Documente Academic
Documente Profesional
Documente Cultură
Protecţia Datelor
2017
Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera
circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor)
www.dataprotection.ro
Minorii beneficiază de mai multă Astfel, în măsura în care bunurile
atenţie întrucât regulamentul stabileşte sau serviciile oferite de o companie
o serie de garanţii specifice pentru a aflată în afara UE, care presupun
proteja cât mai eficient viaţa privată a prelucrarea datelor personale, sunt
acestora, în special, în mediul on-line. adresate în mod vădit şi cetăţenilor
Regulile stabilite de Regulament Uniunii Europene, regulile stabilite de
vor fi aplicabile tuturor operatorilor de Regulament îi vor fi aplicabile şi acestei
date, indiferent de locul unde sunt companii.
stabiliţi aceştia, în anumite condiţii.
Domeniul de aplicare:
Ÿ este direct aplicabil în toate statele membre
Domeniul
de UE
Aplicare Ÿ protejează drepturile tuturor persoanelor
fizice aflate pe teritoriul UE, indiferent de situarea
geografică a operatorului de date
Ÿ extinde sfera de aplicare şi asupra
operatorilor de date stabiliţi în afara UE, în măsura
în care bunurile şi/sau serviciile acestora sunt
adresate (şi) persoanelor aflate pe teritoriul UE
www.dataprotection.ro
Regulamentul priveşte atât O astfel de monitorizare
companiile aflate pe teritoriul Uniunii presupune, spre exemplu, urmărirea
Europene, cât şi cele din afara acestui comportamentului în mediul on-line,
spaţiu care prelucrează, însă, date inclusiv folosirea unor tehnici
personale pentru a oferi bunuri şi ulterioare de prelucrare a datelor cum
ar fi crearea de profiluri. Astfel de
servicii persoanelor aflate pe teritoriul
tehnici sunt folosite pentru a stabili
Uniunii Europene, indiferent dacă preferinţele persoanelor,
bunurile şi serviciile respective sunt comportamentele şi atitudinile
condiţionate sau nu de efectuarea unei acestora.
plăţi.
Impor tantă este intenţi a Excepţii:
companiei de a oferi în mod efectiv Ÿ prevederile Regulamentului nu
bunuri şi/sau servicii persoanelor vor fi aplicabile prelucrărilor efectuate
aflate pe teritoriul UE. în scopul prevenirii, cercetării şi
Pentru a identifica intenţia de a urmăririi penale a infractorului sau
oferi bunuri sau servicii pe teritoriul executarea sancţiunii penale. În cazul
Uniunii Europene sunt analizaţi mai acestora vor fi aplicabile prevederile
mulţi factori, cum ar fi: utilizarea unei reglementări naţionale în
limbii oficiale a unuia dintre statele aplicabilitatea Directivei (UE)
membre, posibilitatea de a plăti în euro 2016/680, (care face parte din acelaşi
sau altă monedă oficială a statelor „pachet legislativ” cu Regulamentul
membre ori de a livra produsele UE 2016/679).
comandate pe teritoriul UE sau orice Ÿ Regulamentul nu va fi aplicabil
alte asemenea indicii. activităţilor aflate în afara dreptului
De asemenea, Regulamentul va Uniunii – aici se încadrează şi
fi aplicabil şi companiilor aflate în prelucrările de date referitoare la
afara Uniunii Europene în măsura în securitatea naţională a statelor
care prelucrarea de date efectuată membre şi relaţiile externe.
presupune monitorizarea Ÿ Regulamentul nu va fi aplicabil
comportamentului persoanelor aflate prelucrărilor de date efectuate de o
pe teritoriul UE. persoană fizică în cadrul unei activităţi
exclusiv personale.
www.dataprotection.ro
Ÿ Activităţile cuprinse în ultima în această excepţie, spre exemplu,
excepţie sunt unele strict personale şi corespondenţa personală prin e-mail,
exclud orice legătură cu profesia sau cu socializarea în mediul on-line şi orice
orice activitate comercială. Sunt incluse altă asemenea activitate.
www.dataprotection.ro
Ÿ dreptul la portabilitatea datelor libertăţilor altor persoane – spre
- oferă posibilitatea persoanei fizice de exemplu cazul unui set de date care
a cere să se transmită datele la un alt priveşte mai multe persoane sau
operator sau de a primi datele dreptul altei persoane de a obţine
personale care o privesc şi pe care le-a ştergerea datelor care o privesc.
furnizat operatorului. Atunci când se exercită dreptul
Operatorul de date trebuie să la portabilitatea datelor, operatorul de
ofere datele într-un format structurat, date poate transmite datele personale
utilizat în mod curent, prelucrabil direct altui operator de date ales de
automat şi interoperabil, tocmai persoana vizată.
pentru ca şi un alt operator de date să le
poată prelucra ulterior.
