Provocările GDPR în sectorul public

Autoritățile publice au drepturi și obligații specifice în domeniul GDPR, uneori diferite de

cele pe care le au entitățile private. În administrația publică responsabilitatea este mai mare și
datele cu caracter personal nu sunt doar stocate dar sunt, de cele mai multe ori și transferate.
În plus există și legislația specifică care trebuie integrată cu principiile GDPR.

Prof. univ. dr. Daniel-Mihail Șandru analizează în revista Pandectele Române nr. 2/2019,
editată de Wolters Kluwer România, principalele probleme cu care se confruntă sectorul
public în domeniul GDPR: colectarea și transferul datelor, drepturile persoanelor vizate,
desemnarea responsabilului cu protecția datelor (DPO), proceduri specifice autorităților și
organismelor publice, regimul sancționator.

Operatorii de date personale din sectorul public

Potrivit autorului: „pentru operatorii definiți prin legislație națională ca fiind autoritate sau
organism public se aplică unele reguli specifice, reguli care au în vedere poziția entităților
publice.”

Potrivit Legii nr. 190/2018 prin autorități și organisme publice se înțelege:

– Camera Deputaților și Senatul

– Administrația Prezidențială
– Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale
– autoritățile și instituțiile publice autonome
– autoritățile administrației publice locale și deja la nivel județean
– alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora.
– unitățile de cult și asociațiile și fundațiile de utilitate publică (asimilate
autorităților/organismelor publice în sensul legii).

Pentru domeniul penal, se aplică o lege specială și anume Legea nr. 363 din 28 decembrie
2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal
de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale
și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță,
precum și privind libera circulație a acestor date.

Principalele probleme din sectorul public în domeniul GDPR

Daniel-Mihai Șandru precizează care sunt, în prezent, principalele probleme în sectorul

public:

– Colectarea de date și transferul de date, întrucât încă există dispoziții legale care obligă
aceste entități să colecteze și să transfere date.

– Demonstrarea consimțământului persoanelor vizate: „Chiar dacă cele mai multe date sunt
prelucrate în temeiul legii și eventual al contractului, rămân situații în care entitățile publice
trebuie să demonstreze consimțământul persoanelor vizate. Este necesar consimțământul și nu
este suficientă informarea pentru site (cookies, chestionare și alte sondaje, dacă nu sunt
anonime, software, apps, transferul datelor în afara scopului pentru care au fost stocate/
colectate).”

– Verificarea surselor fizice pe care sunt stocate datele: „Entitățile publice trebuie să verifice,
precum orice operator, într-o măsură rezonabilă, sursele fizice pe care sunt stocate datele, mai
ales mediile informatice utilizate. Verificarea este, desigur, intelectuală, la nivelul clauzelor
contractuale pentru a se asigura că încălcarea securității datelor este limitată la maxim.

– Problema licitațiilor: „Pentru a obține un preț scăzut la licitație sau pentru a stoca gratuit
date personale uneori se apelează la cloud, pentru care, dacă nu este încheiat un contract
riscurile rămân la entitățile publice. Licitațiile reprezintă o problemă când sunt achiziționate
produse ieftine, care nu au implementat GDPR (sub forma impactului asupra vieții private
pentru produs) și care pot conduce la incidente și încălcări de securitate a datelor.”

– Minimizarea prelucrării datelor: „Entitățile publice trebuie să justifice de ce prelucrează

anumite date și să ia măsurile tehnice și organizatorice pentru eliminarea riscurilor.”

– Transparența prelucrării datelor: «este esențială pentru conformarea cu GDPR, având în

vedere că potrivit Orientărilor GL29, „transparența este o obligație atotcuprinzătoare potrivit
GDPR și se aplică în trei domenii de bază: (1) norma juridică prin care se stabilește
informarea persoanelor vizate cu privire la prelucrarea echitabilă; (2) cum anume operatorii
de date comunică cu persoanele vizate în ceea ce privește drepturile lor potrivit GDPR; (3)
cum anume operatorii de date facilitează exercitarea drepturilor persoanelor vizate.” »

Drepturile persoanelor vizate – GDPR sector public

În articolul publicat în Pandectele Române nr. 2/2019 se precizează că în sectorul public

există două riscuri, care cu greu se regăsesc în cel privat:

1. multitudinea de situații în care sunt prelucrate date ale unor persoane vizate vulnerabile

2. imposibilitatea utilizării temeiului prevăzut de art. 6 lit. f), interesul legitim (nu se aplică în
cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor).

