Noul Regulament General privind

Protecţia Datelor

2017
 Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera
circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor)

Comisia Europeană a semnalat, în R e g ul amentul accentue ază

anul 2012, necesitatea actualizării responsabilitatea operatorilor care
cadrului normativ european aplicabil în prelucrează date personale,
domeniul protecţiei datelor şi a propus simplificând, în acelaşi timp,
noi reguli utilizând ca instrument formalităţile administrative pe care
aceştia trebuie să le parcurgă.
normativ regulamentul.
Prevederile Regulamentului
Regulamentul (UE) 2016/679 a
consolidează drepturile garantate
intrat în vigoare pe 25 mai 2016, iar
persoanelor vizate (persoanele ale căror
prevederile lui vor fi aplicabile începând
date sunt prelucrate).
cu data de 25 mai 2018.
Astfel, dreptul la informare este
Deşi principiile şi obiectivele
extins, în sensul că persoanele vizate
principale stabilite de Directiva
pot obţine de la operatorul de date
95/46/CE rămân valabile, scopul
informaţii mai clare şi cuprinzătoare cu
principal al Regulamentului este acela
privire la scopul şi temeiul legal în care
de a adapta şi actualiza aceste principii
se prelucrează datele personale,
în acord cu evoluţia tehnologiei.
perioada de stocare a acestora şi
Regulamentul stabileşte un set
drepturile de care beneficiază.
unic de reguli, direct aplicabile în toate
Dreptul de a fi uitat cu
statele membre ale Uniunii, destinat
aplicabilitate în mediul on-line este
protejării mai eficiente a vieţii private a
consacrat expres.
persoanelor fizice de pe teritoriul
Regulamentul mai prevede şi un
Uniunii Europene.
drept nou, cel la portabilitatea datelor -
Principiile şi regulile stabilite de
mai exact posibilitatea persoanelor
Regulament privesc un drept
vizate de a cere transferarea datelor la
fundamental al persoanei – dreptul la
un alt operator de date.
protecţia datelor personale, garantat de
art. 8 al Cartei Drepturilor
Fundamentale a UE şi art. 16 al
Tratatului UE.

www.dataprotection.ro
 Minorii beneficiază de mai multă
atenţie întrucât regulamentul stabileşte
o serie de garanţii specifice pentru a
proteja cât mai eficient viaţa privată a
acestora, în special, în mediul on-line.
Regulile stabilite de Regulament
vor fi aplicabile tuturor operatorilor de
date, indiferent de locul unde sunt
stabiliţi aceştia, în anumite condiţii.
Astfel, în măsura în care bunurile
sau serviciile oferite de o companie
aflată în afara UE, care presupun
prelucrarea datelor personale, sunt
adresate în mod vădit şi cetăţenilor
Uniunii Europene, regulile stabilite de
Regulament îi vor fi aplicabile şi acestei
companii.

Domeniul de aplicare:
Ÿ este direct aplicabil în toate statele membre
Domeniul
de UE
Aplicare Ÿ protejează drepturile tuturor persoanelor
fizice aflate pe teritoriul UE, indiferent de situarea
geografică a operatorului de date
Ÿ extinde sfera de aplicare şi asupra
operatorilor de date stabiliţi în afara UE, în măsura
în care bunurile şi/sau serviciile acestora sunt
adresate (şi) persoanelor aflate pe teritoriul UE

Scopul Regulamentului este să /persoane fizice/instituţii/orice alte

contribuie la asigurarea unei zone de entităţi de drept public sau privat.
libertate, securitate şi justiţie pe Aceste reguli şi principii sunt
teritoriul Uniunii Europene, o zonă în a plic a bile tuturor p ers oanelor,
indiferent de cetăţenia acestora sau de
care este asigurat atât progresul
reşedinţă (în interiorul UE).
economic şi social, cât şi binele
Operatorilor de date le este
individual.
oferită posibilitatea de a interacţiona cu
Regulile şi principiile stabilite de
o singură autoritate de supraveghere,
Regulament protejează viaţa privată a
respectiv cea din statul membru în care
tuturor persoanelor aflate pe teritoriul
este stabilit sediul principal al
Uniunii Europene, ale căror date
operatorului de date.
personale sunt prelucrate de companii

