Intrebari Frecvente - ANSPDCP - CE

INTRODUCERE
Prezentul material este o colecție de întrebări și răspunsuri colectate de pe site-ul Autorității

Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP1 și de pe cel al
Comisiei Europene2.
Conținut
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER
PERSONAL ............................................................................................................................................................5
Întrebări Frecvente ............................................................................................................................................5
1. Ce înseamnă operator de date cu caracter personal? .........................................................................5
2. Ce înseamnă operatori asociați? ...........................................................................................................5
3. Ce înseamnă persoană împuternicită de operator? .............................................................................5
4. Este necesar să mai notific prelucrările de date? ................................................................................5
5. Ce înseamnă autorități și organisme publice? .....................................................................................5
6. Ce obligaţii am în calitate de operator potrivit Regulamentului (UE) 2016/679? ............................6
7. Când trebuie să desemnez un responsabil cu protecția datelor (DPO)? ...........................................6
8. Ce înseamnă prelucrare pe scară largă? ..............................................................................................6
9. Ce condiții trebuie să îndeplinească responsabilul cu protecția datelor?..........................................6
10. Se poate desemna un singur responsabil cu protecția datelor pentru un grup de întreprinderi
sau pentru mai multe autorități sau organisme publice?............................................................................7
11. Cum comunic responsabilul cu protecția datelor autorității de supraveghere? ...........................7
12. Când nu se aplică Regulamentul (UE) 2016/679? ............................................................................7
13. Care sunt condițiile legale de prelucrare a datelor cu caracter personal, altele decât cele
speciale? ...........................................................................................................................................................8
14. Care sunt condițiile de prelucrare a categoriilor speciale de date cu caracter personal?............8
15. Dacă prelucrarea este prevăzută de un act normativ, mai este necesar să obțin
consimțământul persoanelor vizate? ............................................................................................................8
16. Care sunt condițiile de acordare și valabilitate a consimțământului? ...........................................8
17. În ce condiții pot prelucra datele cu caracter personal ale copiilor în ceea ce privește oferirea
de servicii ale societății informaționale? .......................................................................................................9
18. Operatorii sunt obligați să țină o evidență a prelucrărilor de date?..............................................9
19. Când este necesară efectuarea evaluării de impact? .................................................................... 10
20. În cât timp notific încălcările de securitate? ................................................................................. 10
21. Care sunt drepturile persoanei vizate? .......................................................................................... 11
1
https://www.dataprotection.ro/?page=IntrebariFrecvente1
2
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_ro
1
22. Cum pot formula o plângere la autoritatea de supraveghere? .................................................... 11
23. Când este admisibilă o plângere? ................................................................................................... 11
24. Cum se realizează transferul de date în străinătate? ................................................................... 12
25. Ce măsuri trebuie să iau pentru asigurarea securităţii prelucrării datelor cu caracter
personal? ...................................................................................................................................................... 12
26. Cât timp pot stoca datele cu caracter personal? ........................................................................... 12
27. Cine acreditează organismele de certificare?................................................................................ 13
28. Ce ghiduri a emis Comitetul European pentru protecția datelor? ............................................. 13
29. Ce ghiduri a emis Autoritatea națională de supraveghere? ........................................................ 13
COMISIA EUROPEANĂ ................................................................................................................................... 14
NORME PENTRU COMPANII ȘI ORGANIZAȚII ....................................................................................... 14
APLICAREA REGULAMENTULUI ........................................................................................................... 14
30. Cui i se aplică Regulamentul privind protecția datelor? ............................................................. 14
31. Se aplică normele în cazul IMM-urilor? ....................................................................................... 14
32. Normele de protecție a datelor se aplică datelor referitoare la societăți? .................................. 15
PRINCIPIILE RGPD ...................................................................................................................................... 15
33. Ce date pot fi prelucrate și în ce condiții? ..................................................................................... 15
SCOPUL PRELUCRĂRII DATELOR ......................................................................................................... 16
34. Pot fi prelucrate datele în orice scop? ............................................................................................ 16
35. Putem folosi date în alt scop?.......................................................................................................... 16
36. Cât de multe date se pot colecta? ................................................................................................... 17
37. Cât timp pot fi păstrate datele și se impune actualizarea lor? .................................................... 17
38. Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate? ........................... 18
TEMEIUL JURIDIC AL PRELUCRĂRII DATELOR .............................................................................. 19
Motivele prelucrării......................................................................................................................................... 19
39. Când pot fi prelucrate date cu caracter personal? ....................................................................... 19
40. Ce înseamnă „temeiul unui interes legitim”? ................................................................................ 20
41. Când este valabil consimțământul?................................................................................................ 20
42. Consimțământul acordat înainte de 25 mai 2018 continuă să fie valabil după această dată,
când RGPD începe să fie aplicat?............................................................................................................... 21
43. Ce se întâmplă dacă o persoană își retrage consimțământul? ..................................................... 22
44. Cum se obține consimțământul pentru prelucrare în cercetări științifice?................................ 22
DATE SENSIBILE .......................................................................................................................................... 23
45. Care date cu caracter personal sunt considerate sensibile? ........................................................ 23
46. În ce condiții poate societatea/organizația mea să prelucreze date sensibile? ........................... 23
2
47. Există garanții specifice pentru datele referitoare la copii? ........................................................ 24
48. Pot fi folosite pentru marketing datele primite de un terț? ......................................................... 25
ADMINISTRAȚIILE PUBLICE ȘI PROTECȚIA DATELOR ................................................................. 25
49. Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD)
pe care ar trebui să le cunoască o administrație publică? ....................................................................... 25
50. Cum tratăm solicitările din partea persoanelor fizice? ................................................................ 26
51. Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor? 27
OBLIGAȚII ..................................................................................................................................................... 27
Operator/persoana împuternicită de operator ............................................................................................. 27
52. Ce este un operator de date sau o persoană împuternicită de operator? ................................... 27
53. Poate altcineva să prelucreze datele în numele organizației mele? ............................................. 28
54. Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează
societatea/organizația mea? ........................................................................................................................ 29
55. Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod
implicit”? ...................................................................................................................................................... 30
56. Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări? . 30
57. Când este necesară o evaluare a impactului asupra protecției datelor (EIPD)? ....................... 31
Responsabilii cu protecția datelor .................................................................................................................. 32
58. Este obligată societatea/organizația mea să aibă un responsabil cu protecția datelor (RPD)? 32
59. Ce responsabilități are un responsabil cu protecția datelor (RPD)? .......................................... 32
60. Ce norme se aplică dacă organizația mea transferă date în afara UE? ...................................... 33
61. Cum pot demonstra că organizația mea se conformează la RGPD? .......................................... 34
RELAȚIILE CU CETĂȚENII ....................................................................................................................... 35
62. Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile
privind protecția datelor? ........................................................................................................................... 35
63. Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere? ............... 35
64. Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere
acest lucru?................................................................................................................................................... 36
65. Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către
societatea mea? ............................................................................................................................................ 36
66. Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație? ......................... 37
67. Există restricții privind utilizarea proceselor decizionale automate? ......................................... 38
APLICAREA LEGII ȘI SANCȚIUNI ........................................................................................................... 39
68. Ce se întâmplă dacă societatea mea prelucrează date în diferite state membre ale UE?.......... 39
69. Ce se întâmplă dacă societatea/organizația mea nu respectă normele privind protecția
datelor? ......................................................................................................................................................... 39
3
70. Ce constituie prelucrare de date?................................................................................................... 40
DREPTURI PENTRU CETĂȚENI ............................................................................................................... 41
Cum îmi sunt protejate datele cu caracter personal? .................................................................................. 41
71. Cum sunt protejate datele privind confesiunea mea religioasă/orientarea mea
sexuală/sănătatea mea/opiniile mele politice? ........................................................................................... 41
72. Pot fi colectate date cu caracter personal despre copii?............................................................... 41
73. Mă poate obliga angajatorul să îmi dau consimțământul pentru utilizarea datelor mele cu
caracter personal?........................................................................................................................................ 42
74. Cum ar trebui solicitat consimțământul meu? ............................................................................. 43
75. Ce se întâmplă dacă datele pe care le-am transmis sunt dezvăluite?.......................................... 43
DREPTURILE MELE .................................................................................................................................... 44
76. Ce drepturi am? ............................................................................................................................... 44
77. Ce informații ar trebui să primesc când furnizez datele mele cu caracter personal? ............... 45
78. Cum pot accesa datele mele cu caracter personal pe care le deține o companie/organizație? . 45
79. Datele mele sunt incorecte: le pot corecta? ................................................................................... 46
80. Pot cere unei societăți/organizații să îmi trimită datele mele cu caracter personal ca să le pot
utiliza în altă parte?..................................................................................................................................... 46
81. Pot cere unei societăți/organizații să nu mai prelucreze datele mele cu caracter personal? .... 47
82. Pot cere unei societăți/organizații să șteargă datele mele cu caracter personal? ....................... 47
83. Când ar trebui să îmi exercit dreptul la restricționarea prelucrării datelor mele cu caracter
personal? ...................................................................................................................................................... 48
84. Pot face obiectul unui proces decizional individual automatizat, inclusiv al creării de profiluri?
49
CĂI DE ATAC ................................................................................................................................................. 50
85. Ce ar trebui să fac în cazul în care cred că nu mi-au fost respectate drepturile privind
protecția datelor cu caracter personal? ..................................................................................................... 50
86. Poate o organizație neguvernamentală (un ONG) să îmi apere drepturile în numele meu? .... 50
87. Pot solicita despăgubiri? ................................................................................................................. 51
4
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU
CARACTER PERSONAL
Întrebări Frecvente
1. Ce înseamnă operator de date cu caracter personal?
Potrivit art. 4 din Regulamentul general privind protecția datelor, „operator” înseamnă persoana
fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele,
stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și
mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile
specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern”.
2. Ce înseamnă operatori asociați?

Potrivit art. 26 din Regulamentul (UE) 2016/679, în cazul în care doi sau mai mulți operatori
stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-
un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin
în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate
și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și 14, prin intermediul unui
acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în
dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să desemneze un punct de
contact pentru persoanele vizate.
3. Ce înseamnă persoană împuternicită de operator?

Potrivit art. 4 din Regulamentul (UE) 2016/679, persoana împuternicită de operator înseamnă
persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu
caracter personal în numele operatorului.
4. Este necesar să mai notific prelucrările de date?

Având în vedere faptul că începând din data de 25 mai se aplică Regulamentul UE 2016/679
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind
libera circulație a acestor date și de abrogare a Directivei 95/46/CE, operatorii nu mai au obligația de
notificare a prelucrărilor de date.
5. Ce înseamnă autorități și organisme publice?