Potrivit autorului: „Exercitarea drepturilor persoanelor vizate prin solicitări va crește.” În

acest context există următoarele probleme:

– managementul informației și verificarea identității solicitantului

– solicitările abuzive: „Trebuie verificate toate modalitățile legale prin care să fie descurajate
solicitările abuzive cu mențiunea că operatorul, inclusiv autoritate sau organism public, este
cel care trebuie să demonstreze caracterul abuziv. Cereri repetitive, solicitări anonime,
solicitări ale datelor pe care persoana vizată le cunoaște deja sunt modalități de hărțuire a
entităților publice, dar pe care acestea trebuie să le demonstreze”.  Excepțiile, prevăzute în art.
12 GDPR, nu trebuie să încalce dreptul la informare și dreptul la exprimare, precizează
autorul, întrucât dreptul la protecția datelor nu este un drept absolut: „În cazul în care cererile
din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza
caracterului lor repetitiv, operatorul poate fie să perceapă o taxă rezonabilă ținând cont de
costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea
măsurilor solicitate, fie să refuze să dea curs cererii. În aceste cazuri, operatorului îi revine
sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.”

– dreptul la ștergere: „atât de cunoscut și de (a)clamat aproape că nu se aplică în sectorul

public, având în vedere excepțiile prevăzute de regulament, și anume nu poate fi exercitat cu
privire la aplicarea dreptului la liberă exprimare și la informare, pentru respectarea unei
obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern
care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau
în cadrul exercitării unei autorități oficiale cu care este învestit operatorul, din motive de
interes public în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri
de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea
sau apărarea unui drept în instanță [art. 17 alin. (3)]. Desigur, acest drept s-ar putea exercita în
situația în care datele sunt prelucrate de autoritatea sau organismul public în scopuri de
marketing, când persoana vizată și-a dat consimțământul pentru prelucrare. Entitățile publice
trebuie să pună în practică dreptul la ștergere fără solicitarea persoanelor vizate în situația în
care aplică alte reglementări, cum ar cele referitoare la liberul acces la informațiile de interes
public sau din Legea nr. 109/2007 privind reutilizarea informațiilor din instituțiile publice.

– răspunsul la cereri: „Operatorul trebuie să răspundă într-o lună de la formularea cererii, însă
trebuie observat cu atenție temeiul cererii. Dacă solicitantul formulează cererea în temeiul
unei alte legi, de exemplu, a Legii nr. 544/2001 privind liberul acces la informațiile de interes
public dar solicitarea se referă la exercitarea drepturilor asupra datelor cu caracter personal ale
persoanei vizate, atunci cererea va fi corect încadrată și se va răspunde potrivit legislației
proprii.

Exercitarea anumitor drepturi, nu pun doar probleme de calificare din punctul de vedere al
termenelor dar și din punctul de vedere al exercitării drepturilor. Aceasta are influență și
asupra activității responsabilului cu protecția datelor care nu trebuie să avizeze toate
contractele doar pentru că, evident, conțin date cu caracter personal. Dreptul la rectificare are
conotații specifice pentru că poate infera cu reglementări speciale care privesc drepturi
civile.”

Desemnarea responsabilului cu protecția datelor (DPO) – GDPR sector public

Referitor la desemnarea DPO în cadrul autorităților publice, Daniel Mihai Șandru precizează
care sunt elementele specifice: «Pentru toate entitățile publice, fără excepție, desemnarea unui
responsabil cu protecția datelor (DPO) este obligatorie, cu excepția instanțelor care acționează
în exercițiul funcției lor jurisdicționale.
Anumite dispoziții din Regulament facilitează desemnarea responsabilului însă mai rămân
elemente necunoscute la nivelul legislației naționale dar și probleme de ordin practic privind
desemnarea unui DPO pentru mai multe autorități și organisme publice, în conformitate cu
art. 37 alin. (3) din GDPR: „În cazul în care operatorul sau persoana împuternicită de operator
este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecția
datelor unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare
structura organizatorică și dimensiunea acestora.”

