definiție

GDPR (General Data Protection Regulation) este un regulament UE care are ca scop
întărirea protecțieidatelor cu caracter personal al persoanelor membre UE și, de asemenea,
reglementarea exportului acestor date în afara UE. Regulamentul general privind protecția datelor cu
caracter personal a fost adoptat de Consiliul Uniunii Europene la data de 14 aprilie 2016 și a intrat
învigoare la doi ani de la publicarea sa în monitorul official al Uniunii Europene, pe 25 mai 2018. Datorită
statutului său de regulament, și nu de directivă, toate statele membre trebuie să îl aplice conform
acelorași norme de implementare. GDPR este una dintre cele mai recente initiative legislative a EU
și înlocuiește directiva privind protecția datelor din 1995.

Întrucât directiva inițialădin 1995 putea fi interpretată și aplicată diferit in statele membre,
aceasta a avut diferite rezultate negative: nivele de securitate diferite pe teritoriul UE, conflicte
între țările membre și o dificultate ridicata pentru Curtea Europeană de Justiție în arbitrarea cazurilor în
care ambele state respectau principiile directivei, însă în diferite moduri. Acestea au fost motivele
pentru care Parlamentul UE a decis să înlocuiască directiva cu un regulament cu aplicare uniform pe tot
teritoriul UE, cu justificarea că, deși spațiul geografic este fragmentat, spațiul online este comun
și trebuie legislat în mod uniform.

Subiect și obiective
 Prezentul regulament stabilește norme referitoare la protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și norme
referitoare la libera circulație a datelor cu caracter personal.
 Prezentul regulament protejează drepturile și libertățile fundamentale ale
persoanelor fizice și în special dreptul acestora la protecția datelor cu caracter
personal.
 Libera circulație a datelor cu caracter personal în cadrul Uniunii nu este nici
restricționată, nici interzisă din motive legate de protecția persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal.
( art. 1 din prezentul regulament)
Principalele obiective ale GDPR sunt:

- Prevenirea atacurilor cibernetice și a impactului negativ al acestora asupra economiei și

drepturilor fundamentale;
- Să dezvolte resurse industriale și tehnologice pentru cibersecuritate;
- Să propună soluții pentru securitatea online și a rețelelor;
- Să adopte reguli speciale aplicabile serviciilor de comunicații electronice

Domeniu de aplicare material

 Regulamentul se aplică prelucrării datelor cu caracter personal în întregime sau parțial

prin mijloace automate și prelucrării, altele decât prin mijloace automate, a datelor cu
 caracter personal care fac parte dintr-un sistem de fișiere sau care sunt destinate să facă
parte dintr-un sistem de arhivare.
 GDPR nu se aplică prelucrării datelor cu caracter personal:
1. în cursul unei activități care nu intră în domeniul de aplicare al dreptului Uniunii;
2. de către statele membre atunci când desfășoară activități care intră în domeniul de
aplicare al titlului V capitolul 2 din TUE ;
3. de către o persoană fizică în cursul unei activități pur personale sau gospodărești;
4. de către autoritățile competente în scopul prevenirii, cercetării, detectării sau
urmăririi penale a infracțiunilor sau executării pedepselor penale, inclusiv pentru
apărarea și prevenirea amenințărilor la adresa securității publice.
 Pentru prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și
agențiile Uniunii, se aplică Regulamentul (CE) nr. 45/2001 . 2 Regulamentul (CE) nr.
45/2001 și alte acte juridice ale Uniunii aplicabile unei astfel de prelucrări a datelor cu
caracter personal se adaptează la principiile și normele prezentului regulament în
conformitate cu articolul 98 .
 Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE , în special a
normelor de răspundere a prestatorilor de servicii intermediari prevăzute la articolele
12-15 din directiva respectivă.
( art. 2 din prezentul regulament)

Domeniu de aplicare teritorial

 Prezentul regulament se aplică prelucrării datelor cu caracter personal în contextul activităților
unui sediu al unui operator sau al unui operator în Uniune, indiferent dacă prelucrarea are loc
sau nu în Uniune.
 Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate
care se află în Uniune de către un operator sau un operator care nu este stabilit în Uniune, în
cazul în care activitățile de prelucrare sunt legate de:

1. oferirea de bunuri sau servicii, indiferent dacă este necesară o plată a persoanei vizate,
acestor persoane vizate din Uniune; sau

2. monitorizarea comportamentului lor în măsura în care comportamentul lor are loc în cadrul
Uniunii.

- Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care
nu este stabilit în Uniune, dar într-un loc în care dreptul statelor membre se aplică în temeiul
dreptului internațional public.

( art. 3 din prezentul regulament)

 Recitaluri potrivite

Inainte de GDPR, datele cu caracter personal erau definite in mod larg ca fiind „orice informație
legată de un individ, fie ca este legată de viața sa personală, profesională sau publică. Poate fi orice de la
nume, poză, adresă de email, detalii bancare, postări pe rețele sociale, informații medicale, adresa IP”.
GDPR aduce o definiție mai clară a acestui concept ca fiind“orice informații privind o persoană fizică
identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată,
direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice,
proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale”(Regulamentul general privind protecția datelor, 2016). In Declaratia Drepturilor Fundamentale
se stiplueaza ca orice persoana are dreptul la protectia datelor personale in toate aspectele vietii sale.

Prin prelucrarea datelor cu caracter personal se înțelege“orice operațiune sau set de operațiuni
efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau
fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea,
stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea,
ștergerea sau distrugerea” (Regulamentul general privind protecția datelor, 2016).

GDPR se aplica doar in cazul in care organismul care colecteaza datele personale, organismul
care colecteaza datele sau cetateanul ale carui date sunt prelucrate se alfa pe teritoriul UE. Astfel, un
cetatean UE care se afla in afara spatiului European nu va fi protejat de GDPR atunci cand ii sunt
procesate datele, iar un cetean al unui stat care nu este membru al UE este protejat de GDPR, atat timp
cat datele sale au fost colectate cand se afla pe teritoriul UE. GDPR nu se aplică datelor colectate de
poliție sau de serviciile judiciare: pentru acestea există o directivă separată care a fost dată în același
pachet de legi cu GDPR. GDPR de asemenea nu se aplică transferului de date între persoane fizice, doar
între companii și persoane sau între companii diferite.

Datele nu pot fi procesate de o companie decat in baza unui temei legal, care se obtine doar in
anumite cazuri precum:

- Subiectul datelor și-a dat acordul ca aceste date să fie procesate în vederea unuia sau mai
multor scopuri
- Prelucrarea este necesară pentru a îndeplini o sarcină de interes public sau cerută de o
autoritate publică
- Prelucrarea este necesară pentru urmărirea intereselor legitime ale companiei, cu excepția
cazurilor când aceste interese sunt depășite de interesele, drepturile și libertățile fundamentale
ale subiectului. (Regulamentul general privind protecția datelor, 2016)

Compania care controlează datele trebuie să obțină consimțământul explicit al subiectului

datelor, iar acest consimțământ trebuie să poată fi dovedit oricând la cerere. Mai mult, subiectul își
poate retrage consimțământul oricând. Pentru minori, consimțământul este acordat de tutorele legal.
Consimțământul este definit ca "orice manifestare de voință liberă, specifică, informată și lipsită de
ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără
echivoc, ca datele cu caracter personal care o privesc să fie prelucrate" (Regulamentul general privind
protecția datelor, 2016). În cazul formularelor online, consimțământul explicit se recomandă a fi obținut
prin formulare de tip opt-in, în care utilizatorul trebuie să bifeze singur că acceptă să îi fie prelucrate și
colectate datele.

Utilizatorul ale cărui date sunt prelucrate are dreptul oricând să aibă acces la datele sale și să
ceară informații cu privire la motivele prelucrării acestora. Drepturile sale includ accesul la informații
precum:

- scopurile prelucrării
- destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau
urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale
- acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter
personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această
perioadă;
- dreptul de a depune o plângere în fața unei autorități de supraveghere(Regulamentul general
privind protecția datelor, 2016)

drepturi – completare

 Dreptul la informare

- persoana trebuie să fie informată, printre altele, cu privire la ce date sunt prelucrate, de ce, în ce
scopuri, cui sunt transmise și ce drepturi are.