www.dataprotection.ro
 Regulamentul priveşte atât
companiile aflate pe teritoriul Uniunii
Europene, cât şi cele din afara acestui
spaţiu care prelucrează, însă, date
personale pentru a oferi bunuri şi
servicii persoanelor aflate pe teritoriul
Uniunii Europene, indiferent dacă
bunurile şi serviciile respective sunt
condiţionate sau nu de efectuarea unei
plăţi.
Impor tantă este intenţi a
companiei de a oferi în mod efectiv
bunuri şi/sau servicii persoanelor
aflate pe teritoriul UE.
Pentru a identifica intenţia de a
oferi bunuri sau servicii pe teritoriul
Uniunii Europene sunt analizaţi mai
mulţi factori, cum ar fi: utilizarea
limbii oficiale a unuia dintre statele
membre, posibilitatea de a plăti în euro
sau altă monedă oficială a statelor
membre ori de a livra produsele
comandate pe teritoriul UE sau orice
alte asemenea indicii.
De asemenea, Regulamentul va
fi aplicabil şi companiilor aflate în
afara Uniunii Europene în măsura în
care prelucrarea de date efectuată
presupune monitorizarea
comportamentului persoanelor aflate
pe teritoriul UE.
www.dataprotection.ro
O astfel de monitorizare
presupune, spre exemplu, urmărirea
comportamentului în mediul on-line,
inclusiv folosirea unor tehnici
ulterioare de prelucrare a datelor cum
ar fi crearea de profiluri. Astfel de
tehnici sunt folosite pentru a stabili
preferinţele persoanelor,
comportamentele şi atitudinile
acestora.
Excepţii:
Ÿ prevederile Regulamentului nu
vor fi aplicabile prelucrărilor efectuate
în scopul prevenirii, cercetării şi
urmăririi penale a infractorului sau
executarea sancţiunii penale. În cazul
acestora vor fi aplicabile prevederile
unei reglementări naţionale în
aplicabilitatea Directivei (UE)
2016/680, (care face parte din acelaşi
„pachet legislativ” cu Regulamentul
UE 2016/679).
Ÿ Regulamentul nu va fi aplicabil
activităţilor aflate în afara dreptului
Uniunii – aici se încadrează şi
prelucrările de date referitoare la
securitatea naţională a statelor
membre şi relaţiile externe.
Ÿ Regulamentul nu va fi aplicabil
prelucrărilor de date efectuate de o
persoană fizică în cadrul unei activităţi
exclusiv personale.
 Ÿ Activităţile cuprinse în ultima în această excepţie, spre exemplu,
excepţie sunt unele strict personale şi corespondenţa personală prin e-mail,
exclud orice legătură cu profesia sau cu socializarea în mediul on-line şi orice
orice activitate comercială. Sunt incluse altă asemenea activitate.

Pentru persoanele vizate:

Sunt consolidate drepturile garantate

persoanelor şi sunt introduse drepturi noi:

Ÿ dreptul de a f i uitat - caracter personal în cazul în care

persoanele fizice pot cere ştergerea
datelor personale dacă acestea au fost
prelucrate ilegal, fără consimţământul
acestora sau dacă datele nu mai sunt
necesare scopului în care au fost
prelucrate iniţial.
În cazul dreptului de a fi uitat, a
fost avută în vedere în special
prelucrarea datelor în mediul on-line.
Ÿ Dreptul de a fi uitat nu este unul
absolut – vor fi analizate întotdeauna
circumstanţele specifice fiecărui caz în
parte. Regulamentul permite
păstrarea în continuare a datelor cu
ace a s t a e s te n e ce s a r ă p e n t r u
respectarea libertăţii de exprimare şi a
dreptului la informare, pentru
respectarea unei obligaţii legale,
pentru îndeplinirea unei sarcini care
serveşte unui interes public sau care
rezultă din exercitarea autorităţii
p u b l i ce c u c a re e s te î nve s t i t
operatorul, din motive de interes
public în domeniul sănătăţii publice,
în scopuri de arhivare în interes public,
în scopuri de cercetare ştiinţifică sau
istorică ori în scopuri statistice sau
pentru constatarea, exercitarea sau
apărarea unui drept în instanţă.