Proceduri specifice autorităților și organismelor publice în domeniul GDPR

În ceea ce privește procedurile specifice autorităților publice în domiul GDPR, Daniel Mihai
Șandru expune câteva recomandări, necesare în contextul actual al reglementărilor naționale:

– Coduri de conduită: „Din punctul de vedere al procedurilor, este necesar să se discute prin
organizațiile reprezentate, în special asociații, elaborarea de coduri de conduită pentru
anumite tipuri de entități din administrația publică, de exemplu, pentru primării. Dacă
entitatea are pagini pe rețele sociale, va trebui să informeze în mod corespunzător persoanele
avizate despre aceasta pe pagina web proprie dar și pe rețelele sociale.”

– Actualizarea constantă a informațiilor importante: „Chiar dacă a trecut un an de la punerea

în aplicare, toate entitățile trebuie să evalueze constant datele, să actualizeze registrul
activităților (art. 30), impactul asupra vieții private (art. 35) și să depună un efort suficient de
coerent pentru conștientizarea întregului personal în privința aplicării regulamentului, dar și a
sancțiunilor sau daunelor pe care persoanele vizate le pot solicita.”

– Tratarea posibilelor încălcări de securitate a datelor: acestea „trebuie să se facă în condițiile

legii, prin solicitarea ajutorului instituțiilor abilitate sau cu competențe. Angajații trebuie
instruiți în direcția informării imediate a responsabilului cu protecția datelor a oricărui
incident de securitate și asupra faptului că aceștia nu trebuie să acționeze individual pentru a
înlătura posibilele consecințe. Trebuie documentate toate monitorizările pe scară largă pe care
unele dintre entități sau împuterniciți se realizează pentru acestea.”

Regimul sancționator în domeniul GDPR – sector public

Regimul sancționator în domeniul GDPR este, potrivit autorului Daniel Mihail Șandru unul
derogator, principalele elemente fiind expuse mai jos:

„Într-unul din puținele comunicate ale autorității române de supravegherea datelor cu caracter
personal, din cele 15 exemple, niciunul nu se referă la o entitate publică. Cu toate acestea,
după intrarea în vigoare a GDPR, una dintre sancțiunile cunoscute, este un avertisment pentru
Primăria Cluj-Napoca (din păcate decizia nu este disponibilă, până în prezent pe site-ul
autorității) pentru utilizarea e-mailului personal al funcționarului în comunicările oficiale cu
petenții.

Regimul sancționator derogator pentru autorități și organisme publice pare discriminatoriu. În

afara sancțiunilor aplicate de autoritatea de supraveghere trebuie luată în considerare
posibilitatea persoanelor vizate de a introduce acțiune în instanță pentru daune morale.

Aplicarea sancțiunilor are două etape, reglementate distinct de Legea nr. 190/2018:

I. Aplicarea măsurilor corective autorităților și organismelor publice (art. 13)

1. În cazul constatării încălcării prevederilor Regulamentului general privind protecția datelor

și ale Legii nr. 190/2018 de către autoritățile/organismele publice, Autoritatea națională de
supraveghere încheie un proces-verbal de constatare și sancționare a contravenției prin care se
aplică sancțiunea avertismentului și la care anexează un plan de remediere. Situația Primăriei
Cluj-Napoca este unul dintre primele exemple, menționate în mediul jurnalistic, în care unul
din funcționari a răspuns petentului de pe e-mailul personal. Decizia sau măsurile autorității
nu sunt disponibile public. În Norvegia, unde se aplică GDPR în temeiul apartenenței la
Spațiul Economic European, o amendă a vizat Primăria Bergan pentru că nu a luat măsuri
tehnice și organizatorice referitoare la datele a aproximativ 35000 de peroane, respectiv elevii
si profesorii școlilor.

2. Termenul de remediere se stabilește în funcție de riscurile asociate prelucrării, precum și

demersurile necesar a fi îndeplinite pentru asigurarea conformității prelucrării.

3. În termen de 10 zile de la data expirării termenului de remediere, Autoritatea națională de

supraveghere poate să reia controlul.

4. Responsabilitatea îndeplinirii măsurilor de remediere revine autorității/organismului public

care, potrivit legii, poartă răspunderea contravențională pentru faptele constatate.

5. Modelul planului de remediere care se anexează la procesul-verbal de constatare și

sancționare a contravenției este prevăzut în anexa Plan de remediere, care face parte
integrantă din prezenta lege.

II. Constatarea contravențiilor și aplicarea de sancțiuni autorităților și organismelor publice

(art. 14)

1. Dacă în urma controlului se constată faptul că autoritățile/organismele publice nu au adus la

îndeplinire în totalitate măsurile prevăzute în planul de remediere, Autoritatea națională de
supraveghere, în funcție de circumstanțele fiecărui caz în parte, poate aplica sancțiunea
contravențională a amenzii, cu luarea în considerare a criteriilor prevăzute la art. 83 alin. (2)
din Regulamentul general privind protecția datelor.