Autoritățile și organismele publice sunt: Camera Deputaților și Senatul, Administrația
Prezidențială, Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale,
autoritățile și instituțiile publice autonome, autoritățile administrației publice locale și deja nivel
județean, alte autorități publice, precum și instituțiile din Subordinea/coordonarea acestora; de asemenea,
sunt assimilate autorităților/organismelor publice și unitățile de cult și asociațiile și fundațiile de utilitate
publică potrivit art. 2 alin. (1) lit. a din Legea nr. 190/2018 privind măsuri de punere în aplicare a
Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind
protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera
circulaţie a acestor date şi de abrogare a Directivei 95/46/CE)
5
6. Ce obligaţii am în calitate de operator potrivit Regulamentului (UE) 2016/679?
Obligațiile pe care le au operatorii de date cu caracter personal sunt reglementate în Capitolul IV
din Regulamentul 2016/679. Printre principalele obligații ale operatorului în aplicarea Regulamentului
sunt:
 desemnarea unui responsabil cu protecția datelor in conditiile art. 37-39 din Regulament;
 cartografierea prelucrărilor de date cu caracter personal (art. 30 din Regulament) ;
 asigurarea securității datelor (art. 25 și art. 32 din Regulament);
 notificarea încalcărilor de securitate în condițiile art. 33 din Regulament;
 evaluarea impactului asupra protecției datelor si respectarea drepturilor persoanelor fizice (art. 35 din
Regulament).
Pentru mai multe informații puteți accesa Ghidul orientativ de aplicare a Regulamentului general
privind protecția datelor3 emis de Autoritatea Națională de Supraveghere.
7. Când trebuie să desemnez un responsabil cu protecția datelor (DPO)?

Potrivit prevederilor art. 37 alin. (1) din Regulamentul (UE) 2016/679, desemnarea
responsabilului cu protecția datelor se solicită atunci când:
a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care
acționează în exercițiul funcției lor jurisdicționale;
b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni
de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare
periodică și sistematică a persoanelor vizate pe scară largă;
c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în
prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind
condamnări penale și infracțiuni.
Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor4 emis
de Comitetul european pentru protecția datelor.
8. Ce înseamnă prelucrare pe scară largă?

Atunci când se stabilește dacă prelucrarea este efectuată pe scară largă, trebuie să fie luați în
considerare următorii factori:
 numărul persoanelor vizate (ori un număr exact ori un procent din populația relevantă);
 volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
 durata sau permanența activității de prelucrare a datelor;
 suprafața geografică a activității de prelucrare.
9. Ce condiții trebuie să îndeplinească responsabilul cu protecția datelor?

Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a
cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza
capacităţii de a-și îndeplini sarcinile. Nivelul necesar al cunoștințelor de specialitate trebuie să fie stabilit
în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele
cu caracter personal prelucrate.
3
https://www.dataprotection.ro/servlet/ViewDocument?id=1425
4
5
idem
6
10. Se poate desemna un singur responsabil cu protecția datelor pentru un grup de

întreprinderi sau pentru mai multe autorități sau organisme publice?
Art. 37 alin. (2) din Regulamentul (UE) 2016/679 permite unui grup de întreprinderi să numească
un responsabil cu protecția datelor unic, cu condiția ca acesta să fie „ușor accesibil din fiecare
întreprindere”. Noțiunea de accesibilitate se referă la sarcinile responsabilului cu protecția datelor ca
punct de contact în ceea ce privește persoanele vizate, autoritatea de supraveghere, dar și pe plan intern
în cadrul organizației, având în vedere că una dintre sarcinile responsabilului este de informare și
consiliere a operatorului și persoanei împuternicite de operator, precum și a angajaților care se ocupă de
prelucrarea cu privire la obligațiile care le revin în temeiul Regulamentului (UE) 2016/679.
Art. 37 alin. (3) din Regulamentul (UE) 2016/679 permite, de asemenea, desemnarea unui
responsabil cu protecția datelor unic pentru mai multe autorități sau organisme publice, luând în
considerare structura organizatorică și dimensiunea acestora.
Operatorul sau persoana împuternicită de operator are obligația de a publica datele de contact ale
resonsabilului cu protecția datelor și de a le comunica autorității de supraveghere.
11. Cum comunic responsabilul cu protecția datelor autorității de supraveghere?

Comunicarea responsabilului cu protecția datelor se realizează prin completarea formularului de
declarare a responsabilului cu protecția datelor existent pe site-ul autorității la Secțiunea „Responsabilul
cu protecția datelor”.
În situația în care grup de întreprinderi sau mai multe autorități sau organisme publice
desemnează un responsabil cu protecția datelor unic, fiecare operator sau persoană împuternicită va
completa formularul de declarare a responsabilului cu protecția datelor existent pe site-ul autorității la
Secțiunea „Responsabilul cu protecția datelor”.
12. Când nu se aplică Regulamentul (UE) 2016/679?

Regulamentul (UE) 2016/679 nu se aplică prelucrării datelor cu caracter personal:
 în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
 de către statele membre atunci când desfășoară activități legate de politica externă și de securitatea
comună a Uniunii;
 de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
 de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a
infracțiunilor, al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa
siguranței publice și al prevenirii acestora; acestea sunt reglementate de Directiva (UE) 2016/680 a
Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice
referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul
prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și
privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.
6
idem
7
7
13. Care sunt condițiile legale de prelucrare a datelor cu caracter personal, altele decât cele
speciale?
Potrivit art 6 din Regulamentul (UE) 2016/679 prelucrarea este legală numai dacă și în masura în
care se aplică cel puțin una din condițiile prevăzute la alin. (1):
a) când persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale pentru unul sau mai multe
scopuri specifice;
b) când prelucrarea este necesară pentru exercitarea unui contract la care persoana vizată este parte sau
pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c) când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
d) când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei
persoane fizice;
e) când prelucrarea este necesară pentru îndeplinira unei sarcini care servește unui interes public sau
care rezultă din exercitarea autorității publice cu care este învestit operatorul;
f) când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau o parte terță, cu
excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei
vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este
un copil.
Litera (f) nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor
lor.
14. Care sunt condițiile de prelucrare a categoriilor speciale de date cu caracter personal?
Prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile
politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de
date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind
sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Prelucrarea acestor categorii de date este permisă numai în condițiile prevăzute la art. 9 alin. (2)
din Regulamentul (UE) 2016/679.
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al
Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea
ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare
a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), prevede la art. 3 alin. (1) că
„prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces
decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al
persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu
instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime
ale persoanei vizate”.
15. Dacă prelucrarea este prevăzută de un act normativ, mai este necesar să obțin
consimțământul persoanelor vizate?
Atunci când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului, nu mai este necesară obținerea consimțământului persoanelor vizate.
16. Care sunt condițiile de acordare și valabilitate a consimțământului?

Potrivit art. 7 alin. (1) din Regulament, operatorul trebuie să fie în măsură să demonstreze faptul
că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare a datelor cu caracter
personal.
8
În cazul în care consimțământul persoanei vizate este dat în contextual unei declarații scrise care
se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o
diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un
limbaj clar și simplu.
Art. 7 alin. (3) din Regulament prevede faptul că retragerea consimțământului se face la fel de
simplu ca și acordarea acestuia.
În situația în care consimțământul este retras, operatorul are obligația de a șterge, fără întârzieri
nejustificate, toate datele cu caracter personal ale persoanei vizate care și-a exercitat dreptul prevăzut la
art. 17 alin. (1) lit. b) din Regulament.
Considerentul 32 din Regulamentul (UE) nr. 2016/679 stabilește următoarele: ”Consimțământul
ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică,
în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter
personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar
putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici
pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în
acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.
Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să
constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate
în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri,
consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei
vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie
clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă
consimțământul.”
Pentru mai multe informații puteți accesa Ghidul privind consimțământul8 emis de Comitetul
european pentru protecția datelor.
17. În ce condiții pot prelucra datele cu caracter personal ale copiilor în ceea ce privește oferirea
de servicii ale societății informaționale?
Prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta
de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura
în care consimțământul este acordat sau autorizat de titularul răspunderii părintești asupra copilului.
Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii
părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile (art. 8 din
Regulamentul (UE) 2016/679).
18. Operatorii sunt obligați să țină o evidență a prelucrărilor de date?

Fiecare operator sau persoană împuternicită trebuie să păstreaze, atât în scris cât și în format
electronic, o evidență a activităților de prelucrare. Această evidență trebuie să cuprindă toate informațiile
prevăzute la art. 30 alin. (1) din Regulamentul General de Protecție a Datelor 2016/679.
Alegerea modalităților de a păstra evidența prelucrărilor de date rămâne la latitudinea
operatorilor, ținând cont de activitatea desfășurată până în prezent în domeniul datelor cu caracter
personal.
Evidența prelucrării cuprinde toate următoarele informații:
- numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului
operatorului și ale responsabilului cu protecția datelor;
- scopurile prelucrării;
8
9
- o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv
destinatarii din țări terțe sau organizații internaționale;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație
internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul
transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește
existența unor garanții adecvate;
- acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate
menționate la articolul 32 alineatul (1).
19. Când este necesară efectuarea evaluării de impact?

În cazul în care sunt identificate prelucrări de date cu caracter personal susceptibile de a prezenta
riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul sau persoana împuternicită va
efectua o evaluare a impactului asupra protecţiei datelor, în condiţiile art. 35 din Regulamentul General
privind Protecţia Datelor.
Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter
personal și efectuării prelucrării.
Evaluarea impactului asupra protecției datelor se impune mai ales în cazul:
- unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se
bazează e prelucrare automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc
efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
- prelucrării pe scară largă a unor categorii speciale de date, menționată la art. 9 alin. (1), sau a unor date
cu caracter personal privind condamnări penale și infracțiuni, menționată la art. 10;
- unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Evaluarea conține cel puțin:
- o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv,
după caz, interesul legitim urmărit de operator;
- o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;
- o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la alineatul (1); și
- măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și
mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu
dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor
vizate și ale altor persoane interesate.
Pentru mai multe informații puteți accesa Ghidul privind evaluarea de impact9 emis de Comitetul
european pentru protecția datelor, precum și Ghidul orientativ de aplicare a Regulamentului general
privind protecția datelor10 emis de Autoritatea Națională de Supraveghere.
20. În cât timp notific încălcările de securitate?

Cu excepţia cazului în care este puţin probabil ca o încălcare a securităţii datelor cu caracter
personal să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, operatorul are obligația de
a notifica autorităţii de supraveghere orice încălcare a securităţii datelor, fără întârzieri nejustificate şi,
dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta.
9
10
10
Prin Decizia nr. 128 din 22 iunie 2018 a președintelui Autorității de supraveghere s-a adoptat
formularul tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu
Regulamentul (UE) 2016/679.
Pentru mai multe informații puteți accesa Ghidul privind notificarea încălcărilor de securitate11
emis de Comitetul european pentru protecția datelor.
21. Care sunt drepturile persoanei vizate?