 Dreptul de acces

- persoana are dreptul să acceseze propriile informații personale prelucrate

 Dreptul la rectificare

- persoana are dreptul de a obține rectificarea informațiilor incomplete și inexacte care o privesc

 Dreptul la ștergere

- în unele situații, persoana are dreptul de a solicita ștergerea datelor care nu mai sunt necesare

 Dreptul la restricționarea prelucării

- Restricționarea prelucrării atunci când există temei

  Dreptul la portabilitate

- dreptul persoanei de a solicita portarea datelor de la un operator la altul

 Dreptul la obiecție

- dreptul persoanei de a se opune prelucrării, atunci când există temei

 Dreptul de a nu fi supusă unei decizii automate, inclusiv crearea de profiluri

- persoana are dreptul la intervenție umană în cazul deciziilor importante care o privesc

 Dreptul de a depune o plângere la Autoritatea de supraveghere

- atunci când este nemulțumită de modalitatea în care i se prelucrează datele sau când drepturile
nu i-au fost respectate

 Dreptul de a se adresa instanței de judecată

- Pentru a obține daune materiale și/sau morale dacă a rezultat un prejudiciu

Evidența activităților de prelucrare

Regulamentul GDPR obligă operatorii și persoanele împuternicite să țină o evidență a activităților de

prelucrare, în următoarele situații:

- atunci când entitatea are mai mult de 250 angajați;

- prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate;
- prelucrarea include categorii speciale de date;
- prelucrarea nu este ocazională.
 Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională,
ar trebui ca fiecare organizație să aibă o evidență internă a activităților care să fie revizuită
periodic.

Evidența poate fi ținută sub forma unui registru și trebuie să cuprindă:

Numele și datele de contact ale operatorului;

descrierea activiților de prelucrare;
scopurile prelucrării;
categoriile de date prelucrate;
categoriile de persoane vizate;
categoriile de destinatari;
transferurile internaționale de date, dacă e cazul;
durata de stocare;
măsurile tehnice și organizatorice luate.

Autoritățile de supraveghere

Fiecare stat membru UE are o autoritate de supraveghere independentă responsabilă, printre

altele, cu monitorizarea respectării legislației în materie de protecție a datelor, efectuarea investigațiilor,
aplicarea sancțiunilor și spirijinul persoanelor vizate. În România, funcționează Autoritatea Națională de
Supraveghere a Prelucării Datelor cu Caracter Personal. Conform raportului anual publicat pe site-ul
Autorității, în anul 2020, ANSPDCP a dat 64 avertismente și 29 de amenzi.

Căi de atac, răspundere și sancțiuni

RGPD prevede faptul că amenda poate ajunge până la 4% din cifra de afaceri. Legea națională
de punere în aplicare a RGPD (Legea nr. 190/2018) confirmă acest lucru.

Atunci când optează între a aplica un avertisment sau o amendă, iar în cazul amenzii,
cuantumul acesteia, ANSPDCP ia în calcul mai mulți factori printre care: gradul de conformare, măsurile
implementate, gravitatea abaterii, numărul încălcărilor, prejudiciile aduse persoanelor vizate și măsurile
întreprinse de operator sau împuternicit pentru prevenirea limitarea prejudiciului.

Persoanele vizate nemulțumite de modul în care o Organizație le prelucrează datele au

drepturile de a depune o plângere la Autoritatea de supraveghere și de a se adresa instanțelor de
judecată pentru obținerea despăgubirilor.

Cele mai mari amenzi aplicate în anii 2019, 2020, 2021 pe fondul nerespectării GDPR
  amenda aplicată companiei Amazon, în sumă de 746 milioane de euro.

Fabuloasa amendă primită în contextul nerespectării GDPR , anunțată în raportul privind încasările
companiei din luna iulie 2021, este de 15 ori mai mare față de recordul anterior. Motivele care au stat la
aplicarea acestei amenzi nu au fost dezvăluite în totalitate, însă cu siguranță au de-a face cu politica
cookie. Și nu e pentru prima dată când Amazon a fost sancționată pentru modul în care colectează
datele persoanale prin intermediul cookie-urilor. Astfel, la finalul anului 2020, Franța a sancționat
Amazon cu 35 milioane de euro după ce nu a respectat politica cookie.

Cum putea fi evitată amenda... E tentant să forțezi utilizatorii să fie de acord cu politica cookie, sau să le
induci faptul că refuzarea acestei politici îți restricționează accesul pe site-ul respectiv, în acest mod
colectând cât mai multe date personale posibil. Însă legislativul Uniunii Europene a modificat regulile de
aplicare a politicii cookie, astfel încât nicio persoană să nu mai fie obligată să-și dea acordul privind
colectarea datelor cu caracter personal.

Dacă Amazon ar fi optat pentru un acces liber, lipsit de ambiguitate, cât și pentru informarea
persoanelor, înainte de a aplica politica cookie pe dispozitivele utilizatorilor, probabil ar fi evitat această
amendă uriașă.

 amenda aplicată Whatsapp, în sumă de 225 milioane de euro

La ceva timp după ce amenda cu care a fost sancționată compania Amazon a detronat Google din topul
celor mai mari amenzi GDPR aplicate, Whatsapp a trimis Google pe locul 3, primind o amenda de
aproape 5 ori mai mare față de recordul stabilit anterior de Google.