2. Constituie contravenție care se sancționează cu amendă de la 10.000 lei până la 100.000 lei:

2.1. încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din

Regulamentul general privind protecția datelor, referitoare la:

a) obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu

prevederile art. 8, art. 11, art. 25-39, art. 42 și art. 43;

b) obligațiile organismului de certificare în conformitate cu art. 42 și art. 43;

c) obligațiile organismului de monitorizare în conformitate cu art. 41 alin. (4).

2.2. Constituie contravenție încălcarea de către autoritățile/organismele publice a dispozițiilor

art. 3-9 din Legea nr. 190/2018, și anume prelucrarea datelor genetice, a datelor biometrice
sau a datelor privind sănătatea (art. 3), prelucrarea unui număr de identificare național (art. 4),
prelucrarea datelor cu caracter personal în contextul relațiilor de muncă (art. 5), prelucrarea
datelor cu caracter personal și de categorii speciale de date cu caracter personal, în contextul
îndeplinirii unei sarcini care servește unui interes public (art. 6), prelucrarea datelor cu
caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau
literare (art. 7), prelucrarea datelor cu caracter personal în scopuri de cercetare științifică sau
istorică, în scopuri statistice ori în scopuri de arhivare în interes public (art. 8) și prelucrarea
datelor de către partide politice și organizații neguvernamentale (art. 9).

3. Constituie contravenție, care se sancționează cu amendă de la 10.000 lei până la 200.000

lei, încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din
Regulamentul general privind protecția datelor, referitoare la:

a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în

conformitate cu art. 5-7 și art. 9;
Prima amendă a autorității belgiene de protecția datelor se referă la o primărie care nu a
respectat principiile privind scopul prelucrării datelor personale. EDPB, First Belgian GDPR
fine, disponibil la adresa EDPB Europa

b) drepturile persoanelor vizate în conformitate cu art. 12-22;

c) transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o
organizație internațională, în conformitate cu art. 44-49;

d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;

e) nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării sau
a suspendării fluxurilor de date, emisă de către Autoritatea națională de supraveghere în
temeiul art. 58 alin. (2), sau neacordarea accesului, prin încălcarea dispozițiilor art. 58 alin.
(1).

f) încălcarea de către autoritățile/organismele publice a unei decizii emise de Autoritatea