www.dataprotection.ro
 Ÿ dreptul la portabilitatea datelor
- oferă posibilitatea persoanei fizice de
a cere să se transmită datele la un alt
operator sau de a primi datele
personale care o privesc şi pe care le-a
furnizat operatorului.
Operatorul de date trebuie să
ofere datele într-un format structurat,
utilizat în mod curent, prelucrabil
automat şi interoperabil, tocmai
pentru ca şi un alt operator de date să le
poată prelucra ulterior.
Dreptul la portabilitatea datelor
este aplicabil în măsura în care
persoana vizată a oferit operatorului
datele personale, iar acesta le
prelucrează în baza consimţământului
sau în executarea unui contract.
Nu se va putea exercita dreptul
la portabilitatea datelor în cazul
operatorilor de date care prelucrează
datele persoanelor fizice în cadrul
exercitării funcţiilor lor publice, în
cazul în care prelucrarea este necesară
în vederea respectării unei obligaţii
legale căreia îi este supus operatorul
ori în cazul îndeplinirii unei sarcini
care serveşte unui interes public sau
care rezultă din exercitarea unei
autorităţi publice cu care este învestit
operatorul de date.
În exercitarea dreptului la
portabilitatea datelor, nu trebuie
a d u s e a t i n g e r i d re p t u r i l o r ş i
www.dataprotection.ro
libertăţilor altor persoane – spre
exemplu cazul unui set de date care
priveşte mai multe persoane sau
dreptul altei persoane de a obţine
ştergerea datelor care o privesc.
Atunci când se exercită dreptul
la portabilitatea datelor, operatorul de
date poate transmite datele personale
direct altui operator de date ales de
persoana vizată.
Aspecte diverse:
R e g u l a m e n t u l s t a b i l e ş te
obligaţia operatorului de a
demonstra obţinerea
consimţământului persoanei pentru
prelucrările de date personale.
Persoana vizată are dreptul să îşi
retragă în orice moment
consimţământul, în situaţia în care
acesta constituie temei de prelucrare
a datelor.
 Absenţa unei manifestări clare
de acord nu poate fi privită ca o formă
de exprimare a consimţământului.
Spre exemplu, în cazul căsuţelor bifate
(prin care este prestabilit acordul) nu
poate fi prezumat un consimţământ
exprimat în cunoştinţă de cauză.
În cazul în care datele sunt
prelucrate în mai multe scopuri, este
important ca operatorul de date să
poată demonstra că a obţinut acordul
persoanei pentru a-i prelucra datele în
toate acele scopuri.
Regulamentul stabileşte
obligaţia operatorului de date de a
asigura un anumit nivel de
transparenţă faţă de persoanele vizate.
Acestea trebuie să ştie cine este
operatorul de date, scopul în care le vor
fi prelucrate datele, ce date sunt
utilizate, ce drepturi le sunt garantate,
cum îşi pot exercita aceste drepturi şi
cine sunt/vor fi terţii cărora operatorul
le va dezvălui datele, dacă este cazul.
În cazul în care sunt prelucrate
d ate p e rs on a le a le m i nor i lor,
operatorul de date trebuie să ofere
informaţiile respective utilizând un
limbaj cât mai simplu şi clar, astfel
încât copilul/minorul să poată înţelege
cu uşurinţă scopul şi modul în care îi
vor fi prelucrate datele personale.
www.dataprotection.ro
Proximitatea faţă de persoana
vizată - autoritatea de supraveghere
din statul membru în care se află
persoana vizată acţionează ca
interlocutor/punct de contact atunci
când operatorul de date este stabilit
într-un alt stat.
În cazul prelucrărilor de date
care vizează persoane din mai multe
state membre, fiecare persoană are
posibilitatea de a se adresa (după caz,
de a depune plângere) autorităţii de
supraveghere din statul (membru UE)
în care îşi are domiciliul/reşedinţa. În
acest fel, este asigurată implicarea
autorităţii de supraveghere din statul
membru în care se află persoana în
procedura de adoptare a unei decizii în
cazul unui operator de date stabilit
într-un alt stat membru.
Cooperare consolidată între
autorităţile de supraveghere - în cazul
prelucrărilor de date transnaţionale
(cele care privesc persoane din mai
multe state membre UE), autorităţii de
supraveghere din statul respectiv îi
sunt oferite competenţe pentru a se
asigura, alături de autorităţile din
celelalte state implicate, că datele sunt
prelucrate conform regulilor şi
principiilor stabilite de Regulament.
 Pentru operatorii de date:

One stop shop - formalităţi reduse

pentru operatorii de date (interlocutor unic
la nivel UE).
Operatorii de date care îşi desfăşoară
activităţile în mai multe state membre UE îşi
pot alege un singur interlocutor -
autoritatea de supraveghere din statul
membru în care îşi au stabilit sediul
principal.

Responsabilizarea O asemenea evaluare va începe

operatorilor de date - accentul este
pus pe transparenţa faţă de persoana
vizată şi responsabilitatea operatorului
de date faţă de modul în care
prelucrează datele.
În cazul prelucrărilor de date
care pot presupune un risc ridicat
pentru viaţa privată a persoanelor,
operatorul trebuie să efectueze un
studiu de impact asupra vieţii private.
Rezultatul unui astfel de studiu îi
va permite să identifice riscuri specifice
şi să adopte măsuri care să împiedice
apariţia / producerea acestor situaţii.
Prelucrarea categoriilor de „date
sensibile” poate presupune, de cele mai
multe ori, apariţia unor riscuri
specifice referitoare la viaţa privată a
persoanelor.
întotdeauna cu inventarierea
datelor/categoriilor de date personale
pe care operatorul intenţionează să le
prelucreze.
Acestea vor fi supuse unei
analize de necesitate pentru a verifica
dacă sunt, într-adevăr, necesare toate
acele date/categorii de date pentru a
atinge scopul urmărit de operator, în
vederea respectării principiului
minimizării datelor.
Ulterior pot fi identificate şi
riscurile presupuse de prelucrarea
acelor date, spre exemplu dezvăluirea
neautorizată/accidentală/ilicită a
datelor şi atingerile pe care producerea
unui astfel de risc le pot aduce dreptului
persoanei la viaţă privată.