Astfel, Irlanda a sancționat Whatsapp cu 225 milioane de euro fiindcă nu a respectat prevederile GDPR,
în urma demonstrării faptului că serviciul de mesagerie nu a explicat pe înțelesul tuturor modul de
procesare a datelor cu caracter personal.

Amenda ar fi putut fi evitată dacă Whatsapp ar fi furnizat informații cu privire la colectarea de date
personale, folosindu-se de un limbaj accesibil.

Speță privind nerespectarea GDPR.

Un petent a reclamat faptul că la nivelul comunei în care locuiește este instalat un sistem de
supraveghere video de către primărie, care nu respectă prevederile Regulamentului (UE) 2016/679,
inclusiv sub aspectul dreptului la informare, a asigurării măsurilor de securitate, a lipsei unui responsabil
cu protecția datelor. De asemenea, petentul a menționat că dreptul său la viața privată este afectat,
având în vedere ca una dintre camere este instalată pe un stâlp aflat în colțul proprietății sale.

În urma investigației, a rezultat că imaginile înregistrate pot fi vizualizate în timp real pe

monitorul din biroul primarului, dar și de la distanță, fără a exista precizari clare referitoare la măsurile
de securitate implementate împotriva unor accesări ori divulgări ilegale ori accidentale. De asemenea,
nu au fost prezentate dovezi cu privire la realizarea unei informări complete a persoanelor vizate în
legatură cu prelucrarea datelor lor, în legatură cu funcționarea sistemului de supraveghere video, în
conformitate cu art. 12-13 din Regulamentul (UE) 2016/679.

Ca urmare a investigației efectuate, s-a constatat că operatorul a încălcat prevederile art. 12,
13, 32 si 37 alin. (1) si (7) din Regulamentul (UE) 2016/679, întrucât nu a prezentat dovezi din care să
rezulte că a asigurat informarea corectă și completă a persoanelor vizate ale căror imagini sunt colectate
prin intermediul sistemului de supraveghere video. De asemenea, nu a adoptat măsuri tehnice și
organizatorice adecvate în vederea asigurării confidențialității datelor prelucrate (inclusiv în legatură cu
autorizarea unui numar restrâns de persoane), conform atribuțiilor din fișa postului, de a avea acces
limitat și securizat la imagini și la înregistrările provenite din sistemul de supraveghere video, numai în
situația producerii unor incidente corespunzătoare scopului pentru care au fost instalate camerele. În
același timp, s-a constatat că nu a desemnat un responsabil cu protecția datelor, conform obligațiilor ce
îi reveneau conform art. 37 alin. (1) lit. a) din Regulamentul (UE) 2016/679, și nici nu a comunicat datele
de contact ale acestuia către Autoritatea naționala de supraveghere și către public, așa cum prevede art.
37 alin. (7) din Regulamentul (UE) 2016/679.

Față de constatări, operatorul a fost sancționat cu avertisment și s-au dispus trei măsuri, prin
planul de remediere, care se refereau:

- la informarea tuturor categoriilor de persoane vizate în legatură cu sistemul de supraveghere video,

- la adoptarea de măsuri tehnice și organizatorice adecvate cu privire la sistemul de supraveghere video,

inclusiv cu privire la limitarea numărului de persoane autorizate potrivit fișelor de post care să aibă acces
la imagini și înregistrări numai în situația producerii unor incidente care au legatură cu scopul instalării
acestor camere de supraveghere, interzicerea accesului de la distanță prin internet la imagini și
înregistrari, alocarea monitoarelor de urmărire a imaginilor în timp real numai în sarcina de vizualizare a
persoanelor autorizate și

- la comunicarea către Autoritatea națională de supraveghere și către public a datelor de contact ale
persoanei responsabile cu protecția datelor personale la nivelul operatorului.

De asemenea, s-a recomandat reanalizarea legalității instalării și a unghiului de orientare a

camerelor de supraveghere video de către primărie, astfel încât să nu fie surprinse imagini de pe
proprietățile private.

Sursa speță: EuroAvocatura.ro, Instalarea unui sistem de supraveghere video de catre primarie, care nu
respecta prevederile GDPR, Publicare la data de 12 Aug 2021, Coordonator avocat Marius-Catalin
Predut, titular MCP Cabinet avocati.