națională de supraveghere în conformitate cu art. 58 alin. (2) coroborat cu art. 83 alin. (2) din
Regulamentul general privind protecția datelor.”
DECIZIA CURȚII DE APEL IAȘI: GDPR
NU ÎMPIEDICĂ ACCESUL LA
INFORMAȚII PUBLICE
24.06.2019JURIDIC / LEGISLATIV 
Unul dintre miturile ce au luat naștere odată cu intrarea în vigoare a Regulamentului
General Pentru Protecția Datelor (GDPR) este că acesta va restricționa accesul la date
personale. Nimic mai fals!
Ca să înțelegem mai bine cum funcționează acest Regulament voi folosi o comparație
“out of the box”. Astfel, GDPR-ul nu trebuie văzut ca un jandarm care păzește datele
asigurându-se ca nu ajunge nimeni la ele, ci mai de grabă un polițist de la rutieră care
supraveghează libera circulație a datelor, care dirijează fluxurile de date astfel încât să
nu înregistreze "ambuteiaje" și care are dreptul de a aplica sancțiuni atunci când cineva
îi încalcă indicațiile.
Indicii despre rolul Regulamentului le avem încă din lungul său titlu "Regulament nr.
679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind libera circulație a acestor
date  [...]". Prin urmare, încă de la primul contact cu Regulamentul ar fi trebui să
înțelegem că acesta nu reglementează doar protecția datelor ci și libera circulație a lor,
dar cine să țină minte un titlu atât de lung?
Ce spune GDPR-ul în privința accesului la informațiile publice.
Art. 86 din GDPR oferă o imagine suficient de clara asupra prelucrării și accesului
public la documente oficiale: "Datele cu caracter personal din documentele oficiale
deținute de o autoritate publică sau de un  organism public sau privat pentru
îndeplinirea unei sarcini care servește interesului public pot fi  divulgate de
autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul
intern sub incidența căruia intră autoritatea sau organismul, pentru a stabili un
echilibru între accesul  public la documente oficiale și dreptul la protecția datelor cu
caracter personal în temeiul prezentului Regulament".
Cu alte cuvinte GDPR-ul nu interferează cu legislația națională referitoare la
informațiile de interes public, lăsând la latitudinea fiecărui stat stabilirea informațiilor
de interes public, modul și forma sub care acestea pot fi divulgate.
Revenind la povestea noastră
Asociația Studențească Ligia Studenților ai Universității „Alexandru Ioan Cuza” din
Iași (LS Iași) a intentat un proces Universității Naționale de Muzică din București
(Universitatea) ca urmare a refuzului acesteia de a face publice rezultate evaluării
cadrelor didactice realizată de către studenți.
Atât pe parcursul procesului cât și al recursului, Universitatea a susținut că refuzul
furnizării informațiilor solicitate este întemeiat și ca a procedat în conformitate cu
prevederile legale, considerând ca evaluările cadrelor didactice de către
studenți reprezintă date cu caracter personal.
În aceiași timp, LS Iași a susținut că evaluarea de către studenți a prestației cadrelor
didactice este obligatorie, rezultate acestei evaluări fiind informații publice, în
conformitate cu dispozițiile art. 303 alin. 2 din Legea nr.1/2011 (Legea Educației).
Decizia Curții de Apel Iași
Curtea a respins ca nefondat recursul Universității, menținând astfel decizia
Tribunalului Iași, decizia prin care Universitatea era obligată să comunice Ligii
Studenților informațiile solicitate, această decizie fiind definitivă.
În motivarea decizie, Curtea a susținut că “potrivit art. 14 alin. 1 din Legea nr.
544/2001, informațiile cu privire la datele personale ale cetățeanului pot deveni
informații de interes public numai în măsura în care afectează capacitatea de exercitare
a unei funcții publice.
Cum învățământul este serviciu de interes public, iar cei vizați de solicitarea Ligii
Studenților sunt profesori în cadrul universității, rezultatele evaluării activității lor de
către studenți, evident cu indicarea numelui și prenumelui fiecăruia, pot face obiectul
unei cereri de comunicare informații interes public, dispozițiile Regulamentului (UE)
2016/679 (GDPR) necuprinzând o restricționare din acest punct de vedere”.
Curtea a mai adăugat că “Statele membre au obligația de a lua toate măsurile pentru ca
principiile ce se degajă din Regulament și dispozițiile acestuia să fie respectate , datele
cu caracter personal să fie corect prelucrate și corespunzător protejate, fără însă ca
acest nivel de protecție asigurat de GDPR să împiedice accesul publicului la
informațiile de interes public.”
Cele doua instanțe care au judecat plângerea înaintată de liga studenților au transmis
un mesaj cât se poate de clar: GDPR-ul nu este o pârghie de care sa ne prevalam atunci
când dorim să blocăm accesul la anumite date de interes public chiar dacă acestea sunt
date cu caracter personal.
Probabil va mai trece mult timp până când vom conștientiza impactul pozitiv pe care
GDPR-ul îl are și care vor fi beneficiile pe teren lung, precum și faptul ca acesta are ca
scop apărarea drepturilor și libertăților persoanelor și nu îngrădirea acestora.
POLITICĂ PRIVIND UTILIZAREA CCTV

a (a se introduce denumirea Organizației) – „Organizația”

1. SCOPURI ȘI CONTEXT
1.1. Această politică stabilește liniile directoare ale (a se introduce denumirea
Organizației) pentru utilizarea CCTV (televiziune cu circuit închis) pentru a se respecta
cerințele GDPR și drepturile persoanelor vizate.

1.2. (a se introduce denumirea Organizației) utilizează un sistem CCTV (supraveghere video)

în scopurile protejării vieții omului și integrității fizice, protejării secretelor comerciale,
protejării patrimoniului și a proprietății intelectuale, prevenirii săvârșirii de infracțiuni și
contravenții precum și în vederea investigării eficiente a reclamațiilor.

1.3. Acest sistem este alcătuit din  (a se introduce numărul) camere fixe.

1.4. Sistemul CCTV este deținut și operat de către (a se introduce denumirea

Organizației), implementarea acestuia fiind determinată de către conducerea Organizației.
1.5. Sistemul CCTV este monitorizat la nivel central de către următoarele persoane: (indicați
numele și funcția).