La Capitolul III din Regulamentul (UE) 2016/679 sunt reglementate drepturile persoanei vizate:
 dreptul la informare (art. 13 și art. 14);
 dreptul de acces (art. 15);
 dreptul la rectificare (art. 16);
 dreptul la ștergere („dreptul de a fi uitat” – art. 17);
 dreptul la restricționarea prelucrării (art. 18);
 dreptul la portabilitatea datelor (art. 20 -);
 dreptul la opoziție (art. 21);
 dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată (art. 22 - pentru
mai multe informații puteți accesa);
 dreptul de a depune o plângere la o autoritate de supraveghere (art. 77).
Pentru exercitarea acestor drepturi, este necesar ca persoanele vizate să adreseze o cerere
operatorului în acest sens. Operatorul furnizează persoanei vizate informaţii privind acţiunile întreprinse
în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când
este necesar, ţinându-se seama de complexitatea şi numărul cererilor.
Pentru mai multe informații puteți accesa Ghidul privind dreptul la portabilitatea datelor12 și
Ghidul privind deciziile automate individuale și profilare13.
22. Cum pot formula o plângere la autoritatea de supraveghere?

Pe site-ul autorității de supraveghere www.dataprotection.ro14 este disponibil un formular
electronic de plângere la secțiunea Plângeri.
De asemenea, vă recomandăm să aveți în vedere prevederile Deciziei nr. 133/2018 15 a
președintelui Autorității de supraveghere privind aprobarea Procedurii de primire și soluționare a
plângerilor.
23. Când este admisibilă o plângere?

Potrivit Deciziei nr. 133/2018 și în concordanță cu Legea nr. 102/200516 privind înfiinţarea,
organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter
Personal, cu modificările și completările ulterioare, pentru primirea şi înregistrarea valabilă a plângerilor
este obligatorie furnizarea următoarelor date ale petiţionarului: nume, prenume, adresă poştală de
domiciliu sau de reşedinţă. În cazul în care plângerea este depusă electronic este obligatorie furnizarea
adresei de poştă electronică a petiţionarului.
În cazul plângerilor înaintate prin reprezentant, în afara datelor petiţionarului menţionate la alin.
(1), este obligatorie şi furnizarea următoarelor date ale reprezentantului: nume şi prenume/denumire,
adresă poştală de corespondenţă/sediu, adresă de poştă electronică, număr de telefon, număr de
înregistrare în registrul asociaţiilor şi fundaţiilor, dacă este cazul.
11
12
13
14
https://www.dataprotection.ro/
15
16
11
Pentru primirea şi înregistrarea valabilă a plângerilor este obligatorie furnizarea datelor de
identificare ale operatorului reclamat sau a persoanei împuternicite reclamate, precum nume şi
prenume/denumire, adresă/sediu, sau cel puţin a informaţiilor disponibile deţinute de petiţionar, în
vederea identificării acestora.
Plângerile trimise se semnează olograf sau electronic, iar în cazul petiţiilor trimise electronic care
nu pot fi semnate, ANSPDCP poate solicita confirmarea corectitudinii datelor transmise electronic.
Autoritatea națională de supraveghere informează persoana vizată cu privire la admisibilitatea
plângerii, în termen de cel mult 45 de zile de la înregistrare. În cazul în care se constată că informațiile
din plângere sau documentele transmise sunt incomplete sau insuficiente, Autoritatea națională de
supraveghere solicită persoanei vizate să completeze plângerea pentru a putea fi considerată admisibilă
în vederea efectuării unei investigații. Un nou termen de cel mult 45 de zile curge de la data completării
plângerii.
Autoritatea națională de supraveghere informează persoana vizată în legătură cu evoluția sau cu
rezultatul investigației întreprinse în termen de 3 luni de la data la care s-a comunicat acesteia că
plângerea este admisibilă.
24. Cum se realizează transferul de date în străinătate?

Transferul de date cu caracter personal se poate realiza prin:
- decizii ale Comisiei Europene privind caracterul adecvat al nivelului de protecție asigurat de statul terț;
- clauze standard de protecție a datelor adoptate de Comisie;
- reguli corporatiste obligatorii în conformitate cu art. 47 din Regulament;
- alte modalități prevăzute la art. 46 și art. 49 din Regulament.
25. Ce măsuri trebuie să iau pentru asigurarea securităţii prelucrării datelor cu caracter
personal?
Securitatea datelor cu caracter personal este reglementată la art. 25 și art. 32 din Regulamentul
(UE) 2016/679.
În vederea asigurării unui nivel de securitate corespunzător, operatorul implementează măsuri
tehnice și organizatorice adecvate, incluzând printre altele:
- capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale
sistemelor și serviciilor de prelucrare;
- capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util
în cazul în care are loc un incident de natură fizică sau tehnică;
- un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și
organizatorice pentru a garanta securitatea prelucrării.”
- pseudonimizarea și criptarea datelor cu caracter personal, după caz.
26. Cât timp pot stoca datele cu caracter personal?

Potrivit art. 5 alin. (1) lit. e) din Regulamentul (UE) 2016/679, ”datele cu caracter personal sunt
păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește
perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi
stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare
în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu
articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric
adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei
vizate („limitări legate de stocare”);”
12
Perioada de stocare poate fi stabilită prin acte normative ce reglementează domeniile specifice de
activitate. În măsura în care se impune, este necesară modificarea/completarea acestora astfel încât
normele să fie puse în conformitate cu Regulamentul general privind protecția datelor.
27. Cine acreditează organismele de certificare?

Potrivit art. 11 din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului
(UE) 2016/679, acreditarea organismelor de certificare prevăzute la art. 43 din Regulamentul general
privind protecția datelor se realizează de Asociația de Acreditare din România – RENAR, în calitate de
organism național de acreditare, în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului
European și al Consiliului din 9 iulie 2008, precum și în conformitate cu Ordonanța Guvernului nr.
23/2009 privind activitatea de acreditare a organismelor de evaluare a conformității, aprobată cu
modificări prin Legea nr. 256/2011.
28. Ce ghiduri a emis Comitetul European pentru protecția datelor?

Comitetul european pentru protecția datelor a adoptat și dat publicității, o serie de ghiduri:
 Ghidul privind responsabilul pentru protecția datelor;
 Ghidul privind consimțământul;
 Ghidul privind dreptul la portabilitatea datelor;
 Ghidul privind transparența, Ghidul privind evaluarea de impact;
 Ghidul privind stabilirea autorității de supraveghere principale a operatorului sau a persoanei
împuternicite de operator;
 Ghidul privind notificarea încălcărilor de securitate;
 Ghidul privind deciziile automate individuale și profilare;
 Orientări privind derogările prevăzute la art. 49 din Regulamentul (UE) 2016/679.
Aceste ghiduri pot fi găsite pe adresa de internet a autorității, www.dataprotection.ro, la secțiunea
dedicată Noului Regulament General de Protecția Datelor.
29. Ce ghiduri a emis Autoritatea națională de supraveghere?

Autoritatea națională de supraveghere a pus la dispoziția publicului, Ghidul orientativ de aplicare
a Regulamentului general privind protecția datelor, acesta fiind accesibil la Secțiunea „Noul
Regulament”, pe site-ul Autorității naționale de supraveghere.
13
COMISIA EUROPEANĂ
NORME PENTRU COMPANII ȘI ORGANIZAȚII17

APLICAREA REGULAMENTULUI18
30. Cui i se aplică Regulamentul privind protecția datelor?

Răspuns19
RGDP se aplică în cazul:
 unei societăți sau unei entități care prelucrează date cu caracter personal ca parte a activităților uneia
dintre sucursalele sale cu sediul în UE, indiferent unde are loc prelucrarea datelor; sau
 unei societăți care are sediul în afara UE și oferă bunuri/servicii (contra cost sau gratuit) sau
monitorizează comportamentul unor persoane fizice din UE.
În cazul în care societatea dvs. este o întreprindere mică sau mijlocie (IMM) care prelucrează date
conform descrierii de mai sus, trebuie să respectați RGDP. Cu toate acestea, dacă prelucrarea datelor cu
caracter personal nu constituie o parte esențială a derulării activităților comerciale, iar activitatea dvs. nu
creează riscuri pentru persoanele fizice, atunci nu vi se aplică unele obligații din RGPD [de exemplu,
numirea unui responsabil cu protecția datelor (RPD)]. Rețineți că „activitățile principale” ar trebui să
includă activități în cadrul cărora prelucrarea de date reprezintă o parte inseparabilă a activității
operatorului sau a persoanei împuternicite de operator.
Exemple
Când se aplică RGPD
Societatea dvs. este o societate mică din domeniul învățământului superior, cu activitate online și sediu
în afara UE. Aceasta vizează în principal universitățile de limbă spaniolă și portugheză din UE. Ea oferă
consultanță gratuită cu privire la mai multe cursuri universitare, iar studenții au nevoie de un nume de
utilizator și o parolă pentru a accesa materialele dvs. online. Societatea alocă numele de utilizator și parola
după ce studenții completează un formular de înscriere.
Când nu se aplică RGPD
Societatea dvs. este un furnizor de servicii cu sediul în afara UE. Ea oferă servicii unor clienți din afara
UE. Clienții dvs. pot utiliza aceste servicii când călătoresc în alte țări, inclusiv pe teritoriul UE. Atât timp
cât serviciile prestate de societatea dvs. nu se adresează în mod specific persoanelor fizice din UE,
societatea nu face obiectul normelor RGPD.
31. Se aplică normele în cazul IMM-urilor?

Răspuns20
Da, aplicarea regulamentului privind protecția datelor nu depinde de mărimea
societății/organizației dvs., ci de natura activităților pe care le desfășurați. Activitățile care prezintă
riscuri ridicate pentru drepturile și libertățile persoanelor fizice, indiferent dacă sunt desfășurate de către
un IMM sau de către o corporație, atrag aplicarea unor norme mai stringente. Cu toate acestea, unele
obligații prevăzute de RGPD nu li se aplică tuturor IMM-urilor.
De exemplu, societățile cu mai puțin de 250 de angajați nu au obligația să păstreze evidențe ale
activităților lor de prelucrare decât dacă prelucrarea datelor cu caracter personal este o activitate regulată,
reprezintă o amenințare la adresa drepturilor și a libertăților persoanelor fizice sau se referă la date
sensibile ori la caziere judiciare.
17
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_ro
18
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation_ro
19
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-
apply_ro
20
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-rules-apply-smes_ro
14
Tot astfel, IMM-urile au obligația de a numi un responsabil cu protecția datelor numai dacă
prelucrarea reprezintă activitatea lor principală și dacă aceasta implică anumite amenințări la adresa
drepturilor și a libertăților persoanelor fizice (cum ar fi monitorizarea persoanelor fizice sau prelucrarea
unor date sensibile ori a unor caziere judiciare), în special pentru că se desfășoară la scară largă.
32. Normele de protecție a datelor se aplică datelor referitoare la societăți?