Dreptul la portabilitatea datelor
este aplicabil în măsura în care
persoana vizată a oferit operatorului
datele personale, iar acesta le
prelucrează în baza consimţământului
sau în executarea unui contract.
Nu se va putea exercita dreptul
la portabilitatea datelor în cazul
operatorilor de date care prelucrează Aspecte diverse:
datele persoanelor fizice în cadrul R e g u l a m e n t u l s t a b i l e ş te
exercitării funcţiilor lor publice, în obligaţia operatorului de a
cazul în care prelucrarea este necesară demonstra obţinerea
în vederea respectării unei obligaţii consimţământului persoanei pentru
legale căreia îi este supus operatorul prelucrările de date personale.
ori în cazul îndeplinirii unei sarcini Persoana vizată are dreptul să îşi
care serveşte unui interes public sau retragă în orice moment
care rezultă din exercitarea unei consimţământul, în situaţia în care
autorităţi publice cu care este învestit acesta constituie temei de prelucrare
operatorul de date. a datelor.
În exercitarea dreptului la
portabilitatea datelor, nu trebuie
a d u s e a t i n g e r i d re p t u r i l o r ş i
www.dataprotection.ro
Absenţa unei manifestări clare Proximitatea faţă de persoana
de acord nu poate fi privită ca o formă vizată - autoritatea de supraveghere
de exprimare a consimţământului. din statul membru în care se află
Spre exemplu, în cazul căsuţelor bifate persoana vizată acţionează ca
(prin care este prestabilit acordul) nu interlocutor/punct de contact atunci
poate fi prezumat un consimţământ când operatorul de date este stabilit
exprimat în cunoştinţă de cauză. într-un alt stat.
În cazul în care datele sunt În cazul prelucrărilor de date
prelucrate în mai multe scopuri, este care vizează persoane din mai multe
important ca operatorul de date să state membre, fiecare persoană are
poată demonstra că a obţinut acordul posibilitatea de a se adresa (după caz,
persoanei pentru a-i prelucra datele în de a depune plângere) autorităţii de
toate acele scopuri. supraveghere din statul (membru UE)
Regulamentul stabileşte în care îşi are domiciliul/reşedinţa. În
obligaţia operatorului de date de a acest fel, este asigurată implicarea
asigura un anumit nivel de autorităţii de supraveghere din statul
transparenţă faţă de persoanele vizate. membru în care se află persoana în
Acestea trebuie să ştie cine este procedura de adoptare a unei decizii în
operatorul de date, scopul în care le vor cazul unui operator de date stabilit
fi prelucrate datele, ce date sunt într-un alt stat membru.
utilizate, ce drepturi le sunt garantate, Cooperare consolidată între
cum îşi pot exercita aceste drepturi şi autorităţile de supraveghere - în cazul
cine sunt/vor fi terţii cărora operatorul prelucrărilor de date transnaţionale
le va dezvălui datele, dacă este cazul. (cele care privesc persoane din mai
În cazul în care sunt prelucrate multe state membre UE), autorităţii de
d ate p e rs on a le a le m i nor i lor, supraveghere din statul respectiv îi
operatorul de date trebuie să ofere sunt oferite competenţe pentru a se
informaţiile respective utilizând un asigura, alături de autorităţile din
limbaj cât mai simplu şi clar, astfel celelalte state implicate, că datele sunt
încât copilul/minorul să poată înţelege prelucrate conform regulilor şi
cu uşurinţă scopul şi modul în care îi principiilor stabilite de Regulament.
vor fi prelucrate datele personale.
www.dataprotection.ro
Pentru operatorii de date:
www.dataprotection.ro
În funcţie de riscurile acestea vor beneficia în continuare de
identificate, operatorul de date îşi va nivelul de protecţie asigurat de regulile
stabili şi măsuri tehnice şi şi principiile stabilite de Regulament.