1.6. Toți operatorii autorizați și angajații care au acces la imagini au luat cunoștință de
procedurile care trebuie urmate cu ocazia accesării imaginilor înregistrate. Toți angajații au
luat cunoștință de restricțiile privind accesul la imaginile înregistrate, precum și la divulgarea
acestora.

1.7. Utilizarea sistemului CCTV va fi efectuată într-un mod profesional, etic și legal și orice
deturnare a tehnologiilor de securitate CCTV pentru alte scopuri este interzisă prin această
politică. De exemplu, sistemul CCTV nu va fi folosit pentru monitorizarea performanței
angajaților.

2. JUSTIFICAREA UTILIZĂRII CCTV

2.1. Scopul înregistrării imaginilor prin utilizarea unui sistem de supraveghere video (CCTV)
include protejarea spațiilor, prevenirea incidentelor, atenuarea impactului sau facilitarea
investigației eventualelor incidente, prinderea făptuitorilor în flagrant, prevenirea actelor
ilegale, protecția vieții omului, integritatea fizică și libertatea personală, protecția comerțului
și a valorilor mobiliare, protecția proprietății, precum și investigarea legală a plângerilor
consumatorilor. Funcționarea unui sistem de televiziune cu circuit închis (CCTV) contribuie
decisiv la realizarea obiectivelor de mai sus, deoarece o parte semnificativă a incidentelor
poate fi împiedicată în cazul în care potențialii infractori știu că faptele lor vor fi capturate de
un aparat de filmat, iar o mare parte din incidente, încălcări și plângeri pot fi investigate prin
vizualizarea imaginilor înregistrate.

2.2. Pentru fiecare cameră instalată, (a se introduce denumirea Organizației) a evaluat

necesitatea prelucrării datelor ținând cont de scopurile de mai sus.

2.3. Deși au fost căutate metode mai puțin intruzive, acestea nu au fost găsite. În prezent, nu
există nicio altă tehnologie sau soluție care să permită reconstrucția evenimentelor trecute în
legătură cu o plângere, un accident sau o infracțiune fără înregistrarea imaginilor și, prin
urmare, realizarea acestor scopuri nu poate fi asigurată prin utilizarea mijloacelor mai
puțin intruzive. Din punctul de vedere al protecției proprietății, este posibil să se utilizeze
doar un sistem de alarmă, dar acest lucru nu ar permite investigarea accidentelor sau
plângerilor, a depistării infracțiunilor și a identificării făptuitorilor. Posibila anonimizare a
înregistrărilor și estomparea fețelor persoanelor vizate ar face, de asemenea, imposibilă
identificarea persoanelor vizate în înregistrări și, prin urmare, scopul lor fundamental
(protecția) nu a putea fi atins. În plus, fără stocarea pentru o anumită perioadă de timp,
înregistrările nu ar putea fi folosite ca dovezi sau ca mijloace de efectuare a controalelor.

2.4. Având în vedere aspectele învederate anterior, monitorizarea CCTV de către (a se

introduce denumirea Organizației) este necesară. 

3. EVALUAREA IMPACTULUI ASUPRA PROTECȚIEI DATELOR (DPIA)

3.1. Cu ocazia instalării noilor sisteme sau camere CCTV, (a se introduce denumirea
Organizației) va efectua o analiză a impactului asupra protecției datelor, identificând riscurile
cauzate de instalarea acestora și stabilind măsurile pentru conformarea la legislația privind
protecția datelor. 

4. LOCAȚIA CAMERELOR

4.1. Camerele vor fi situate astfel încât să captureze imagini relevante pentru scopurile pentru
care au fost instalate și se vor lua măsuri pentru a se asigura faptul că așteptările rezonabile
privind confidențialitatea nu sunt încălcate.

4.2. (a se introduce denumirea Organizației) se va asigura că locația echipamentului este

determinată cu atenție pentru a asigura conformitatea imaginilor capturate cu GDPR. (a se
introduce denumirea Organizației) va depune toate diligențele pentru a poziționa camerele
astfel încât acestea să asigure o acoperire limitată.

4.3. Sistemul CCTV nu va fi utilizat în birourile angajaților, în toalete, în vestiare sau în alte
locuri unde angajații au o așteptare ridicată cu privire la confidențialitate.

4.4. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa
fel încât să prevină sau să minimizeze înregistrarea proprietății private sau înregistrarea
trecătorilor.

