţi aceştia, în anumite condiţii.
Domeniul de aplicare:
Ÿ este direct aplicabil în toate statele membre
Domeniul
de UE
Aplicare Ÿ protejează drepturile tuturor persoanelor
fizice aflate pe teritoriul UE, indiferent de situarea
geografică a operatorului de date
Ÿ extinde sfera de aplicare şi asupra
operatorilor de date stabiliţi în afara UE, în măsura
în care bunurile şi/sau serviciile acestora sunt
adresate (şi) persoanelor aflate pe teritoriul UE
www.dataprotection.ro
Regulamentul priveşte atât O astfel de monitorizare
companiile aflate pe teritoriul Uniunii presupune, spre exemplu, urmărirea
Europene, cât şi cele din afara acestui comportamentului în mediul on-line,
spaţiu care prelucrează, însă, date inclusiv folosirea unor tehnici
personale pentru a oferi bunuri şi ulterioare de prelucrare a datelor cum
ar fi crearea de profiluri. Astfel de
servicii persoanelor aflate pe teritoriul
tehnici sunt folosite pentru a stabili
Uniunii Europene, indiferent dacă preferinţele persoanelor,
bunurile şi serviciile respective sunt comportamentele şi atitudinile
condiţionate sau nu de efectuarea unei acestora.
plăţi.
Impor tantă este intenţi a Excepţii:
companiei de a oferi în mod efectiv Ÿ prevederile Regulamentului nu
bunuri şi/sau servicii persoanelor vor fi aplicabile prelucrărilor efectuate
aflate pe teritoriul UE. în scopul prevenirii, cercetării şi
Pentru a identifica intenţia de a urmăririi penale a infractorului sau
oferi bunuri sau servicii pe teritoriul executarea sancţiunii penale. În cazul
Uniunii Europene sunt analizaţi mai acestora vor fi aplicabile prevederile
mulţi factori, cum ar fi: utilizarea unei reglementări naţionale în
limbii oficiale a unuia dintre statele aplicabilitatea Directivei (UE)
membre, posibilitatea de a plăti în euro 2016/680, (care face parte din acelaşi
sau altă monedă oficială a statelor „pachet legislativ” cu Regulamentul
membre ori de a livra produsele UE 2016/679).
comandate pe teritoriul UE sau orice Ÿ Regulamentul nu va fi aplicabil
alte asemenea indicii. activităţilor aflate în afara dreptului
De asemenea, Regulamentul va Uniunii – aici se încadrează şi
fi aplicabil şi companiilor aflate în prelucrările de date referitoare la
afara Uniunii Europene în măsura în securitatea naţională a statelor
care prelucrarea de date efectuată membre şi relaţiile externe.
presupune monitorizarea Ÿ Regulamentul nu va fi aplicabil
comportamentului persoanelor aflate prelucrărilor de date efectuate de o
pe teritoriul UE. persoană fizică în cadrul unei activităţi
exclusiv personale.
www.dataprotection.ro
Ÿ Activităţile cuprinse în ultima în această excepţie, spre exemplu,
excepţie sunt unele strict personale şi corespondenţa personală prin e-mail,
exclud orice legătură cu profesia sau cu socializarea în mediul on-line şi orice
orice activitate comercială. Sunt incluse altă asemenea activitate.
www.dataprotection.ro
Ÿ dreptul la portabilitatea datelor libertăţilor altor persoane – spre
- oferă posibilitatea persoanei fizice de exemplu cazul unui set de date care
a cere să se transmită datele la un alt priveşte mai multe persoane sau
operator sau de a primi datele dreptul altei persoane de a obţine
personale care o privesc şi pe care le-a ştergerea datelor care o privesc.
furnizat operatorului. Atunci când se exercită dreptul
Operatorul de date trebuie să la portabilitatea datelor, operatorul de
ofere datele într-un format structurat, date poate transmite datele personale
utilizat în mod curent, prelucrabil direct altui operator de date ales de
automat şi interoperabil, tocmai persoana vizată.
pentru ca şi un alt operator de date să le
poată prelucra ulterior.
Dreptul la portabilitatea datelor
este aplicabil în măsura în care
persoana vizată a oferit operatorului
datele personale, iar acesta le
prelucrează în baza consimţământului
sau în executarea unui contract.
Nu se va putea exercita dreptul
la portabilitatea datelor în cazul
operatorilor de date care prelucrează Aspecte diverse:
datele persoanelor fizice în cadrul R e g u l a m e n t u l s t a b i l e ş te
exercitării funcţiilor lor publice, în obligaţia operatorului de a
cazul în care prelucrarea este necesară demonstra obţinerea
în vederea respectării unei obligaţii consimţământului persoanei pentru
legale căreia îi este supus operatorul prelucrările de date personale.
ori în cazul îndeplinirii unei sarcini Persoana vizată are dreptul să îşi
care serveşte unui interes public sau retragă în orice moment
care rezultă din exercitarea unei consimţământul, în situaţia în care
autorităţi publice cu care este învestit acesta constituie temei de prelucrare
operatorul de date. a datelor.