organizatorice (proceduri interne) Operatorul de date utilizează
pentru a preveni producerea acestora. unul dintre instrumentele prevăzute
de Regulament:
Privacy by design & Privacy Ÿ BCR - reguli cor poratiste
by default - două principii esenţiale obligatorii
pentru operatorii de date. Ÿ clauze contractuale standard
Ÿ Decizii privind caracter ul
Privacy by design - eşti adecvat al nivelului de protecţie
dezvoltator de aplicaţii prin care se vor
emise de către Comisia
prelucra şi date personale? Trebuie să
Europeană.
te asiguri, încă din stadiul dezvoltării,
că aplicaţia ta va respecta regulile şi
Pentru a se asigura nivelul de
principiile stabilite de Regulament.
protecţie a datelor persoanelor fizice,
transferul datelor cu caracter personal
Privacy by default - furnizezi o
într-un stat terţ sau către o organizaţie
aplicaţie care prelucrează date
internaţională se poate realiza doar cu
personale? Trebuie să te asiguri că
respectarea unor condiţii de către
setările iniţiale le vor permite
operator şi persoana împuternicită de
utilizatorilor să îşi menţină controlul
operator, inclusiv în ceea ce priveşte
asupra vieţii lor private/ceea ce
transferurile ulterioare de date din
postează sau împărtăşesc cu alţi
statul terţ către un alt stat terţ sau
utilizatori. Utilizatorul poate alege să
către o altă organizaţie internaţională.
dezvăluie mai multe informaţii/date
personale, însă trebuie să o facă în
cunoştinţă de cauză, nu implicit
(datorită setărilor iniţiale).
www.dataprotection.ro
Transferul datelor cu caracter datelor adoptate de Comisia
personal către un stat terţ, un teritoriu Europeană;
sau un sector specificat dintr-un stat Ÿ clauzele standard de protecţie a
terţ sau o organizaţie internaţională nu datelor adoptate de autoritatea de
necesită autorizare atunci când Comisia supraveghere;
Ÿ un cod de conduită aprobat;
Europeană a decis că statul terţ,
Ÿ un mecanism de certificare
teritoriul, sectorul specificat sau aprobat;
organizaţia internaţională oferă un Ÿ clauze contractuale între operator
nivel de protecţie adecvat. sau persoana împuternicită de
În absenţa unei decizii privind operator şi operatorul,persoana
caracterul adecvat al nivelului de împuternicită de operator sau
protecţie, operatorul sau persoana destinatarul datelor din statul
împuternicită trebuie să adopte măsuri terţ sau organizaţia
care să compenseze lipsa protecţiei internaţională;
datelor într-un stat terţ prin adoptarea Ÿ dispoziţii care urmează să fie
unor garanţii e ficiente pentr u incluse în acordurile
persoanele vizate, cum ar fi: administrative dintre autorităţile
Ÿ un instrument obligatoriu din sau organismele publice, care
punct de vedere juridic şi includ drepturi opozabile şi
executoriu între autorităţile sau efective pentru persoanele vizate
organismele publice (acorduri (autorizaţia autorităţii
administrative); competente ar trebui obţinută
Ÿ reguli corporatiste obligatorii/ când garanţiile sunt oferite prin
BCR (binding corporate rules); acorduri administrative fără
Ÿ clauzele standard de protecţie a caracter juridic obligatoriu).
www.dataprotection.ro
Un transfer către un stat terţ sau Ÿ transferul este necesar pentru
o organizaţie internaţională mai poate stabilirea , exercitarea sau
avea loc, în absenţa unei decizii privind apărarea unui drept în instanţă;
caracterul adecvat al nivelului de Ÿ transferul este necesar pentru
www.dataprotection.ro
Responsabilul pentru Ÿ în cazul în care activitatea
protecţia datelor - DPO principală a operatorului de date
Numirea unui responsabil constă în operaţiuni de prelucrare
pentru protecția datelor la nivelul care necesită o monitorizare
operatorului de date reprezintă una
regulată şi sistematică a
dintre măsurile prin care se încearcă
responsabilizarea operatorilor de date. persoanelor vizate pe scară largă;
Ÿ în cazul în care activitatea
Responsabilul pentru protecţia
datelor oferă consultanţa necesară în principală a operatorului de date
vederea respectării tuturor obligaţiilor (sau a împuternicitului acestuia)
operatorului de date şi asigurării constă în prelucrarea pe scară
transparenţei necesare faţă de largă de categorii speciale de date
persoanele vizate. cu caracter personal şi de date
Responsabilul pentru protecţia privind condamnările penale şi
datelor poate oferi operatorului de date infracţiunile.