5. INFORMAREA

5.1. O copie a acestei politici CCTV se va furniza pe bază de cerere oricărei persoane
interesate.

5.2. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea
corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune.

5.3. Semnalizarea corespunzătoare va fi de asemenea afișată într-un loc vizibil la intrarea în

clădire/clădiri. Semnalizarea va include numele și detaliile de contact ale operatorului de date,
precum și scopurile specifice pentru care camera CCTV este plasată în fiecare locație și
indicații unde se pot obține informații mai multe (de exemplu: link și/sau cod QR către nota
de informare de pe site).

6. STOCAREA ȘI ACCESAREA

6.1. Înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată

într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio
împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se
va ține o evidență a accesului la înregistrări. Accesul la sistemul CCTV și la imaginile stocate
va fi permis doar personalului autorizat. La momentul accesării imaginilor, doi membri ai
personalului autorizat trebuie să fie prezenți. Se va întocmi un raport scris al accesului. Aceste
rapoarte vor fi păstrate.

6.2. Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia
i-au fost furnizate acele informații (numele acelei persoane și, dacă e cazul, întreprinderea pe
care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în
cazul unei contestații.
6.3. Datele vor fi furnizate ca răspuns la anumite cereri de acces conform art. 15 RGPD.

6.4. În circumstanțe relevante, înregistrările CCTV vor putea fi furnizare, în condițiile legii,
organelor judiciare, instanțelor de judecată sau altor autorități publice abilitate.

7. CERERILE DE ACCES ALE PERSOANELOR VIZATE

7.1. Persoanelor fizice li se acordă dreptul de-și accesa propriile înregistrări CCTV potrivit
art. 15 GDPR.

7.2. Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații
pentru a putea fi identificate.

7.3. Organizația va răspunde acestor cereri într-un termen de o lună de la primirea cererii, în
conformitate cu politica privind facilitarea drepturilor persoanelor vizate în temeiul GDPR.

7.4. Organizația își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când
acest lucru ar duce atingere altor drepturi și libertăți, proprietății intelectuale sau secretelor de
afaceri.

7.5. Se va ține o evidență a datei când a avut loc divulgarea, împreună cu datele persoanei
solicitante (numele persoanei și, dacă e cazul, întreprinderea pe care o reprezintă), precum și
cu motivele din spatele cererii.

7.6. Dacă cererea este întemeiată, Organizația va furniza persoanei vizate acces la înregistrări
într-un format electronic structurat.

7.7. Atunci când înregistrarea conține imagini referitoare la terți, Organizația va lua măsurile
necesare pentru a proteja identitatea acestor persoane. 

Cookie-Uri Și Alte Tehnologii

Similare. Cum Aduci Site-Ul La
Conformitate?
Înainte de instalarea unor cookie-uri sau a altor tehnologii similare pe echipamentul terminal,
utilizatorii de internet trebuie să își dea consimțământul activ. La vizitarea unui site web,
utilizatorii de internet trebuie să fie informați și să își dea consimțământul înainte de
instalarea cookie-urilor și a altor tehnologii similare.

Informarea și consimțământul nu sunt necesare în cazurile prevăzute de art. 4 alin. (6) din
Legea nr. 506/2004:

1. atunci când instalarea cookie-urilor și a altor tehnologii similare este realizată

exclusiv în scopul efectuării transmisiei unei comunicări printr-o rețea de comunicații
electronice; și
 2. atunci când instalarea cookie-urilor și a altor tehnologii similare sunt strict necesare
pentru furnizarea unui serviciu informațional solicitat de către utilizator (e.g., cookie-
urile necesare funcționării unui site).
În celelalte cazuri, informarea utilizatorului și consimțământul sunt obligatorii.

Cookie-uri. Care sunt provocările în ceea ce privește protecția datelor?

Atunci când navighează pe web sau utilizează aplicații mobile, utilizatorii de internet sunt
urmăriți din ce în ce mai mult de diferiți actori (editori de servicii, agenții de publicitate,
rețele sociale etc.) care le analizează navigarea pe internet și comportamentul online, în
special pentru a le oferi publicitate direcționată sau servicii personalizate. Această urmărire se
realizează prin diverse instrumente de tracking, din care fac parte și cookie-urile.

Legea se aplică indiferent de tipul de terminal utilizat: calculatoare, smartphone-uri, tablete

digitale și console de jocuri video conectate la Internet, precum și orice alte echipamente
terminale conectate la o rețea de telecomunicații deschisă publicului.