www.dataprotection.ro
 În funcţie de riscurile acestea vor beneficia în continuare de
identificate, operatorul de date îşi va nivelul de protecţie asigurat de regulile
stabili şi măsuri tehnice şi şi principiile stabilite de Regulament.
organizatorice (proceduri interne) Operatorul de date utilizează
pentru a preveni producerea acestora. unul dintre instrumentele prevăzute
de Regulament:
Privacy by design & Privacy Ÿ BCR - reguli cor poratiste
by default - două principii esenţiale obligatorii
pentru operatorii de date. Ÿ clauze contractuale standard
Ÿ Decizii privind caracter ul
Privacy by design - eşti adecvat al nivelului de protecţie
dezvoltator de aplicaţii prin care se vor
emise de către Comisia
prelucra şi date personale? Trebuie să
Europeană.
te asiguri, încă din stadiul dezvoltării,
că aplicaţia ta va respecta regulile şi
Pentru a se asigura nivelul de
principiile stabilite de Regulament.
protecţie a datelor persoanelor fizice,
transferul datelor cu caracter personal
Privacy by default - furnizezi o
într-un stat terţ sau către o organizaţie
aplicaţie care prelucrează date
internaţională se poate realiza doar cu
personale? Trebuie să te asiguri că
respectarea unor condiţii de către
setările iniţiale le vor permite
operator şi persoana împuternicită de
utilizatorilor să îşi menţină controlul
operator, inclusiv în ceea ce priveşte
asupra vieţii lor private/ceea ce
transferurile ulterioare de date din
postează sau împărtăşesc cu alţi
statul terţ către un alt stat terţ sau
utilizatori. Utilizatorul poate alege să
către o altă organizaţie internaţională.
dezvăluie mai multe informaţii/date
personale, însă trebuie să o facă în
cunoştinţă de cauză, nu implicit
(datorită setărilor iniţiale).

Transferul datelor în afara

UE - atunci când datele personale sunt
transferate în afara Uniunii Europene,

www.dataprotection.ro
 Transferul datelor cu caracter
personal către un stat terţ, un teritoriu
sau un sector specificat dintr-un stat
terţ sau o organizaţie internaţională nu
necesită autorizare atunci când Comisia
Europeană a decis că statul terţ,
teritoriul, sectorul specificat sau
organizaţia internaţională oferă un
nivel de protecţie adecvat.
În absenţa unei decizii privind
caracterul adecvat al nivelului de
protecţie, operatorul sau persoana
împuternicită trebuie să adopte măsuri
care să compenseze lipsa protecţiei
datelor într-un stat terţ prin adoptarea
unor garanţii e ficiente pentr u
persoanele vizate, cum ar fi:
Ÿ un instrument obligatoriu din
punct de vedere juridic şi
executoriu între autorităţile sau
organismele publice (acorduri
administrative);
Ÿ reguli corporatiste obligatorii/
BCR (binding corporate rules);
Ÿ clauzele standard de protecţie a
www.dataprotection.ro
datelor adoptate de Comisia
Europeană;
Ÿ clauzele standard de protecţie a
datelor adoptate de autoritatea de
supraveghere;
Ÿ un cod de conduită aprobat;
Ÿ un mecanism de certificare
aprobat;
Ÿ clauze contractuale între operator
sau persoana împuternicită de
operator şi operatorul,persoana
împuternicită de operator sau
destinatarul datelor din statul
terţ sau organizaţia
internaţională;
Ÿ dispoziţii care urmează să fie
incluse în acordurile
administrative dintre autorităţile
sau organismele publice, care
includ drepturi opozabile şi
efective pentru persoanele vizate
(autorizaţia autorităţii
competente ar trebui obţinută
când garanţiile sunt oferite prin
acorduri administrative fără
caracter juridic obligatoriu).
 Un transfer către un stat terţ sau Ÿ transferul este necesar pentru
o organizaţie internaţională mai poate stabilirea , exercitarea sau
avea loc, în absenţa unei decizii privind apărarea unui drept în instanţă;
caracterul adecvat al nivelului de Ÿ transferul este necesar pentru

protecţie sau a unor garanţii adecvate, protejarea intereselor vitale ale

persoanei vizate sau ale altor
în una din următoarele condiţii:
persoane, atunci când persoana
Ÿ persoana vizată şi-a exprimat în
vizată nu are capacitatea fizică
mod explicit acordul cu privire la
sau juridică de a-şi exprima
transferul propus;
acordul;
Ÿ transferul este necesar pentru
Ÿ transferul se realizează dintr-un
executarea unui contract între
registru care, potrivit dreptului
persoana vizată şi operator sau
Uniunii sau dreptului intern, are
pentru aplicarea unor măsuri
scopul de a furniza informaţii
precontractuale adoptate la
publicului şi care poate fi
cererea persoanei vizate;
consultat fie de public în general,
Ÿ transferul este necesar pentru
fie de orice persoană care poate
încheierea unui contract sau
face dovada unui interes legitim,
pentru executarea unui contract
dar numai în condiţiile în care
încheiat în interesul persoanei
sunt îndeplinite condiţiile cu
vizate între operator şi o altă
privire la consultare prevăzute de
persoană fizică sau juridică;
dreptul Uniunii Europene sau de
Ÿ transferul este necesar din
dreptul intern în acel caz specific.
considerente importante de
interes public;