consultanţa necesară în vederea
efectuării studiului de impact asupra Este recomandată numirea unui
vieţii private. responsabil pentru protecția datelor la
Operatorul de date trebuie să îşi nivelul operatorului de date şi în afara
desemneze un responsabil pentru cazurilor de mai sus, întrucât în acest fel
protecția datelor în următoarele p oate f i asig urată res p e c tarea
situaţii: prevederilor Regulamentului în cadrul
Ÿ atunci când operatorul de date
prelucrării de date efectuată de către
este o autoritate publică (cu operatorul de date / împuternicitul
excepţia instanţelor sau a a acestuia.
autorităţilor judiciare);
www.dataprotection.ro
Sancţiuni severe - până la 10 – încălcarea a fost adusă la cunoştinţa
20 milioane de euro sau între 2% şi 4% autorităţii de supraveghere,
din cifra de afaceri la nivel conformitatea cu măsurile adoptate
internaţional, pentru operatorii din împotriva operatorului sau a persoanei
împuternicite de operator, aderarea la
sectorul privat.
un cod de conduită şi orice alt factor
Regulamentul stabileşte criterii
agravant sau atenuant.
clare de individualizare a sancţiuni –
Fiecare stat membru poate
vor fi avute în vedere în mod
prevedea norme prin care să se
corespunzător natura, gravitatea şi
stabilească dacă și în ce măsură pot fi
durata încălcării, caracterul deliberat al
impuse amenzi autorităților publice.
încălcării, acţiunile întreprinse pentru
a reduce prejudiciul cauzat, gradul de
răspundere sau or ice încălcăr i
anterioare relevante, modul în care
www.dataprotection.ro
Bulevardul G-ral Gheorghe Magheru 28-30, sector 1
Bucureşti, cod poştal 010336
Telefon : 031.805.9211
Fax : 031.805.9602
E-mail : anspdcp@dataprotection.ro
Web : www.dataprotection.ro
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
www.dataprotection.ro
Ghid referitor la aplicarea
Regulamentului General privind Protecţia Datelor
destinat operatorilor
CONTEXT
Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar
prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu
data de 25 mai 2018.
Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu
caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.
NOUTĂŢI
Regulamentul (UE) 2016/679 pune accent pe transparenţa faţă de persoana vizată și responsabilizarea
operatorului de date faţă de modul în care prelucrează datele cu caracter personal.
Regulamentul (UE) 2016/679 stabilește o serie de garanţii specifice pentru a proteja cât mai eficient
viaţa privată a minorilor, în special în mediul on-line.
Regulamentul (UE) 2016/679 consolidează drepturile garantate persoanelor vizate și introduce noi
drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării.
Regulamentul (UE) 2016/679 introduce sancţiuni severe, pâna la 10 – 20 milioane de euro sau între 2%
și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.
www.dataprotection.ro
DOMENIU DE APLICARE
RGPD se aplică:
Prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei
persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul
Uniunii.
Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un
operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de
prelucrare sunt legate de:
Ÿ oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită
sau nu efectuarea unei plăţi de către persoana vizată; sau
Ÿ monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc
în care dreptul intern se aplică în temeiul dreptului internaţional public.
www.dataprotection.ro
PRINCIPALELE OBLIGAŢII PENTRU OPERATORII DE DATE
ÎN APLICAREA RGPD
Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al
unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune
de informare, de consiliere și de control în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la
dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau
persoana împuternicită de operator:
Ÿ este o autoritate publică sau un organism public, cu excepţia instanţelor în exercitarea funcţiei lor
jurisdicţionale;
Ÿ desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și
sistematice pe scară largă a persoanelor;
Ÿ desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar
fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date
genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și
infracţiuni.
Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor,
ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în
vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau
persoana împuternicită de operator.
www.dataprotection.ro
CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL
Toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din
sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii prelucrărilor de date cu caracter personal
efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protecţia Datelor.
Chiar și operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia cartografierii
prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru
drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea
include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni.
În acest sens:
Pentru a evalua în mod eficient impactul RGPD asupra activităţii entităţii, este necesară identificarea
prelucrărilor de date cu caracter personal efectuate și păstrarea evidenţei activităţilor de prelucrare.
Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter personal efectuate și
pentru a răspunde noilor exigenţe, trebuie identificate, în prealabil, cu precizie:
Ÿ diferitele prelucrări de date cu caracter personal;
Ÿ categoriile de date cu caracter personal prelucrate;
Ÿ scopurile urmărite prin operaţiunile de prelucrare a datelor;
Ÿ persoanele care prelucrează aceste date;
Ÿ fluxurile de date, indicând originea și destinaţia datelor, în special pentru a identifica eventualele
transferuri de date în afara Uniunii Europene.
(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale
reprezentantului operatorului și ale responsabilului cu protecţia datelor;
d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv
destinatarii din ţări terţe sau organizaţii internaţionale;
(e) dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie
internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective și, în cazul
transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General
privind Protecţia Datelor, documentaţia care dovedește existenţa unor garanţii adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate
menţionate la articolul 32 alineatul (1) din Regulamentul General privind Protecţia Datelor.
www.dataprotection.ro
CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL
Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea în vedere
urmatoarele:
CINE ?
Se înscriu în evidenţa numele și coordonatele operatorului (și ale reprezentantului sau legal) și, dupa
caz, ale responsabilului cu protecţia datelor;
Se întocmește lista persoanelor împuternicite, după caz.
CE ?
Se identifică categoriile de date cu caracter personal prelucrate;
Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite (datele
privind sănătatea sau infracţiunile)
DE CE ?
Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (ex.
gestionarea relaţiei comerciale, managementul resurselor umane, geolocalizare, videosupraveghere etc.)
UNDE ?
Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor.
Se stabilesc statele către care sunt, eventual, transferate datele.
PÂNĂ CÂND?
Se precizează, pentru fiecare categorie de date, perioada de stocare.
CUM ?
Se precizează masurile de securitate implementate pentru a reduce la minimum riscurile de acces
neautorizat la date și, în consecinţa, impactul asupra vieţii private a persoanelor vizate.
www.dataprotection.ro
PRIORITIZAREA ACŢIUNILOR DE ÎNTREPRINS
Operatorul și persoana împuternicită de operator identifică acţiunile care trebuie întreprinse pentru
conformarea la cerinţele impuse de RGPD.
Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru
drepturile și libertăţile persoanelor vizate.
După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc,
pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de
Regulamentul General privind Protecţia Datelor.
Ÿ identificarea temeiului legal în baza căruia se efectuează prelucrarea raportat la art. 6 din
Regulamentul General privind Protecţia Datelor (ex. consimţământul persoanelor vizate,
contract, obligaţie legală);
www.dataprotection.ro
Se pot aplica măsuri speciale, precum: evaluarea impactului asupra protecţiei datelor, extinderea
dreptului la informare al persoanelor vizate, obţinerea consimţământului persoanelor vizate (după caz),
obţinerea autorizării pentru transferurile de date în state terţe (dacă este cazul), în cazul în care prelucrările de
date cu caracter personal efectuate în cadrul operatorului sau persoanei împuternicite de operator îndeplinesc
următoarele caracteristici:
- Prelucrarea efectuată implică transferuri de date în afara Uniunii Europene, către state care nu asigură
un nivel de protecţie adecvat recunoscut de Comisia Europeană.
www.dataprotection.ro
GESTIONAREA RISCURILOR
În cazul în care au fost identificate prelucrări de date cu caracter personal susceptibile de a prezenta
riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul va efectua o evaluare a
impactului asupra protecţiei datelor, în condiţiile art. 35 din Regulamentul General privind Protecţia
Datelor.
Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter
personal și efectuării prelucrării.
Se va pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere al
persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și
scopurile prelucrării și utilizarea noilor tehnologii.
Ÿ realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă viaţa
privată;
Ÿ estimarea impactului asupra vieţii private a persoanelor vizate;
Ÿ demonstarea faptului că principiile fundamentale ale Regulamentul General privind Protecţia
Datelor sunt respectate.
(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care
se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care
produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură
semnificativă;
(b) prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9 alineatul (1),
sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul
10; sau
(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de operator pentru
atenuarea acestora, se consultă Autoritatea naţională de supraveghere.
www.dataprotection.ro
ORGANIZAREA PROCEDURILOR INTERNE
Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal, operatorul
trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând
în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum:
Ÿ breșe de securitate;
Ÿ solicitări privind exercitarea drepturilor persoanelor vizate;
Ÿ modificarea datelor cu caracter personal colectate;
Ÿ schimbarea prestatorului.