Două tipuri de tehnologii de urmărire

Din punct de vedere juridic, există două tipuri de tehnologii de urmărire (i.e. cookies), unul
care nu necesită informarea și consimțământul utilizatorilor și alt tip care necesită informarea
și consimțământul.

Tehnologii de urmărire și cookie-uri care nu necesită informare și consimțământ

Astfel cum am menționat și la începutul articolului, informarea și consimțământul nu sunt

necesare în cazurile prevăzute de art. 4 alin. (6) din Legea nr. 506/2004:

1. atunci când instalarea cookie-urilor și a altor tehnologii similare este realizată

exclusiv în scopul efectuării transmisiei unei comunicări printr-o rețea de comunicații
electronice; și
2. atunci când instalarea cookie-urilor și a altor tehnologii similare sunt strict necesare
pentru furnizarea unui serviciu informațional solicitat de către utilizator (e.g., cookie-
urile necesare funcționării unui site).

Tehnologii de urmărire și cookie-uri care necesită informare și consimțământ

Cu excepția cazurilor prezentate anterior, toate cookie-urile și tehnologiile de urmărire sunt

supuse obligativității obținerii consimțământului și a informării utilizatorilor. De exemplu,
vor fi supuse acestor condiții de informare și consimțământ tehnologiile pentru afișarea de
publicitate personalizată și nepersonalizată, pentru măsurarea audienței, pentru partajarea
unor funcții pe rețelele sociale, cum este de exemplu Facebook Pixel. În absența
consimțământului (sau în cazul unui refuz din partea utilizatorului), aceste tehnologii de
urmărire nu pot fi depozitate pe terminalul utilizatorului.
 

Cum obțin un consimțământ valabil al utilizatorului?

1. Informează utilizatorul în mod complet

O informare trebuie să fie scrisă într-un limbaj simplu și ușor de înțeles și cuprindă:

 Scopurile utilizării modulelor cookies și a altor tehnologii similare, tipul de cookie,

durata de stocare;
 Orice alte informații obligatorii în conformitate cu Regulamentul GDPR.
Recomandăm modelul de informare regăsit în KIT-ul GDPR pentru implementare
la următoarea adresă.

2. Permite utilizatorului să își dea consimțământul prin intermediul unei acțiuni clare

Tăcerea, inacțiunea, inclusiv prin simpla continuare a navigării sau căsuțele prebifate nu
reprezintă consimțământ în conformitate cu legislația actuală. În schimb, bifarea unei căsuțe
de consimțământ (care nu a fost bifată by default) este un exemplu de consimțământ valabil
conform legii. Autoritățile de supraveghere recomandă ca practicile de colectare a
consimțământului să nu fie înșelătoare: butoane decolorate, bare de defilare („slide bar”)
dificile de înțeles.

3. Implementează un consimțământ specific, în funcție de scop

Permiteți utilizatorului să facă o alegere în funcție de scop: se recomandă să se permită

utilizatorului să își dea consimțământul în mod independent și specific pentru fiecare scop, de
exemplu prin intermediul casetelor de selectare. Este posibil să se propună utilizatorului să
consimtă la nivel global la un set de scopuri, prin integrarea, de exemplu, a butoanelor
„acceptați totul” sau „refuzați totul”, dar numai dacă toate scopurile au fost prezentate în
prealabil.

4. Respectarea alegerilor utilizatorului

De exemplu, în stadiul primului nivel de informații (i.e. în fereastra pop-up de informare și

consimțământ), utilizatorii pot avea posibilitatea de a alege între două butoane prezentate la
același nivel și pe același format, pe care sunt scrise respectiv „acceptați toate” și „refuzați
totul”. Alegerile utilizatorului trebuie, în principiu, să fie păstrate în timpul navigării pe site. 
Autoritățile de supraveghere recomandă ca alegerea exprimată de utilizatori, fie că este vorba
de un consimțământ sau de un refuz, să fie înregistrată astfel încât să nu le solicite din nou
pentru o anumită perioadă de timp. O perioadă de șase luni, atât pentru consimțământ, cât și
pentru refuz, este, în general, adecvată.

5. Permiteți utilizatorului să se răzgândească

Utilizatorul trebuie să aibă posibilitatea de a-și retrage consimțământul în orice moment, de

exemplu cu un link în subsol sau un alt mecanism de gestionare a cookie-urilor accesibil în
orice moment al serviciului în cauză.