Răspuns21
Nu, normele se aplică numai datelor cu caracter personal privind persoanele fizice și nu
reglementează datele referitoare la societăți sau la alte entități juridice. Cu toate acestea, informațiile
legate de societăți alcătuite dintr-o singură persoană pot constitui date cu caracter personal dacă permit
identificarea unei persoane fizice. Normele se aplică, de asemenea, tuturor datelor cu caracter personal
referitoare la persoane fizice în cadrul unei activități profesionale, cum ar fi angajații unei
societăți/organizații, precum adresele de e-mail de afaceri ca „prenume.nume@societate.eu” sau
numerele de telefon ale angajaților.
Referințe
Articolele 1, 2 și 3 și considerentele (13), (14), (15), (18), (19) și (21) ale RGPD
A se vedea Hotărârea Curții de Justiție din 9 martie 2017, Manni, C-398/15, ECLI:EU:C:2017:197*
PRINCIPIILE RGPD22
33. Ce date pot fi prelucrate și în ce condiții?

Răspuns23
Tipul și cantitatea de date cu caracter personal pe care societatea/organizația are dreptul să le
prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic în cauză) și de scopul în care
sunt prelucrare. Societatea/organizația trebuie să respecte mai multe norme-cheie, inclusiv următoarele:
 datele cu caracter personal trebuie prelucrate într-un mod legal și transparent, garantând echitatea în
ceea ce privește persoanele fizice ale căror date cu caracter personal sunt prelucrate („legalitate,
echitate și transparență”);
 trebuie să existe scopuri specifice ale prelucrării datelor și societatea/organizația trebuie să informeze
persoanele fizice în legătură cu scopurile respective atunci când le colectează date cu caracter
personal. Societatea/organizația nu poate colecta pur și simplu date cu caracter personal în scopuri
nedefinite („limitări legate de scop”);
 societatea/organizația trebuie să colecteze și să prelucreze numai acele date cu caracter personal care
sunt necesare pentru îndeplinirea scopului respectiv („reducerea la minimum a datelor”);
 societatea/organizația trebuie să se asigure că datele cu caracter personal sunt exacte și actualizate,
având în vedere scopurile pentru care sunt prelucrate, și să fie corectate în caz contrar („exactitate”);
 societatea/organizația nu are dreptul să utilizeze datele cu caracter personal în alte scopuri care nu
sunt compatibile cu scopul inițial;
 societatea/organizația trebuie să se asigure că datele cu caracter personal nu sunt stocate mai mult
timp decât este necesar pentru scopurile în care au fost colectate („limitări legate de stocare”);
 societatea/organizația trebuie să prevadă garanții tehnice și organizaționale adecvate care să asigure
securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau
21
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-
data-about-company_ro
22
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr_ro
23
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/what-data-can-we-process-and-under-
which-conditions_ro
15
ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri
tehnologice adecvate („integritate și confidențialitate”).
Exemplu
Societatea/organizația dvs. administrează o agenție de turism. Când obțineți date cu caracter personal
ale clienților dvs., ar trebui să le explicați într-un limbaj clar și simplu de ce aveți nevoie de datele
respective, cum le veți utiliza și cât timp intenționați să le păstrați. Prelucrarea ar trebui adaptată la
principiile-cheie de protecție a datelor.
Referințe
Articolul 5 alineatul (1) și considerentul (39) al RGPD
Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate de scop (WP 203)
SCOPUL PRELUCRĂRII DATELOR24

34. Pot fi prelucrate datele în orice scop?
Răspuns25
Nu. Scopul în care sunt prelucrate datele cu caracter personal trebuie cunoscut, iar persoanele
fizice ale căror date le prelucrați trebuie informate. Nu puteți menționa pur și simplu că se vor colecta și
prelucra date cu caracter personal. Acesta este principiul „limitărilor legate de scop”.
Referințe
Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate de scop (WP 203)
35. Putem folosi date în alt scop?

Răspuns26
Da, dar numai în unele cazuri. Dacă societatea/organizația dvs. a colectat date în baza unui interes
legitim, a unui contract sau a unor interese vitale, le puteți folosi în alt scop, dar numai după ce vă
asigurați că noul scop este compatibil cu scopul inițial.
Trebuie luate în considerare următoarele aspecte:
 legătura dintre scopul inițial și scopul nou/viitor;
 contextul în care au fost colectate datele (care este relația dintre societatea/organizația dvs. și
persoana fizică în cauză?);
 tipul și natura datelor (sunt acestea sensibile?);
 posibilele consecințe ale prelucrării ulterioare preconizate (cum vor influența acestea persoana fizică
în cauză?);
 existența unor garanții adecvate (cum ar fi criptarea sau pseudonimizarea).
Dacă societatea/organizația dvs. dorește să utilizeze datele pentru statistici sau pentru cercetare,
nu este obligatoriu să testeze compatibilitatea.
Dacă societatea/organizația dvs. a colectat date în temeiul unui consimțământ sau al unei cerințe
legislative, nu este posibilă nicio prelucrare ulterioară care depășește domeniile acoperite de
consimțământul inițial sau de dispoziția legislativă. Prelucrarea ulterioară ar necesita obținerea unui nou
consimțământ sau un nou temei juridic.
Exemple
Este posibilă prelucrarea ulterioară
O bancă are un contract cu un client pentru a-i oferi clientului un cont bancar și un împrumut de nevoi
personale. La sfârșitul primului an, banca utilizează datele cu caracter personal ale clientului pentru a
verifica dacă acesta este eligibil pentru un tip de împrumut mai avantajos și pentru un sistem de economii.
24
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing_ro
25
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-data-be-
processed-any-purpose_ro
26
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-
data-another-purpose_ro
16
Banca informează clientul. Banca poate prelucra din nou datele clientului, deoarece noile scopuri sunt
compatibile cu scopul inițial.
Nu este posibilă prelucrarea ulterioară
Aceeași bancă dorește să transmită datele clientului unor firme de asigurări, în temeiul aceluiași
contract pentru constituirea unui cont bancar și acordarea unui împrumut de nevoi personale. Această
prelucrare nu este permisă fără consimțământul explicit al clientului, deoarece scopul nu este compatibil
cu scopul inițial în care au fost prelucrate datele.
Referințe
Articolul 5 alineatul (1) litera (b), articolul 6 alineatul (4) și articolul 89 alineatul (1); considerentele (39)
și (50) ale RGPD
Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate de scop, 2 aprilie 2013 (WP
203)
36. Cât de multe date se pot colecta?

Răspuns27
Datele cu caracter personal ar trebui prelucrate numai atunci când nu este posibilă în mod
rezonabil efectuarea prelucrării în alt mod. Dacă este posibil, este preferabil să se utilizeze date anonime.
În cazul în care sunt necesare date cu caracter personal, acestea ar trebui să fie adecvate, relevante și
limitate la ceea ce este necesar în scopul respectiv („reducerea la minimum a datelor”). În calitate de
operator, societății/organizației dvs. îi revine responsabilitatea de a evalua ce volum de date este necesar
și de a se asigura că nu se colectează date irelevante.
Exemplu
Societatea/organizația dvs. oferă persoanelor fizice servicii de partajare a autoturismelor. Pentru
aceste servicii poate avea nevoie de numele, adresa și numărul cardului de credit al clienților și, poate,
chiar de informații privind o eventuală dizabilitate de care suferă persoana în cauză (așadar, date privind
sănătatea), dar nu și de originea rasială a clienților.
Referințe
Articolul 5 alineatul (1) litera (c) și considerentul (39) al RGPD
37. Cât timp pot fi păstrate datele și se impune actualizarea lor?

Răspuns28
Trebuie să stocați datele pentru o perioadă cât mai scurtă posibil. Perioada ar trebui să țină seama
de motivele pentru care societatea/organizația dvs. trebuie să prelucreze datele, precum și de eventuale
obligații juridice de a păstra datele o perioadă fixă de timp (de exemplu, legile privind ocuparea forței de
muncă, legile fiscale sau legile antifraudă naționale care vă impun păstrarea datelor cu caracter personal
despre angajații dvs. pentru o perioadă determinată, durata garanției produselor etc.).
Societatea/organizația dvs. ar trebui să stabilească termene pentru ștergerea sau revizuirea datelor
stocate.
Ca excepție, datele cu caracter personal pot fi păstrate o perioadă mai îndelungată în scopuri de
arhivare în interes public ori în scopuri de cercetare științifică sau istorică, cu condiția să fie puse în
aplicare măsuri de ordin tehnic și organizatoric adecvate (precum anonimizare, criptare etc.).
De asemenea, societatea/organizația dvs. trebuie să se asigure că datele pe care le deține sunt
exacte și să le actualizeze.
Exemplu
Date păstrate prea mult timp fără actualizare
27
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/how-much-data-can-be-collected_ro
28
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/how-long-can-data-be-kept-and-it-
necessary-update-it_ro
17
Societatea/organizația dvs. administrează un birou de recrutări și, în acest scop, colectează CV-uri ale
unor persoane dornice de angajare, care, în schimbul serviciilor dvs. de intermediere, vă plătesc o taxă.
Intenționați să păstrați datele timp de 20 de ani și nu aveți măsuri de actualizare a CV-urilor. Perioada de
stocare nu pare proporțională cu scopul de a găsi un loc de muncă pentru o persoană pe termen scurt până
la mediu. Mai mult, faptul că nu cereți actualizări ale CV-urilor la intervale regulate face ca unele căutări
să fie inutile pentru persoana care caută un loc de muncă după o anumită perioadă de timp (de exemplu,
pentru că persoana respectivă a dobândit calificări noi).
Referințe
Articolul 5 alineatul (1) litera (e) și considerentul (39) al RGPD
38. Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate?
Răspuns29
În momentul în care colectați datele, persoanele trebuie clar informate cel puțin despre:
 cine este societatea/organizația dvs. (datele de contact ale dvs. și ale eventualului RPD al dvs., dacă
este cazul);
 la ce va folosi societatea/organizația dvs. datele cu caracter personal ale acestora (scopurile);
 categoriile de date cu caracter personal în cauză;
 justificarea juridică a prelucrării datelor;
 cât timp vor fi păstrate datele;
 cine altcineva le-ar putea primi;
 dacă datele cu caracter personal ale acestor oameni vor fi transferate către un destinatar din afara UE;
 că aceștia au dreptul la o copie a datelor (dreptul de a accesa datele cu caracter personal) și alte
drepturi de bază în domeniul protecției datelor (consultați lista completă a drepturilor);
 dreptul de a depune o plângere în fața unei autorități de protecție a datelor (APD);
 dreptul de a-și retrage consimțământul în orice moment;
 eventuala existență a unui proces decizional automatizat și logica utilizată, inclusiv consecințele
acestui fapt.
Consultați lista completă a informațiilor care trebuie furnizate (Art. 13 GDPR).
Aceste informații trebuie furnizate în scris, oral la solicitarea persoanei vizate, dacă identitatea
acesteia a fost dovedită prin alte mijloace, sau prin mijloace electronice atunci când este oportun.
Societatea/organizația dvs. trebuie să furnizeze informațiile într-un mod concis, transparent, inteligibil și
ușor accesibil, într-un limbaj clar și simplu și în mod gratuit.
Când datele sunt obținute de la o altă societate/organizație, societatea/organizația dvs. ar trebui
să îi furnizeze persoanei informațiile menționate mai sus în termen de o lună de la momentul la care
societatea/organizația dvs. a obținut datele cu caracter personal; sau, în cazul în care
societatea/organizația dvs. comunică cu persoana fizică, în momentul în care datele sunt utilizate pentru
comunicarea cu aceasta; sau, dacă se intenționează divulgarea datelor către o altă societate, la data la care
datele cu caracter personal au fost divulgate pentru prima oară.
De asemenea, societatea/organizația dvs. are obligația de a informa persoana fizică în legătură cu
categoriile de date și cu sursa din care a obținut datele, inclusiv dacă au fost obținute din surse disponibile
public. În anumite situații enumerate la articolul 13 alineatul (4) și la articolul 14 alineatul (5) din RGPD,
societatea/organizația dvs. poate fi scutită de obligația de a informa persoana fizică. Vă rugăm să
verificați dacă această excepție se aplică societății/organizației dvs.
Referințe
Articolul 12 alineatele (1), (5) și (7), articolele 13 și 14 și considerentele (58)-(62) ale RGPD
Orientările Grupului de lucru al articolului 29 privind transparența
29
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/what-information-must-be-given-
individuals-whose-data-collected_ro
18
TEMEIUL JURIDIC AL PRELUCRĂRII DATELOR30
Motivele prelucrării31
39. Când pot fi prelucrate date cu caracter personal?