www.dataprotection.ro
 Responsabilul pentru
protecţia datelor - DPO
Numirea unui responsabil
pentru protecția datelor la nivelul
operatorului de date reprezintă una
dintre măsurile prin care se încearcă
responsabilizarea operatorilor de date.
Responsabilul pentru protecţia
datelor oferă consultanţa necesară în
vederea respectării tuturor obligaţiilor
operatorului de date şi asigurării
transparenţei necesare faţă de
persoanele vizate.
Responsabilul pentru protecţia
datelor poate oferi operatorului de date
consultanţa necesară în vederea
efectuării studiului de impact asupra
vieţii private.
Operatorul de date trebuie să îşi
desemneze un responsabil pentru
protecția datelor în următoarele
situaţii:
Ÿ atunci când operatorul de date
este o autoritate publică (cu
excepţia instanţelor sau a a
autorităţilor judiciare);
www.dataprotection.ro
Ÿ în cazul în care activitatea
principală a operatorului de date
constă în operaţiuni de prelucrare
care necesită o monitorizare
regulată şi sistematică a
persoanelor vizate pe scară largă;
Ÿ în cazul în care activitatea
principală a operatorului de date
(sau a împuternicitului acestuia)
constă în prelucrarea pe scară
largă de categorii speciale de date
cu caracter personal şi de date
privind condamnările penale şi
infracţiunile.
Este recomandată numirea unui
responsabil pentru protecția datelor la
nivelul operatorului de date şi în afara
cazurilor de mai sus, întrucât în acest fel
p oate f i asig urată res p e c tarea
prevederilor Regulamentului în cadrul
prelucrării de date efectuată de către
operatorul de date / împuternicitul
acestuia.
 Sancţiuni severe - până la 10 – încălcarea a fost adusă la cunoştinţa
20 milioane de euro sau între 2% şi 4% autorităţii de supraveghere,
din cifra de afaceri la nivel conformitatea cu măsurile adoptate
internaţional, pentru operatorii din împotriva operatorului sau a persoanei
împuternicite de operator, aderarea la
sectorul privat.
un cod de conduită şi orice alt factor
Regulamentul stabileşte criterii
agravant sau atenuant.
clare de individualizare a sancţiuni –
Fiecare stat membru poate
vor fi avute în vedere în mod
prevedea norme prin care să se
corespunzător natura, gravitatea şi
stabilească dacă și în ce măsură pot fi
durata încălcării, caracterul deliberat al
impuse amenzi autorităților publice.
încălcării, acţiunile întreprinse pentru
a reduce prejudiciul cauzat, gradul de
răspundere sau or ice încălcăr i
anterioare relevante, modul în care

www.dataprotection.ro
Bulevardul G-ral Gheorghe Magheru 28-30, sector 1
Bucureşti, cod poştal 010336
Telefon : 031.805.9211
Fax : 031.805.9602
E-mail : anspdcp@dataprotection.ro
Web : www.dataprotection.ro
 AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL

Ghid orientativ de aplicare a

Regulamentului General privind Protecţia Datelor
destinat operatorilor

www.dataprotection.ro
 Ghid referitor la aplicarea
Regulamentului General privind Protecţia Datelor
destinat operatorilor

CONTEXT

Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul (UE)

2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor - RGPD).

Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar
prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu
data de 25 mai 2018.

Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu
caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

NOUTĂŢI

Regulamentul (UE) 2016/679 pune accent pe transparenţa faţă de persoana vizată și responsabilizarea
operatorului de date faţă de modul în care prelucrează datele cu caracter personal.

Regulamentul (UE) 2016/679 stabilește o serie de garanţii specifice pentru a proteja cât mai eficient
viaţa privată a minorilor, în special în mediul on-line.

Regulamentul (UE) 2016/679 consolidează drepturile garantate persoanelor vizate și introduce noi
drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării.

Regulamentul (UE) 2016/679 introduce sancţiuni severe, pâna la 10 – 20 milioane de euro sau între 2%
și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.

www.dataprotection.ro
 DOMENIU DE APLICARE

RGPD se aplică:

Prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei
persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul
Uniunii.

Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un
operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de
prelucrare sunt legate de:
Ÿ oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită
sau nu efectuarea unei plăţi de către persoana vizată; sau
Ÿ monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc
în care dreptul intern se aplică în temeiul dreptului internaţional public.

www.dataprotection.ro
 PRINCIPALELE OBLIGAŢII PENTRU OPERATORII DE DATE
ÎN APLICAREA RGPD

DESEMNAREA UNUI RESPONSABIL CU PROTECŢIA DATELOR

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al
unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune
de informare, de consiliere și de control în plan intern: responsabilul cu protecţia datelor.

Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la
dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau
persoana împuternicită de operator:
Ÿ este o autoritate publică sau un organism public, cu excepţia instanţelor în exercitarea funcţiei lor
jurisdicţionale;
Ÿ desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și
sistematice pe scară largă a persoanelor;
Ÿ desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar
fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date
genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și
infracţiuni.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor,
ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în
vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau
persoana împuternicită de operator.

Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea

înţelegerii și respectării obligaţiilor prevăzute de RGPD, dialogului cu autorităţile pentru protecţia datelor și
reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor

Ÿ să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și
angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter
personal;
Ÿ să monitorizeze respectarea RGPD și a legislaţiei naţionale în domeniul protecţiei datelor;
Ÿ să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de
impact privind protecţia datelor și să verifice efectuarea acestora;
Ÿ să coopereze cu autoritatea pentru protecţia datelor și să reprezinte punctul de contact în
relaţia cu aceasta.

www.dataprotection.ro
 CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

Toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din
sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii prelucrărilor de date cu caracter personal
efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protecţia Datelor.

Chiar și operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia cartografierii
prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru
drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea
include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni.

În acest sens:
Pentru a evalua în mod eficient impactul RGPD asupra activităţii entităţii, este necesară identificarea
prelucrărilor de date cu caracter personal efectuate și păstrarea evidenţei activităţilor de prelucrare.

Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter personal efectuate și
pentru a răspunde noilor exigenţe, trebuie identificate, în prealabil, cu precizie:
Ÿ diferitele prelucrări de date cu caracter personal;
Ÿ categoriile de date cu caracter personal prelucrate;
Ÿ scopurile urmărite prin operaţiunile de prelucrare a datelor;
Ÿ persoanele care prelucrează aceste date;
Ÿ fluxurile de date, indicând originea și destinaţia datelor, în special pentru a identifica eventualele
transferuri de date în afara Uniunii Europene.

Evidenţa păstrată de operator va cuprinde:

(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale
reprezentantului operatorului și ale responsabilului cu protecţia datelor;

(b) scopurile prelucrării;

(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;

d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv
destinatarii din ţări terţe sau organizaţii internaţionale;

(e) dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie
internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective și, în cazul
transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General
privind Protecţia Datelor, documentaţia care dovedește existenţa unor garanţii adecvate;

(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;

(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate
menţionate la articolul 32 alineatul (1) din Regulamentul General privind Protecţia Datelor.

www.dataprotection.ro
 CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea în vedere
urmatoarele:

CINE ?
Se înscriu în evidenţa numele și coordonatele operatorului (și ale reprezentantului sau legal) și, dupa
caz, ale responsabilului cu protecţia datelor;
Se întocmește lista persoanelor împuternicite, după caz.

CE ?
Se identifică categoriile de date cu caracter personal prelucrate;
Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite (datele
privind sănătatea sau infracţiunile)

DE CE ?
Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (ex.
gestionarea relaţiei comerciale, managementul resurselor umane, geolocalizare, videosupraveghere etc.)

UNDE ?
Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor.
Se stabilesc statele către care sunt, eventual, transferate datele.

PÂNĂ CÂND?
Se precizează, pentru fiecare categorie de date, perioada de stocare.

CUM ?
Se precizează masurile de securitate implementate pentru a reduce la minimum riscurile de acces
neautorizat la date și, în consecinţa, impactul asupra vieţii private a persoanelor vizate.

www.dataprotection.ro
 PRIORITIZAREA ACŢIUNILOR DE ÎNTREPRINS

Operatorul și persoana împuternicită de operator identifică acţiunile care trebuie întreprinse pentru
conformarea la cerinţele impuse de RGPD.

Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru
drepturile și libertăţile persoanelor vizate.

După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc,
pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de
Regulamentul General privind Protecţia Datelor.

Indiferent de prelucrările efectuate, se vor avea în vedere, în principal, următoarele aspecte:

Ÿ colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;

Ÿ identificarea temeiului legal în baza căruia se efectuează prelucrarea raportat la art. 6 din
Regulamentul General privind Protecţia Datelor (ex. consimţământul persoanelor vizate,
contract, obligaţie legală);

Ÿ revizuirea/completarea informaţiilor furnizate persoanelor vizate, astfel încât să respecte

cerinţele impuse de Regulamentul General privind Protecţia Datelor (articolele 12, 13 și 14);

Ÿ asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;

Ÿ verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor

împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal
prelucrate;

Ÿ stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces,

dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);

Ÿ verificarea măsurilor de securitate implementate.

www.dataprotection.ro
 Se pot aplica măsuri speciale, precum: evaluarea impactului asupra protecţiei datelor, extinderea
dreptului la informare al persoanelor vizate, obţinerea consimţământului persoanelor vizate (după caz),
obţinerea autorizării pentru transferurile de date în state terţe (dacă este cazul), în cazul în care prelucrările de
date cu caracter personal efectuate în cadrul operatorului sau persoanei împuternicite de operator îndeplinesc
următoarele caracteristici:

- Prelucrarea efectuată vizează și categorii de date precum:

Ÿ date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau religioase,
apartenenţa sindicală;
Ÿ date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
Ÿ date referitoare la infracţiuni sau condamnări penale;
Ÿ date referitoare la minori.