În exercitarea dreptului la
portabilitatea datelor, nu trebuie
a d u s e a t i n g e r i d re p t u r i l o r ş i
www.dataprotection.ro
Absenţa unei manifestări clare Proximitatea faţă de persoana
de acord nu poate fi privită ca o formă vizată - autoritatea de supraveghere
de exprimare a consimţământului. din statul membru în care se află
Spre exemplu, în cazul căsuţelor bifate persoana vizată acţionează ca
(prin care este prestabilit acordul) nu interlocutor/punct de contact atunci
poate fi prezumat un consimţământ când operatorul de date este stabilit
exprimat în cunoştinţă de cauză. într-un alt stat.
În cazul în care datele sunt În cazul prelucrărilor de date
prelucrate în mai multe scopuri, este care vizează persoane din mai multe
important ca operatorul de date să state membre, fiecare persoană are
poată demonstra că a obţinut acordul posibilitatea de a se adresa (după caz,
persoanei pentru a-i prelucra datele în de a depune plângere) autorităţii de
toate acele scopuri. supraveghere din statul (membru UE)
Regulamentul stabileşte în care îşi are domiciliul/reşedinţa. În
obligaţia operatorului de date de a acest fel, este asigurată implicarea
asigura un anumit nivel de autorităţii de supraveghere din statul
transparenţă faţă de persoanele vizate. membru în care se află persoana în
Acestea trebuie să ştie cine este procedura de adoptare a unei decizii în
operatorul de date, scopul în care le vor cazul unui operator de date stabilit
fi prelucrate datele, ce date sunt într-un alt stat membru.
utilizate, ce drepturi le sunt garantate, Cooperare consolidată între
cum îşi pot exercita aceste drepturi şi autorităţile de supraveghere - în cazul
cine sunt/vor fi terţii cărora operatorul prelucrărilor de date transnaţionale
le va dezvălui datele, dacă este cazul. (cele care privesc persoane din mai
În cazul în care sunt prelucrate multe state membre UE), autorităţii de
d ate p e rs on a le a le m i nor i lor, supraveghere din statul respectiv îi
operatorul de date trebuie să ofere sunt oferite competenţe pentru a se
informaţiile respective utilizând un asigura, alături de autorităţile din
limbaj cât mai simplu şi clar, astfel celelalte state implicate, că datele sunt
încât copilul/minorul să poată înţelege prelucrate conform regulilor şi
cu uşurinţă scopul şi modul în care îi principiilor stabilite de Regulament.
vor fi prelucrate datele personale.
www.dataprotection.ro
Pentru operatorii de date:
www.dataprotection.ro
În funcţie de riscurile acestea vor beneficia în continuare de
identificate, operatorul de date îşi va nivelul de protecţie asigurat de regulile
stabili şi măsuri tehnice şi şi principiile stabilite de Regulament.
organizatorice (proceduri interne) Operatorul de date utilizează
pentru a preveni producerea acestora. unul dintre instrumentele prevăzute
de Regulament:
Privacy by design & Privacy Ÿ BCR - reguli cor poratiste
by default - două principii esenţiale obligatorii
pentru operatorii de date. Ÿ clauze contractuale standard
Ÿ Decizii privind caracter ul
Privacy by design - eşti adecvat al nivelului de protecţie
dezvoltator de aplicaţii prin care se vor
emise de către Comisia
prelucra şi date personale? Trebuie să
Europeană.
te asiguri, încă din stadiul dezvoltării,
că aplicaţia ta va respecta regulile şi
Pentru a se asigura nivelul de
principiile stabilite de Regulament.
protecţie a datelor persoanelor fizice,
transferul datelor cu caracter personal
Privacy by default - furnizezi o
într-un stat terţ sau către o organizaţie
aplicaţie care prelucrează date
internaţională se poate realiza doar cu
personale? Trebuie să te asiguri că
respectarea unor condiţii de către
setările iniţiale le vor permite
operator şi persoana împuternicită de
utilizatorilor să îşi menţină controlul
operator, inclusiv în ceea ce priveşte
asupra vieţii lor private/ceea ce
transferurile ulterioare de date din
postează sau împărtăşesc cu alţi
statul terţ către un alt stat terţ sau
utilizatori. Utilizatorul poate alege să
către o altă organizaţie internaţională.
dezvăluie mai multe informaţii/date
personale, însă trebuie să o facă în
cunoştinţă de cauză, nu implicit
(datorită setărilor iniţiale).