Răspuns32
Societatea/organizația dvs. poate prelucra date cu caracter personal numai în situațiile următoare:
 cu consimțământul persoanelor fizice în cauză;
 când există o obligație contractuală (un contract între societatea/organizația dvs. și un client);
 pentru a respecta o obligație legală (prevăzută în legislația UE sau în legislația națională);
 când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public
(prevăzute în legislația UE sau în legislația națională);
 pentru a proteja interesele vitale ale unei persoane fizice;
 în scopul intereselor legitime ale organizației dvs., dar numai după ce v-ați asigurat că acest lucru nu
are un impact grav asupra drepturilor și a libertăților fundamentale ale persoanei ale cărei date le
prelucrați. Dacă drepturile persoanei respective prevalează în raport cu interesele dvs., prelucrarea
nu poate fi efectuată în temeiul unui interes legitim. Stabilirea aspectului dacă societatea/organizația
dvs. are interese legitime privind prelucrarea în raport cu cele ale persoanelor în cauză depinde de
circumstanțele individuale.
Exemple
Consimțământul
Societatea/organizația dvs. oferă o aplicație de muzică și solicitați consimțământul cetățenilor pentru
a le prelucra preferințele muzicale, cu scopul de a le oferi sugestii personalizate privind melodiile și
eventuale concerte.
Obligație contractuală
Societatea/organizația dvs. vinde produse online. Aceasta poate prelucra datele care sunt necesare
pentru a parcurge etapele premergătoare încheierii contractului la solicitarea persoanei respective și pentru
executarea contractului. Așadar, puteți prelucra numele, adresa de livrare, numărul cardului de credit (dacă
plata se efectuează cu cardul) etc.
Obligație legală
Sunteți proprietarul unei societăți cu angajați. Pentru a obține acoperire în materie de securitate socială,
legea vă obligă să furnizați autorității relevante date cu caracter personal (de exemplu, venitul săptămânal
al angajaților dvs.).
Interes public
Exemplu: o asociație profesională, cum ar fi o asociație de tip barou sau o cameră a profesioniștilor
din domeniul medical învestită cu o autoritate oficială în acest scop, poate efectua proceduri disciplinare
împotriva unor membri ai săi.
Interesele vitale ale unei persoane
Un spital tratează un pacient după un accident rutier grav; spitalul nu are nevoie de consimțământul
acestuia pentru a-i căuta actul de identitate și a verifica dacă persoana respectivă se află în baza sa de date,
pentru a-i găsi fișa medicală sau a-i contacta rudele cele mai apropiate.
Interesele legitime ale organizației dvs.
Societatea/organizația dvs. asigură securitatea rețelei sale, monitorizează utilizarea dispozitivelor
de TI ale angajaților săi. Societatea/organizația dvs. poate prelucra în mod legitim date cu caracter
personal în acest scop numai dacă alegeți metoda cel mai puțin intruzivă în ceea ce privește drepturile
angajaților dvs. la protejarea confidențialității și a datelor, de exemplu, limitând accesibilitatea anumitor
30
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data_ro
31
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing_ro
32
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-
processing/when-can-personal-data-be-processed_ro
19
site-uri (Rețineți că acest lucru nu este posibil în statele membre UE în care legislația națională stabilește
norme mai stricte pentru prelucrarea în contextul legat de forța de muncă.)
Referințe
Articolul 6 și considerentele (40)-(49) ale RGPD
Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de interese legitime ale
operatorului de date în temeiul articolului 7 din Directiva 95/46/CE
40. Ce înseamnă „temeiul unui interes legitim”?

Răspuns33
În calitate de societate/organizație, aveți adesea nevoie să prelucrați date cu caracter personal
pentru a îndeplini sarcini legate de activitățile dvs. de afaceri. Prelucrarea datelor cu caracter personal în
acest context poate să nu fie neapărat justificată de o obligație legală sau de obligația de executare a
termenelor unui contract cu o persoană fizică. Prin urmare, în astfel de cazuri prelucrarea datelor poate
fi justificată pe „interese legitime”.
Societatea/organizația dvs. trebuie să informeze persoanele în cauză cu privire la prelucrare în
momentul în care sunt colectate datele lor cu caracter personal.
De asemenea, societatea/organizația dvs. trebuie să se asigure că, urmărindu-și interesele
legitime, nu afectează în mod grav drepturile și libertățile persoanelor fizice în cauză; în caz contrar,
societatea/organizația dvs.nu se poate baza pe interese legitime ca justificare a prelucrării datelor și
trebuie găsit un alt temei juridic.
Exemplu
Societatea/organizația dvs. are un interes legitim când prelucrarea are loc în cadrul relației cu un
client, când prelucrează date cu caracter personal în scopuri de marketing direct, pentru a preveni frauda
sau pentru a asigura securitatea rețelei și a informațiilor în sistemele dvs. informatice.
Referințe
Articolul 6 și considerentele (47), (48) și (49) ale RGPD
41. Când este valabil consimțământul?

Răspuns34
Când este necesar consimțământul pentru prelucrarea datelor cu caracter personal, trebuie
întrunite mai multe condiții pentru ca acest consimțământ să fie valabil:
 acesta trebuie să fie liber exprimat;
 trebuie să fie acordat în cunoștință de cauză;
 trebuie acordat pentru un scop specific;
 toate motivele prelucrării trebuie precizate clar;
 trebuie să fie explicit și acordat printr-un act pozitiv (de exemplu, o căsuță pe care persoana fizică
trebuie să o bifeze explicit online sau o semnătură pe un formular);
 trebuie să folosească un limbaj clar și simplu și să fie clar vizibil;
 consimțământul poate fi retras, iar acest lucru trebuie să fie explicat (de exemplu, un link pentru
dezabonare la sfârșitul unui e-mail care conține un buletin informativ electronic).
Pentru a fi acordat în mod liber consimțământul, persoana fizică trebuie să aibă libertatea de a
alege și trebuie să poată să refuze sau să își retragă consimțământul fără a fi pusă în dezavantaj.
33
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-
does-grounds-legitimate-interest-mean_ro
34
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-
processing/when-consent-valid_ro
20
Consimțământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana
fizică și societate/organizație (de exemplu, relația angajator-angajat) sau atunci când o
societate/organizație le solicită persoanelor fizice să aprobe prelucrarea unor date cu caracter personal
care nu sunt necesare ca o condiție pentru executarea unui contract sau a unui serviciu.
Pentru ca o persoană să își dea consimțământul în cunoștință de cauză, acesteia trebuie să i se
ofere cel puțin următoarele informații:
 informații privind identitatea organizației care prelucrează datele;
 informații privind scopurile în care sunt prelucrate datele;
 informații privind tipul de date care se va prelucra;
 posibilitatea de retragere a consimțământului dat (exemplu: un link pentru dezabonare la sfârșitul
unui e-mail);
 dacă este cazul, informații privind faptul că datele vor fi utilizate pentru luarea de decizii bazate
exclusiv pe prelucrarea automată, inclusiv crearea de profiluri;
 în cazul în care consimțământul se referă la un transfer internațional, informații privind riscurile
posibile ale transferurilor de date în țări terțe care nu fac obiectul unei decizii a Comisiei privind
caracterul adecvat și nu există garanții adecvate.
Rețineți: în cazul în care cineva își dă consimțământul privind prelucrarea datelor sale cu caracter
personal, puteți prelucra datele numai în scopurile pentru care a fost dat consimțământul.
Exemplu
Consimțământ liber exprimat
Sunteți o companie aeriană, iar anunțul dvs. referitor la confidențialitate precizează că datele cu
caracter personal ale clienților pot fi prelucrate pentru un concurs organizat de compania aeriană, care oferă
ca premiu un bilet gratuit. Clienții care au bifat căsuța pentru a-și exprima acordul privind participarea la
concurs au semnalat în mod clar dorința ca datele cu caracter personal să fie prelucrate în scopul
concursului. Există astfel un consimțământ pentru prelucrarea datelor în scopul concursului, dar nu în alte
scopuri.
Consimțământ care nu este liber exprimat
Societatea/organizația dvs. oferă servicii de filme online. Când colectați datele necesare pentru acest
contract, solicitați și date suplimentare, cum ar fi orientarea sexuală sau convingerile politice ale unei
persoane. Persoana respectivă poate să creadă că trebuie să își dea consimțământul privind prelucrarea
datelor de acest tip pentru a putea accesa filmele pe care le solicită. În acest caz, consimțământul nu este
liber, ci este un „consimțământ constrâns”.
Referințe
Articolul 4 punctul 11și articolul 7 și considerentele (32), (42) și (43) ale RGPD
Avizul Grupului de lucru al articolului 29 privind consimțământul, adoptat în 28 noiembrie 2017
42. Consimțământul acordat înainte de 25 mai 2018 continuă să fie valabil după această dată,
când RGPD începe să fie aplicat?
Răspuns35
În cazul în care consimțământul acordat de către o persoană anterior Regulamentului general
privind protecția datelor (RGPD) întrunește condițiile RGPD, nu este necesar să solicitați din nou
consimțământul persoanei fizice. Societatea/organizația dvs. trebuie să se asigure că acel consimțământ
acordat înainte de aplicarea RGPD întrunește condițiile stabilite în RGPD.
Exemple
Nu este necesar un consimțământ nou
RGPD va începe să se aplice la 25 mai 2018. Societatea/organizația dvs. și-a revizuit de curând politica
privind confidențialitatea. Ați verificat dacă consimțământul a fost obținut în scris în cadrul organizației
35
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/does-
consent-given-25-may-2018-continue-be-valid-once-gdpr-starts-apply-25-may-2018_ro
21
dvs. și dacă a respectat toate cerințele RGPD. În acest caz, nu este nevoie să solicitați din nou
consimțământul clienților dvs. în mai 2018.
Este necesară obținerea unui nou consimțământ
Societatea/organizația dvs. a obținut consimțământul clienților cu câțiva ani în urmă, folosind un
sistem de căsuțe bifate în prealabil online. Acum este clar că acest mod de a obține consimțământul nu va
fi valabil începând cu data de 25 mai 2018. Societatea/organizația dvs. va trebui să obțină din nou
consimțământul dacă dorește să prelucreze în continuare datele.
Referințe
Articolul 4 punctul 11 și articolul 7 și considerentul (171) al RGPD
Avizul Grupului de lucru al articolului 29 privind consimțământul, adoptat în 28 noiembrie 2017
43. Ce se întâmplă dacă o persoană își retrage consimțământul?