- Prelucrarea efectuată are ca scop și ca efect:

Ÿ monitorizarea permanentă pe scară largă a unei zone accesibile publicului;
Ÿ evaluarea sistematică și aprofundată a unor aspecte personale, inclusiv profilarea, pe baza căreia
sunt luate decizii care produc efecte juridice referitoare la o persoană fizică sau care o afectează pe
aceasta în mod semnificativ.

- Prelucrarea efectuată implică transferuri de date în afara Uniunii Europene, către state care nu asigură
un nivel de protecţie adecvat recunoscut de Comisia Europeană.

Se realizează o analiză aprofundată a legislaţiei privind protecţia datelor și a cerinţelor impuse de

Regulamentul General privind Protecţia Datelor pentru a stabili măsurile care trebuie aplicate la nivelul
fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

www.dataprotection.ro
 GESTIONAREA RISCURILOR

În cazul în care au fost identificate prelucrări de date cu caracter personal susceptibile de a prezenta
riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul va efectua o evaluare a
impactului asupra protecţiei datelor, în condiţiile art. 35 din Regulamentul General privind Protecţia
Datelor.

Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter
personal și efectuării prelucrării.

Se va pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere al
persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și
scopurile prelucrării și utilizarea noilor tehnologii.

Evaluarea impactului asupra protecţiei datelor presupune:

Ÿ o descriere a prelucrării de date efectuate și a scopurilor acesteia;

Ÿ o evaluare a necesităţii și a proporţionalităţii prelucrării de date efectuate;
Ÿ o estimare a riscurilor asupra drepturilor și libertăţilor persoanelor vizate;
Ÿ măsurile prevăzute pentru a trata riscurile și a asigura conformitatea cu dispoziţiile RGPD.

Evaluarea impactului asupra protecţiei datelor permite:

Ÿ realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă viaţa
privată;
Ÿ estimarea impactului asupra vieţii private a persoanelor vizate;
Ÿ demonstarea faptului că principiile fundamentale ale Regulamentul General privind Protecţia
Datelor sunt respectate.

Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:

(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care
se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care
produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură
semnificativă;
(b) prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9 alineatul (1),
sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul
10; sau
(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de operator pentru
atenuarea acestora, se consultă Autoritatea naţională de supraveghere.

www.dataprotection.ro
 ORGANIZAREA PROCEDURILOR INTERNE

Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal, operatorul
trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând
în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum:
Ÿ breșe de securitate;
Ÿ solicitări privind exercitarea drepturilor persoanelor vizate;
Ÿ modificarea datelor cu caracter personal colectate;
Ÿ schimbarea prestatorului.

Organizarea procedurilor interne implică, în special:

Ÿ luarea în considerare a protecţiei datelor cu caracter personal încă de la momentul

conceperii (privacy by design) unei aplicaţii sau a unei prelucrări: minimizarea colectării
datelor în funcţie de scop, cookie-uri, perioada de stocare, informaţiile furnizate persoanelor
vizate, obţinerea consimţământului persoanelor vizate, securitatea și confidenţialitatea datelor
cu caracter personal, garantarea rolului și responsabilităţii părţilor implicate în efectuarea
prelucrării datelor;

Ÿ aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod

implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru
fiecare scop specific al prelucrării (privacy by default), având în vedere: volumul de date
colectate, gradul de prelucrare a acestora, perioada de stocare și accesibilitatea lor, astfel încât
datele cu caracter personal să nu fie accesate, fără intervenţia persoanei, de un număr nelimitat de
persoane;

Ÿ sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui plan de

pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal;

www.dataprotection.ro
 Ÿ soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea
drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora; exercitarea
drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în cazul în care datele au fost
colectate prin astfel de mijloace;

Ÿ anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite cazuri,
obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de ore și a persoanelor
vizate în cel mai scurt timp;

Ÿ asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și

organizatorice adecvate, incluzând printre altele, după caz:

a) pseudonimizarea și criptarea datelor cu caracter personal;

b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și rezistenţa

continue ale sistemelor și serviciilor de prelucrare;

c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea

în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii măsurilor

tehnice și organizatorice pentru a garanta securitatea prelucrării.

www.dataprotection.ro
 AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL

BD. G-ral Gheorghe Magheru 28 - 30,

sector 1,
București, cod poștal 010336
Telefon: +40.318.059.211
E-mail: anspdcp@dataprotection.ro

www.dataprotection.ro
 AUTORITATEA NAŢIONALĂ AUTORITATEA NAŢIONALĂ
DE SUPRAVEGHERE A PRELUCRĂRII DE SUPRAVEGHERE A PRELUCRĂRII
DATELOR CU CARACTER PERSONAL DATELOR CU CARACTER PERSONAL
AUTORITATEA NAŢIONALĂ
DE SUPRAVEGHERE A PRELUCRĂRII
DATELOR CU CARACTER PERSONAL
- este autoritate publică centrală,
autonomă şi independentă. Regulament (UE) 2016/679
privind protecția persoanelor
fizice în ceea ce privește
prelucrarea datelor cu caracter
personal și libera circulație a
acestor date și de abrogare a
Directivei 95/46/CE