www.dataprotection.ro
Transferul datelor cu caracter datelor adoptate de Comisia
personal către un stat terţ, un teritoriu Europeană;
sau un sector specificat dintr-un stat Ÿ clauzele standard de protecţie a
terţ sau o organizaţie internaţională nu datelor adoptate de autoritatea de
necesită autorizare atunci când Comisia supraveghere;
Ÿ un cod de conduită aprobat;
Europeană a decis că statul terţ,
Ÿ un mecanism de certificare
teritoriul, sectorul specificat sau aprobat;
organizaţia internaţională oferă un Ÿ clauze contractuale între operator
nivel de protecţie adecvat. sau persoana împuternicită de
În absenţa unei decizii privind operator şi operatorul,persoana
caracterul adecvat al nivelului de împuternicită de operator sau
protecţie, operatorul sau persoana destinatarul datelor din statul
împuternicită trebuie să adopte măsuri terţ sau organizaţia
care să compenseze lipsa protecţiei internaţională;
datelor într-un stat terţ prin adoptarea Ÿ dispoziţii care urmează să fie
unor garanţii e ficiente pentr u incluse în acordurile
persoanele vizate, cum ar fi: administrative dintre autorităţile
Ÿ un instrument obligatoriu din sau organismele publice, care
punct de vedere juridic şi includ drepturi opozabile şi
executoriu între autorităţile sau efective pentru persoanele vizate
organismele publice (acorduri (autorizaţia autorităţii
administrative); competente ar trebui obţinută
Ÿ reguli corporatiste obligatorii/ când garanţiile sunt oferite prin
BCR (binding corporate rules); acorduri administrative fără
Ÿ clauzele standard de protecţie a caracter juridic obligatoriu).
www.dataprotection.ro
Un transfer către un stat terţ sau Ÿ transferul este necesar pentru
o organizaţie internaţională mai poate stabilirea , exercitarea sau
avea loc, în absenţa unei decizii privind apărarea unui drept în instanţă;
caracterul adecvat al nivelului de Ÿ transferul este necesar pentru
www.dataprotection.ro
Responsabilul pentru Ÿ în cazul în care activitatea
protecţia datelor - DPO principală a operatorului de date
Numirea unui responsabil constă în operaţiuni de prelucrare
pentru protecția datelor la nivelul care necesită o monitorizare
operatorului de date reprezintă una
regulată şi sistematică a
dintre măsurile prin care se încearcă
responsabilizarea operatorilor de date. persoanelor vizate pe scară largă;
Ÿ în cazul în care activitatea
Responsabilul pentru protecţia
datelor oferă consultanţa necesară în principală a operatorului de date
vederea respectării tuturor obligaţiilor (sau a împuternicitului acestuia)
operatorului de date şi asigurării constă în prelucrarea pe scară
transparenţei necesare faţă de largă de categorii speciale de date
persoanele vizate. cu caracter personal şi de date
Responsabilul pentru protecţia privind condamnările penale şi
datelor poate oferi operatorului de date infracţiunile.
consultanţa necesară în vederea
efectuării studiului de impact asupra Este recomandată numirea unui
vieţii private. responsabil pentru protecția datelor la
Operatorul de date trebuie să îşi nivelul operatorului de date şi în afara
desemneze un responsabil pentru cazurilor de mai sus, întrucât în acest fel
protecția datelor în următoarele p oate f i asig urată res p e c tarea
situaţii: prevederilor Regulamentului în cadrul
Ÿ atunci când operatorul de date
prelucrării de date efectuată de către
este o autoritate publică (cu operatorul de date / împuternicitul
excepţia instanţelor sau a a acestuia.
autorităţilor judiciare);
www.dataprotection.ro
Sancţiuni severe - până la 10 – încălcarea a fost adusă la cunoştinţa
20 milioane de euro sau între 2% şi 4% autorităţii de supraveghere,
din cifra de afaceri la nivel conformitatea cu măsurile adoptate
internaţional, pentru operatorii din împotriva operatorului sau a persoanei
împuternicite de operator, aderarea la
sectorul privat.
un cod de conduită şi orice alt factor
Regulamentul stabileşte criterii
agravant sau atenuant.
clare de individualizare a sancţiuni –
Fiecare stat membru poate
vor fi avute în vedere în mod
prevedea norme prin care să se
corespunzător natura, gravitatea şi
stabilească dacă și în ce măsură pot fi
durata încălcării, caracterul deliberat al
impuse amenzi autorităților publice.
încălcării, acţiunile întreprinse pentru
a reduce prejudiciul cauzat, gradul de
răspundere sau or ice încălcăr i
anterioare relevante, modul în care
www.dataprotection.ro
Bulevardul G-ral Gheorghe Magheru 28-30, sector 1
Bucureşti, cod poştal 010336
Telefon : 031.805.9211
Fax : 031.805.9602
E-mail : anspdcp@dataprotection.ro
Web : www.dataprotection.ro