Răspuns36
Retragerea consimțământului ar trebui să se poată realiza la fel de ușor ca și acordarea acestuia.
Dacă se retrage consimțământul, societatea/organizația dvs. nu mai poate prelucra datele. Odată retras
consimțământul, societatea/organizația dvs.trebuie să se asigure că datele sunt șterse, dacă nu există un
alt temei juridic al prelucrării (de exemplu, cerințe privind stocarea sau faptul că prelucrarea este necesară
pentru îndeplinirea contractului).
Dacă datele se prelucrau în mai multe scopuri, societatea/organizația dvs. nu mai poate utiliza
datele cu caracter personal pentru acea parte a prelucrării pentru care a fost retras consimțământul și nici
pentru vreun alt scop, în funcție de natura retragerii consimțământului.
Exemplu
Furnizați un buletin informativ online. Clientul dvs. își dă consimțământul pentru a se abona la
buletinul informativ online, permițându-vă să prelucrați toate datele în interesul său pentru a construi un
profil al tipurilor de articole pe care le consultă. Un an mai târziu, clientul vă informează că nu mai
dorește să primească buletinul informativ online. Trebuie să ștergeți din baza dvs. de date toate datele cu
caracter personal referitoare la persoana respectivă culese în contextul abonării la buletinul informativ,
inclusiv profilul (profilurile) referitoare la persoana respectivă.
Referințe
Articolul 7 și considerentele (32), (33), (42), (43) și (58) ale RGPD
Avizul 15/2011 al Grupului de lucru al articolului 29 privind definiția consimțământului (de actualizat
prin avizul adoptat în data de 28 noiembrie 2017)
44. Cum se obține consimțământul pentru prelucrare în cercetări științifice?

Răspuns37
Este permisă o oarecare flexibilitate în ceea ce privește gradul de specificație și granularitatea
consimțământului în contextul cercetărilor științifice. Când colectează date cu caracter personal, este
posibil ca cercetătorii să nu poată identifica pe deplin scopurile prelucrării acestora. În aceste cazuri, ei
le pot solicita persoanelor fizice să își dea consimțământul pentru anumite domenii de cercetare științifică
sau pentru anumite părți ale proiectelor de cercetare. Consimțământul trebuie să își păstreze în orice caz
elementele de bază: să fie liber exprimat, în cunoștință de cauză, solicitat printr-o acțiune fără echivoc și
să fie specific măsurii permise de cercetarea în cauză. Cercetătorii trebuie să se asigure că respectă, de
asemenea, standardele etice și metodologice impuse în domeniul lor.
Exemplu
36
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-
if-somebody-withdraws-their-consent_ro
37
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/how-
consent-processing-scientific-research-obtained_ro
22
Un grup de cercetători dorește să studieze o anumită formă de cancer, dar sunt conștienți de
posibilele implicații pentru alte forme de cancer. În acest caz, aceștia pot solicita consimțământul unei
persoane pentru prelucrarea datelor în legătură cu cercetarea în domeniul cancerului.
Referință
Considerentul (33) al RGPD
DATE SENSIBILE38
45. Care date cu caracter personal sunt considerate sensibile?

Răspuns39
Următoarele date cu caracter personal sunt considerate „sensibile” și fac obiectul unor condiții de
prelucrare speciale:
 date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea
religioasă sau convingerile filozofice;
 apartenența la sindicate;
 date genetice, datele biometrice prelucrate doar pentru identificare a unei ființe umane;
 date privind sănătatea;
 date privind viața sexuală sau orientarea sexuală a unei persoane.
Referințe
Articolul 4 punctele 13, 14 și 15 și articolul 9 și considerentele (51)-(56) ale RGPD
46. În ce condiții poate societatea/organizația mea să prelucreze date sensibile?

Răspuns40
Societatea/organizația dvs. poate prelucra date sensibile numai dacă sunt îndeplinite una dintre
condițiile de mai jos:
 a fost obținut consimțământul explicit al persoanei fizice (în anumite cazuri, o lege poate elimina
această opțiune);
 dreptul UE sau dreptul național ori un acord colectiv impune societății/organizației dvs. să prelucreze
datele pentru a îndeplini obligațiile și drepturile sale, precum și cele ale persoanelor fizice, în
domeniul ocupării forței de muncă, al securității sociale și al legislației privind protecția socială;
 sunt în joc interesele vitale ale persoanei respective sau ale unei persoane care se află în incapacitate
fizică sau juridică de a-și da consimțământul;
 sunteți o fundație, o asociație sau un alt organism fără scop lucrativ și cu specific politic, filozofic,
religios sau sindical și prelucrați date referitoare la membrii dvs. sau la persoane care au contacte
permanente cu organizația dvs.;
 datele cu caracter personal au fost făcute publice în mod manifest de către persoana fizică în cauză;
 datele sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanță;
 datele sunt prelucrate din motive de interes public major în baza dreptului UE sau a dreptului intern;
 datele sunt prelucrate în scopuri legate de: medicina preventivă sau a muncii; evaluarea capacității
de muncă a angajatului; stabilirea unui diagnostic medical; furnizarea de asistență medicală sau
socială sau a unui tratament medical ori gestionarea sistemelor și serviciilor de sănătate sau de
asistență socială, în temeiul dreptului UE sau al dreptului național sau în temeiul unui contract
încheiat cu un cadru medical;
38
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data_ro
39
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/what-
personal-data-considered-sensitive_ro
40
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/under-
what-conditions-can-my-company-organisation-process-sensitive-data_ro
23
 datele sunt prelucrate din motive de interes public în domeniul sănătății publice în temeiul dreptului
UE sau al dreptului național;
 datele sunt prelucrate în scopuri de arhivare sau de cercetare științifică ori istorică sau în scopuri
statistice, în baza dreptului UE sau a dreptului național.
Dreptul intern poate impune și alte condiții privind prelucrarea datelor genetice, a datelor
biometrice sau a datelor privind sănătatea. Consultați autoritatea națională de protecție a datelor.
Exemplu
Puteți prelucra date sensibile
Un medic consultă mai mulți pacienți la clinica sa. Acesta înregistrează consultația într-o bază de date
care include câmpuri precum prenumele/numele de familie al pacientului, descrierea simptomelor și
medicamentele prescrise. Acestea sunt considerate date sensibile. Prelucrarea de către clinică a datelor
privind sănătatea este permisă în temeiul legii privind protecția datelor, deoarece este necesară pentru a
trata persoana și este efectuată sub responsabilitatea unui medic, care face obiectul unei obligații de secret
profesional.
Nu puteți prelucra date sensibile
Sunteți o societate care vinde rochii online. Pentru a adapta serviciile la interesele specifice ale
clienților dvs., le solicitați să vă furnizeze informații privind mărimile, culoarea preferată, modalitatea de
plată, numele și adresa, în vederea livrării produsului. În plus, societatea dvs. solicită informații privind
opiniile politice ale clienților dvs. Aveți nevoie de majoritatea informațiilor pentru a vă îndeplini partea
dvs. de contract. Opiniile politice ale clienților dvs. nu sunt însă necesare pentru producerea și livrarea
rochiilor. Societatea dvs. nu poate solicita aceste informații în temeiul acestui contract.
Referințe
47. Există garanții specifice pentru datele referitoare la copii?

Răspuns41
Societatea/organizația dvs. poate prelucra datele cu caracter personal ale unui copil pe baza
consimțământului numai dacă aveți consimțământul explicit al părintelui sau al tutorelui acestuia, până
la o anumită vârstă. Limita de vârstă pentru obținerea consimțământului părinților variază între 13 și 16
ani, în funcție de vârsta stabilită în fiecare stat membru al UE. Consultați autoritatea națională de protecție
a datelor.
Trebuie să depuneți eforturi rezonabile, ținând seama de tehnologiile disponibile, pentru a vă
asigura că respectivul consimțământ a fost într-adevăr acordat în conformitate cu prevederile legii. Cu
alte cuvinte, societatea/organizația dvs. trebuie să pună în aplicare măsuri de verificare a vârstei (de
exemplu, întrebări de control, acțiuni efectuate pe site-ul web).
Trebuie obținut consimțământul părintelui sau al tutorelui dacă lucrați la site-uri de rețele sociale
care pun la dispoziție jocuri gratuite pentru copii sau asigurări pentru familii, de exemplu.
Dacă sunteți o organizație care vizează copiii, trebuie să vă asigurați că orice informații și
comunicări adresate unui copil sunt ușor accesibile și sunt exprimate într-un limbaj simplu și clar, astfel
încât copilul să îl poată înțelege cu ușurință.
Serviciile de prevenire sau de consiliere oferite direct unui copil nu necesită autorizare din partea
unui părinte, deoarece ele urmăresc protejarea intereselor copiilor.
Referințe
Articolele 8 și 12 și considerentele (38) și (58) ale RGPD
41
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/are-there-any-specific-
safeguards-data-about-children_ro
24
48. Pot fi folosite pentru marketing datele primite de un terț?
Răspuns42
Înainte de a dobândi de la o altă organizație o listă de date de contact sau o bază de date cu datele
de contact ale unor persoane fizice, organizația respectivă trebuie să poată demonstra că datele au fost
obținute în conformitate cu Regulamentul general privind protecția datelor și că are dreptul de a le utiliza
în scopuri publicitare. De exemplu, dacă organizația le-a dobândit pe baza unui consimțământ,
consimțământul trebuia să includă posibilitatea de transmitere a datelor către alți destinatari pentru
marketingul direct al acestora.
În plus, societatea/organizația dvs. trebuie să se asigure că lista sau baza de date este actualizată
și că nu trimiteți reclame unor persoane fizice care s-au opus prelucrării datelor lor cu caracter personal
în scopuri de marketing direct. De asemenea, societatea/organizația dvs. trebuie să se asigure că, dacă
sunt folosite mijloace de comunicare precum e-mailul în scopuri de marketing direct, sunt respectate
normele stabilite în Directiva privind confidențialitatea în mediul electronic (Directiva 2002/58/CE*).
Asemenea liste vor fi prelucrate în temeiul intereselor dvs. legitime, iar persoanele fizice vor avea
dreptul de a se opune prelucrării de acest tip. În plus, societatea/organizația dvs. trebuie să informeze
persoanele fizice, cel târziu în momentul primei comunicări cu acestea, că le-a colectat datele cu caracter
personal și că le va prelucra pentru a le trimite reclame.
* Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea
datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra
confidențialității și comunicațiilor electronice) (OJ L 201, 31.07.2002 p.37, Ediție specială, 13/vol. 36,
p. 63).
Exemplu
Doi prieteni, dna A și dl B, au o sală de sport, respectiv o librărie. Fiecare dintre ei colectează date de
la clienții săi. Librăria dlui B nu merge bine. Baza sa de date cu clienți are foarte puține înregistrări, iar în
magazinul său nu intră mulți oameni. El îi povestește dnei A că are o nouă biografie a unui atlet renumit
și întreabă dacă clienții dnei A ar fi interesați să primească o reclamă despre carte. Termenele din
notificarea dnei A privind confidențialitatea au informat clienții acesteia că ea ar putea partaja datele cu
parteneri care oferă produse în domeniul sănătății și al fitnessului. În măsura în care s-a acordat
consimțământul specific în scopul transmiterii datelor către alți destinatari în scopul marketingului direct
al acestora, dna A îi poate trimite dlui B lista clienților. Nu pot fi trimise date despre o persoană vizată care
s-a opus prelucrării datelor sale cu caracter personal.
Referințe
Articolul 4 punctul 10 și articolele 5, 6, 14 și 21
Avizul Grupului de lucru al articolului 29 privind transparența
Normele privind marketingul direct stabilite în Directiva 2002/58/CE privind confidențialitatea în mediul
electronic, în special în articolul 13
ADMINISTRAȚIILE PUBLICE ȘI PROTECȚIA DATELOR43