Scop:
Blvd. G-ral Gheorghe Magheru nr. 28-30,
- apărarea dreptului la viaţă intimă, sector 1, Bucureşti, cod postal 010336
familială şi privată în privinţa Telefon: 031.805.9211
p re l uc r ă r i i d a te l o r c u c a ra c te r Fax.: 031.805.9602
personal. www.dataprotection.ro
E-mail:anspdcp@dataprotection.ro Bucureşti

Regulament general privind
protecția datelor
Context:
Regulamentul (UE) 2016/679 a fost adoptat
de Parlamentul European şi Consiliu în data de 27
aprilie 2016, a fost publicat în Jurnalul Oficial
Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi
aplicabile începând cu data de 25 mai 2018.
Regulamentul general privind protecţia datelor
impune un set unic de reguli, direct aplicabile în toate
statele membre ale Uniunii şi înlocuieşte Directiva
95/46/CE şi, implicit, prevederile Legii nr. 677/2001.
Domeniu de aplicare:
!este direct aplicabil în toate statele membre UE
!protejează drepturile tuturor persoanelor aflate pe
teritoriul UE, indiferent de poziţionarea geografică a
operatorului de date
!extinde sfera de aplicare şi asupra operatorilor de date
stabiliţi în afara UE, în măsura în care bunurile şi/sau
serviciile acestora sunt adresate (şi) persoanelor aflate pe
teritoriul UE; acești operatori de date vor trebui să respecte
regulile şi principiile stabilite de Regulament
Pentru persoanele vizate:
Sunt garantate drepturi noi:
!dreptul de a fi uitat - se poate cere ştergerea datelor dacă
acestea sunt prelucrate ilegal, fără consimţământ sau dacă
datele nu mai sunt necesare scopului în care au fost prelucrate
iniţial
!dreptul la portabilitatea datelor - există mai multă
libertate de alegere. Se poate opta pentru transmiterea de
date la un alt operator
Prevederi specifice referitoare la minori - sunt
necesare reguli clare şi simple pe care tânărul / copilul să le
înţeleagă şi trebuie obţinut consimţământul părintelui /
tutorelui, după caz
Proximitatea faţă de persoana vizată -
autoritatea de supraveghere din statul membru în care se află
persoana vizată acţionează ca punct de contact atunci când
operatorul reclamat este stabilit într-un alt stat
Cooperare consolidată între autorităţile de
supraveghere - în cazul prelucrărilor de date transnaţionale
(cele care privesc persoane din mai multe state membre UE),
Regulamentul oferă autorităţii de supraveghere din statul tău
competenţe pentru a se asigura, alături de autorităţile din
celelalte state implicate, că datele tale sunt prelucrate
conform regulilor şi principiilor stabilite de acesta
Pentru operatorii de date:
One stop shop - pentru operatorii de date care îşi
desfăşoară activităţile în mai multe state membre UE,
autoritatea de supraveghere competentă este cea din statul
membru în care operatorul respectiv îşi are stabilit sediul
principal
Responsabilizarea operatorilor de date -
accentul este pus pe transparenţa faţă de persoana vizată şi
responsabilitatea operatorului de date faţă de modul în care
sunt prelucrate datele
Studiu de impact - în cazul prelucrărilor de date
care presupun un risc ridicat pentru viaţa privată a
persoanelor, operatorul trebuie să efectueze un Studiu de
Impact asupra vieţii private. Rezultatul unui astfel de
studiu îi va permite să identifice riscuri specifice şi să
adopte măsuri care să împiedice apariţia / producerea
acestor situaţii
Transferul datelor în afara UE - pentru
transferul datelor în afara Uniunii, Regulamentul
introduce instrumente noi, pe lângă cele consacrate deja:
BCR, clauze contractuale standard şi Decizii ale Comisiei
Europene privind un nivel adecvat de protecţie
Privacy by design & Privacy by default -
două noi principii esenţiale pentru operatorii de date
Privacy by design - eşti dezvoltator de aplicaţii
(care vor prelucra şi date personale)? Trebuie să te asiguri,
încă din stadiul dezvoltării, că aplicaţia ta va respecta
regulile şi principiile stabilite de Regulament
Privacy by default - furnizezi o aplicaţie care
prelucrează date personale? Trebuie să te asiguri că setările
iniţiale le vor permite utilizatorilor să îşi menţină controlul
asupra vieţii lor private / asupra a ceea ce postează sau
împărtăşesc cu alţi utilizatori
DPO - data protection officer / responsabilul
pentru protecţia datelor
Numirea unui DPO la nivelul operatorului de date
reprezintă una dintre măsurile prin care se încearcă
responsabilizarea operatorilor de date. Acesta oferă
operatorului consultanţa necesară în vederea respectării
tuturor obligaţiilor acestuia şi asigurării transparenţei
necesare faţă de persoanele vizate.
Sancţiuni severe - până la 10 – 20 milioane de
euro sau între 2% şi 4% din cifra de afaceri la nivel
internaţional.