www.dataprotection.ro
Ÿ soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea
drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora; exercitarea
drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în cazul în care datele au fost
colectate prin astfel de mijloace;
Ÿ anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite cazuri,
obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de ore și a persoanelor
vizate în cel mai scurt timp;
www.dataprotection.ro
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
www.dataprotection.ro
AUTORITATEA NAŢIONALĂ AUTORITATEA NAŢIONALĂ
DE SUPRAVEGHERE A PRELUCRĂRII DE SUPRAVEGHERE A PRELUCRĂRII
DATELOR CU CARACTER PERSONAL DATELOR CU CARACTER PERSONAL
AUTORITATEA NAŢIONALĂ
DE SUPRAVEGHERE A PRELUCRĂRII
DATELOR CU CARACTER PERSONAL
- este autoritate publică centrală,
autonomă şi independentă. Regulament (UE) 2016/679
privind protecția persoanelor
fizice în ceea ce privește
prelucrarea datelor cu caracter
personal și libera circulație a
acestor date și de abrogare a
Directivei 95/46/CE
Scop:
Blvd. G-ral Gheorghe Magheru nr. 28-30,
- apărarea dreptului la viaţă intimă, sector 1, Bucureşti, cod postal 010336
familială şi privată în privinţa Telefon: 031.805.9211
p re l uc r ă r i i d a te l o r c u c a ra c te r Fax.: 031.805.9602
personal. www.dataprotection.ro
E-mail:anspdcp@dataprotection.ro Bucureşti
Pentru persoanele vizate:
Regulamentul general privind protecţia datelor înţeleagă şi trebuie obţinut consimţământul părintelui /
tutorelui, după caz Privacy by design & Privacy by default -
impune un set unic de reguli, direct aplicabile în toate două noi principii esenţiale pentru operatorii de date
statele membre ale Uniunii şi înlocuieşte Directiva
95/46/CE şi, implicit, prevederile Legii nr. 677/2001. Proximitatea faţă de persoana vizată -
autoritatea de supraveghere din statul membru în care se află Privacy by design - eşti dezvoltator de aplicaţii
persoana vizată acţionează ca punct de contact atunci când (care vor prelucra şi date personale)? Trebuie să te asiguri,
operatorul reclamat este stabilit într-un alt stat încă din stadiul dezvoltării, că aplicaţia ta va respecta
regulile şi principiile stabilite de Regulament
Cooperare consolidată între autorităţile de
supraveghere - în cazul prelucrărilor de date transnaţionale Privacy by default - furnizezi o aplicaţie care
(cele care privesc persoane din mai multe state membre UE), prelucrează date personale? Trebuie să te asiguri că setările
Regulamentul oferă autorităţii de supraveghere din statul tău iniţiale le vor permite utilizatorilor să îşi menţină controlul
competenţe pentru a se asigura, alături de autorităţile din asupra vieţii lor private / asupra a ceea ce postează sau
celelalte state implicate, că datele tale sunt prelucrate împărtăşesc cu alţi utilizatori
conform regulilor şi principiilor stabilite de acesta
DPO - data protection officer / responsabilul
Pentru operatorii de date: pentru protecţia datelor
Domeniu de aplicare:
!este direct aplicabil în toate statele membre UE One stop shop - pentru operatorii de date care îşi Numirea unui DPO la nivelul operatorului de date
desfăşoară activităţile în mai multe state membre UE, reprezintă una dintre măsurile prin care se încearcă
!protejează drepturile tuturor persoanelor aflate pe autoritatea de supraveghere competentă este cea din statul responsabilizarea operatorilor de date. Acesta oferă
teritoriul UE, indiferent de poziţionarea geografică a membru în care operatorul respectiv îşi are stabilit sediul operatorului consultanţa necesară în vederea respectării
operatorului de date principal tuturor obligaţiilor acestuia şi asigurării transparenţei
necesare faţă de persoanele vizate.
!extinde sfera de aplicare şi asupra operatorilor de date Responsabilizarea operatorilor de date -
stabiliţi în afara UE, în măsura în care bunurile şi/sau accentul este pus pe transparenţa faţă de persoana vizată şi Sancţiuni severe - până la 10 – 20 milioane de
serviciile acestora sunt adresate (şi) persoanelor aflate pe responsabilitatea operatorului de date faţă de modul în care euro sau între 2% şi 4% din cifra de afaceri la nivel
teritoriul UE; acești operatori de date vor trebui să respecte sunt prelucrate datele internaţional.
regulile şi principiile stabilite de Regulament