49. Care sunt principalele aspecte ale Regulamentului general privind protecția datelor
(RGPD) pe care ar trebui să le cunoască o administrație publică?
Răspuns44
O administrație publică face obiectul normelor RGPD atunci când prelucrează date cu caracter
personal referitoare la o persoană fizică. Este responsabilitatea administrațiilor naționale să sprijine
administrația regională și locală în pregătirea pentru aplicarea RGPD.
42
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/can-data-received-third-
party-be-used-marketing_ro
43
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/public-administrations-and-data-protection_ro
44
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/public-administrations-and-data-protection/what-are-
main-aspects-general-data-protection-regulation-gdpr-public-administration-should-be-aware_ro
25
Cele mai multe date cu caracter personal deținute de administrațiile publice sunt prelucrate în
mod obișnuit în temeiul unei obligații legale sau în măsura în care acest lucru este necesar pentru
îndeplinirea unor atribuții de interes public sau în exercitarea autorității publice cu care este învestită
organismul.
Când prelucrează date cu caracter personal, o administrație publică trebuie să respecte principii-
cheie cum sunt:
 prelucrare echitabilă și legală;
 limitarea scopului;
 reducerea la minimum a datelor și păstrarea datelor.
 În cazul prelucrării în temeiul legii, această lege ar trebui să asigure deja respectarea acestor principii
(spre exemplu, tipuri de date, perioada de stocare și măsuri de protecție corespunzătoare).
Înainte de a prelucra date cu caracter personal, persoanele fizice trebuie informate cu privire la
prelucrare, cum ar fi scopurile acesteia, tipurile de date colectate, destinatarii și drepturile care le revin
în ceea ce privește protecția datelor.
O administrație publică trebuie să numească un responsabil cu protecția datelor (RPD), cu toate
acestea un responsabil cu protecția datelor poate fi numit pentru mai multe organisme publice și prin
urmare acesta să fie comun, sau există posibilitatea externalizării acestei activități unui RPD extern De
asemenea, trebuie să se asigure că a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a
securiza datele cu caracter personal. Dacă se externalizează unele părți ale prelucrării către o organizație
externă (o așa-numită „persoană împuternicită de operator”), trebuie să existe un contract sau un alt act
juridic care să garanteze faptul că persoana împuternicită de operator oferă garanții suficiente pentru
punerea în aplicare a unor măsuri tehnice și organizatorice adecvate care întrunesc standardele RGPD.
În cazurile în care datele cu caracter personal deținute sunt dezvăluite în mod accidental sau ilegal
către destinatari neautorizați sau sunt indisponibile temporar ori suferă modificări, autoritatea de protecție
a datelor (APD) trebuie înștiințată cu privire la încălcare fără întârzieri nejustificate, în termen de cel
mult 72 de ore de la momentul la care ați luat cunoștință de încălcare. Poate fi necesar ca administrația
publică să informeze și persoanele fizice cu privire la încălcare.
Referințe
Capitolele II și IV din RGPD
50. Cum tratăm solicitările din partea persoanelor fizice?

Răspuns45
Persoanele fizice pot contacta o administrație publică pentru a-și exercita drepturile conferite de
RGPD (dreptul de acces, de rectificare, de ștergere, de restricționare, de opoziție, dreptul de a nu face
obiectul unui proces decizional automat).
Rețineți că persoanele fizice au dreptul de a se opune prelucrării datelor cu caracter personal de
către o administrație publică pe motive de interes public. Persoanele respective trebuie să prezinte
administrației publice motive referitoare la situația lor particulară. Administrația publică poate continua
să prelucreze datele și deci poate respinge solicitarea dacă demonstrează motive legitime și imperioase
care justifică prelucrarea și care prevalează asupra intereselor și a drepturilor persoanei fizice sau dacă
datele respective sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanță.
Persoanele fizice nu au drepturi asupra transmiterii acelor date referitoare la ele care sunt necesare
pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale
cu care este învestit operatorul.
O administrație publică trebuie să răspundă solicitărilor primite din partea persoanelor fizice fără
întârzieri nejustificate, în principiu, în termen de o lună de la primirea solicitării. Aceasta poate cere
45
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/public-administrations-and-data-protection/how-should-
requests-individuals-be-dealt_ro
26
persoanelor care efectuează solicitarea informații suplimentare pentru a le confirma identitatea. Dacă
solicitarea este respinsă, persoanele în cauză trebuie informate cu privire la motivele respingerii și la
dreptul acestora de a depune o plângere la APD, precum și la dreptul acestora la o cale de atac.
Puteți găsi mai multe informații despre obligațiile care vă revin în temeiul RGPD în secțiunea
„Norme pentru companii și organizații”.
Referință
Capitolul III din RGPD
51. Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția

datelor?
Răspuns46
Autoritățile de protecție a datelor au la dispoziție diferite instrumente în caz de încălcare. În cazul
unei posibile încălcări se poate emite un avertisment. În cazul unei încălcări, printre posibilități se
numără: o mustrare sau interzicerea temporară sau definitivă a prelucrării. În unele țări, organismele
publice pot face obiectul unor amenzi administrative. O administrație publică trebuie să verifice legea
privind protecția datelor din țara dvs.
Persoanele fizice pot cere despăgubiri în cazul în care un organism public a încălcat RGPD, iar
ele au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu,
compromiterea reputației sau stres psihologic). RGPD asigură faptul că aceste persoane vor primi
despăgubiri indiferent de numărul organizațiilor implicate în prelucrarea datelor lor. Cererea de
despăgubire poate fi adresată direct organismului public sau poate fi adusă în fața instanțelor naționale
competente din statul membru vizat.
Referințe
Articolele 58, 82, 83 și 84 și considerentele (129), (146), (147), (148), (150) și (151) din RGPD
OBLIGAȚII47
Operator/persoana împuternicită de operator48
52. Ce este un operator de date sau o persoană împuternicită de operator?
Răspuns49
Operatorul de date stabilește scopurile și mijloacele prelucrării datelor cu caracter personal.
Așadar, dacă societatea/organizația dvs. decide „de ce” și „cum” ar trebui prelucrate datele cu caracter
personal, aceasta este operatorul de date. Angajații care prelucrează date cu caracter personal în cadrul
organizației dvs. fac acest lucru pentru a îndeplini sarcinile dvs. în calitate de operator de date.
Societatea/organizația dvs. este operator asociat în cazul în care, împreună cu una sau mai multe
organizații, stabilește în comun „de ce” și „cum” ar trebui prelucrate datele cu caracter personal.
Operatorii asociați trebuie să încheie un acord care să stabilească responsabilitățile fiecăruia în ceea ce
privește îndeplinirea normelor cuprinse în RGPD. Principalele aspecte ale acordului trebuie comunicate
persoanelor fizice ale căror date se prelucrează.
Persoana împuternicită de operator prelucrează date cu caracter personal numai în numele
operatorului. De obicei, persoana împuternicită de operator este un terț din afara societății. Cu toate
acestea, în cazul grupurilor de întreprinderi, o întreprindere poate îndeplini rolul de persoană
împuternicită de operator pentru o altă întreprindere.
46
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/public-administrations-and-data-protection/what-if-
public-administration-fails-comply-data-protection-rules_ro
47
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations_ro
48
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor_ro
49
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-
data-processor_ro
27
Atribuțiile persoanei împuternicite de operator în raport cu operatorul trebuie precizate într-un
contract sau într-un alt act juridic. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele
cu caracter personal în momentul încetării contractului. O activitate tipică a persoanelor împuternicite de
operatori este furnizarea de soluții informatice, inclusiv de stocare în cloud. Persoana împuternicită de
operator poate subcontracta o parte a sarcinii sale la o altă persoană împuternicită de operator sau poate
numi o persoană asociată împuternicită de operator numai dacă a primit în prealabil o autorizație scrisă
din partea operatorului de date.
Există situații în care o entitate poate fi operator de date, persoană împuternicită de operator sau
ambele.
Exemple
Operator și persoană împuternicită de operator
O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare
a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de
administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește
o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea
de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica
de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită
de operator.
Operatori asociați
Societatea/organizația dvs. oferă servicii de babysitting printr-o platformă online. În același timp,
societatea/organizația dvs. are un contract cu o altă societate, care vă permite să oferiți servicii cu valoare
adăugată. Aceste servicii includ posibilitatea ca părinții nu doar să aleagă ce babysitter doresc, ci și să
închirieze jocuri și DVD-uri pe care să le aducă babysitterul. Ambele societăți sunt implicate în organizarea
tehnică a site-ului. În acest caz, cele două societăți au decis să utilizeze platforma în ambele scopuri
(servicii de babysitting și închirierea de DVD-uri/jocuri) și vor partaja foarte frecvent numele clienților.
Prin urmare, cele două societăți sunt operatori asociați, pentru că ele nu doar că au convenit să ofere
posibilitatea unor „servicii combinate”, ci și proiectează și utilizează o platformă comună.
Referințe
Articolul 4 punctele 7 și 8, articolele 24, 26, 28 și 29 și considerentele (74), (79) și (81) ale RGPD
Avizul 1/2010 al Grupului de lucru al articolului 29 privind conceptele de „operator” și „persoană
împuternicită de operator” (WP 169)
53. Poate altcineva să prelucreze datele în numele organizației mele?

Răspuns50
Altcineva (o persoană fizică sau juridică ori un alt organism) poate să prelucreze date cu caracter
personal în numele dvs. cu condiția să existe un contract sau un alt act juridic. Este important ca persoana
împuternicită de operator pe care o numiți să ofere suficiente garanții de aplicare a unor măsuri tehnice
și organizaționale adecvate pentru a se asigura că prelucrarea va întruni standardele Regulamentului
general privind protecția datelor (RGPD) și pentru a garanta protecția drepturilor persoanelor fizice.
Persoana împuternicită de operator nu poate numi în continuare o altă persoană împuternicită de
operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea dvs. Contractul
sau actul juridic dintre societatea/organizația dvs. și persoana împuternicită de operator ar trebui să
includă următoarele elemente:
 posibilitatea de a efectua prelucrarea numai pe baza unor instrucțiuni documentate din partea
operatorului;
50
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/can-someone-else-
process-data-my-organisations-behalf_ro
28
 asigurarea de către persoana împuternicită de operator a faptului că persoanele autorizate să
prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație
statutară adecvată de confidențialitate;
 obligația persoanei împuternicite de operator de a oferi un nivel de securitate minim definit de către
operator;
 obligația persoanei împuternicite de operator de a vă ajuta să asigurați respectarea RGPD.
Exemple
O firmă de construcții folosește serviciile unui subcontractant pentru anumite lucrări de construcții și
îi furnizează acestuia datele de contact ale clienților la care trebuie desfășurate lucrările de construcții.
Subcontractantul utilizează mai departe datele pentru a le trimite clienților materiale de marketing. În acest
caz, subcontractantul nu este considerat doar „persoană împuternicită de operator” în temeiul RGPD,
deoarece subcontractantul nu numai că prelucrează date cu caracter personal în numele firmei de
construcții, ci și prelucrează mai departe datele respective în scopuri proprii. Prin urmare, subcontractantul
acționează ca „operator de date”.
Sunteți o societate de vânzări cu amănuntul și decideți să stocați pe un server din cloud o versiune de
rezervă a bazei de date cu clienții dvs. În acest scop, încheiați un contract cu un furnizor de servicii de
cloud cunoscut pentru standardele sale de protecție a datelor și care deține, de asemenea, un sistem
certificat de criptare a datelor. Furnizorul de servicii de cloud este persoana împuternicită de dvs. ca
operator, deoarece, stocând datele cu caracter personal ale clienților dvs. pe serverele sale, va prelucra în
numele dvs. date cu caracter personal.
Referințe
Articolul 28 și considerentul (81) al RGPD
54. Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează

societatea/organizația mea?
Răspuns51
Regulamentul general privind protecția datelor (RGPD) se întemeiază pe abordarea bazată pe
riscuri; cu alte cuvinte, societățile/organizațiile care prelucrează date cu caracter personal sunt încurajate
să pună în aplicare măsuri de protecție corespunzătoare nivelului de risc al activităților lor de prelucrare
de date. Prin urmare, obligațiile unei societăți care prelucrează date numeroase sunt mai oneroase decât
obligațiile unei societăți care prelucrează date foarte puține.
De exemplu, probabilitatea angajării unui responsabil cu protecția datelor este mai ridicată în
cazul unei societăți/organizații care prelucrează date numeroase decât în cazul unei societăți care
prelucrează date foarte puține (în acest caz există o legătură cu noțiunea de prelucrare a datelor cu caracter
personal „la scară largă”). În același timp, natura datelor cu caracter personal și impactul prelucrării avute
în vedere joacă și ele un rol. Prelucrarea unor date foarte puține, dar care sunt de natură sensibilă (de
exemplu, date referitoare la sănătate) ar necesita punerea în aplicare a unor măsuri mai stringente pentru
a respecta RGPD.
În toate cazurile, va trebui să respectați principiile de protecție a datelor și să le permiteți
persoanelor fizice să își exercite drepturile.
Referință
Capitolul IV din RGPD
51
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/are-obligations-same-regardless-amount-
data-my-company-organisation-handles_ro
29
55. Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod
implicit”?
Răspuns52
Societățile/organizațiile sunt încurajate să pună în aplicare măsuri tehnice și organizatorice încă
din primele etape ale proiectării operațiilor de prelucrare, astfel încât să garanteze principiul
confidențialității și al protecției datelor chiar de la început („protecția datelor începând cu momentul
conceperii”). În mod implicit, societățile/organizațiile ar trebui să se asigure că datele cu caracter personal
sunt prelucrate cu cel mai ridicat nivel de protecție (adică numai datele necesare, perioadă scurtă de
stocare, accesibilitate limitată), astfel încât, în mod implicit, datele cu caracter personal să nu poată fi
accesate de un număr nelimitat de persoane („protecția datelor în mod implicit”).
Exemple
Protecția datelor începând cu momentul conceperii
Utilizarea pseudonimizării (înlocuirea materialului identificabil personal cu identificatori artificiali) și
a criptării (codificarea mesajelor astfel încât numai persoanele autorizate să le poată citi).
Protecția datelor în mod implicit
O platformă de rețele sociale ar trebui încurajată să stabilească setările de profil ale utilizatorilor în
modul cel mai favorabil confidențialității, de exemplu, limitând de la început accesibilitatea profilului
utilizatorilor, astfel încât acesta să nu poată fi accesat în mod implicit de un număr nelimitat de persoane.
Referințe
56. Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări?
Răspuns53
O încălcare a securității datelor se produce atunci când datele pentru care societatea/organizația
dvs. este responsabilă suferă un incident de securitate care duce la compromiterea confidențialității, a
disponibilității sau a integrității. Dacă se întâmplă acest lucru și există probabilitatea ca încălcarea să
prezinte un risc pentru drepturile și libertățile unei persoane fizice, societatea/organizația dvs. trebuie să
înștiințeze autoritatea de supraveghere fără întârzieri nejustificate, în termen de cel mult 72 de ore de la
momentul la care ați luat cunoștință de încălcare. Dacă societatea/organizația dvs. este persoana
împuternicită de operator, trebuie să înștiințați operatorul cu privire la fiecare încălcare a securității
datelor.
Dacă încălcarea securității datelor prezintă un risc ridicat pentru persoanele fizice afectate, atunci
trebuie să fie informate și toate aceste persoane (cu excepția cazului în care s-au aplicat măsuri de
protecție tehnice și organizatorice eficace sau alte măsuri care asigură faptul că riscul nu mai este
susceptibil să se materializeze).
Ca organizație, este vital să puneți în aplicare măsuri tehnice și organizatorice adecvate pentru a
evita posibile încălcări ale securității datelor.
Exemple
Organizația trebuie să înștiințeze APD și persoanele fizice
Datele angajaților unei fabrici de textile au fost dezvăluite. Datele includeau adresele personale,
componența familiei, salariul lunar și cererile medicale ale fiecărui angajat. În acest caz, fabrica de textile
trebuie să informeze autoritatea de supraveghere cu privire la încălcarea securității datelor. Deoarece datele
cu caracter personal includ date sensibile, cum sunt cele referitoare la sănătate, fabrica trebuie să înștiințeze
și angajații.
52
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-
default-mean_ro
53
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-
case-data-breach_ro
30
Un angajat al unui spital decide să copieze datele pacienților pe un CD și le publică online. Spitalul
află câteva zile mai târziu. Din momentul în care află, spitalul are la dispoziție 72 de ore pentru a informa
autoritatea de supraveghere și, pentru că datele cu caracter personal conțin informații sensibile, cum ar fi
dacă un pacient are cancer, dacă o pacientă este însărcinată etc., acesta trebuie să informeze și pacienții. În
acest caz, este puțin probabil ca spitalul să fi pus în aplicare măsuri de protecție tehnice și organizatorice
– dacă ar fi pus în aplicare măsuri de protecție adecvate (de exemplu, criptarea datelor), riscul nu ar fi
susceptibil să se materializeze, iar spitalul ar putea fi scutit de la înștiințarea pacienților.
Societatea trebuie să înștiințeze clienții, iar aceștia pot avea obligația de a înștiința apoi APD și
persoanele fizice
Un serviciu de cloud pierde mai multe hard diskuri care conțin date cu caracter personal ale mai multor
clienți ai săi. Societatea trebuie să înștiințeze clienții respectivi de îndată ce ia cunoștință de încălcarea
securității. Clienții săi trebuie să anunțe APD și persoanele fizice, în funcție de natura datelor pe care le
prelucra persoana împuternicită de operator.
Referințe
Orientările Grupului de lucru al articolului 29 privind notificarea încălcării securității datelor în temeiul
Regulamentului 2016/679, 3 octombrie 2017 (WP 250)
Articolul 4 punctul 12, articolele 33 și 34 și considerentele (85), (86), (87) și (88) ale RGPD
57. Când este necesară o evaluare a impactului asupra protecției datelor (EIPD)?
Răspuns54
O EIPD este necesară ori de câte ori prelucrarea este susceptibilă de a genera un risc ridicat pentru
drepturile și libertățile persoanelor fizice. Este necesară o EIPD cel puțin în următoarele cazuri:
 evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică, inclusiv
crearea de profiluri;
 prelucrarea pe scară largă a unor date sensibile;
 monitorizarea sistematică pe scară largă a unor zone accesibile publicului.
Autoritățile naționale de protecție a datelor, acționând în coordonare cu Comitetul european
pentru protecția datelor, pot furniza liste cu situațiile în care ar fi necesară o EIPD. EIPD ar trebui
efectuată înainte de prelucrare și ar trebui considerată un instrument viu, nu doar un exercițiu izolat. În
cazul în care există riscuri reziduale care nu pot fi atenuate prin măsurile puse în aplicare, este necesară
consultarea APD înainte de începerea prelucrării.
Exemple
Este necesară EIPD
O bancă își selectează clienții dintr-o bază de date cu informații privind creditele; un spital este pe
punctul să implementeze o nouă bază de date cu informații despre sănătate, care conține date privind
sănătatea pacienților; un operator de autobuz urmează să instaleze camere la bord pentru a monitoriza
comportamentul șoferilor și al călătorilor.
Nu este necesară o EIPD
Medicul unei comunități prelucrează date cu caracter personal ale pacienților săi. În acest caz nu este
necesară o EIPD, deoarece prelucrarea de către medicul comunității nu se face la scară largă în cazurile în
care numărul de pacienți este limitat.
Referințe
Orientările Grupului de lucru al articolului 29 privind evaluarea impactului asupra protecției datelor
(EIPD) și determinarea susceptibilității ca prelucrarea „să genereze un risc ridicat” în sensul
Regulamentului (UE) 2016/679, 4 aprilie 2017
Articolele 35 și 36 și considerentele (89)-(96) ale RGPD
54
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-
dpia-required_ro
31
Responsabilii cu protecția datelor55
58. Este obligată societatea/organizația mea să aibă un responsabil cu protecția datelor (RPD)?
Răspuns56
Societatea/organizația dvs. trebuie să numească un RPD, indiferent dacă este operator de date sau
persoană împuternicită de operator, dacă activitățile sale principale implică prelucrarea de date sensibile
pe scară largă sau implică o monitorizare regulată și sistematică pe scară largă a persoanelor fizice. În
acest sens, monitorizarea comportamentului persoanelor vizate include toate formele de urmărire și de
creare de profiluri pe internet, inclusiv în scopuri de publicitate comportamentală.
Administrațiile publice au mereu obligația de a numi un RPD (cu excepția instanțelor care
acționează în exercițiul funcției lor jurisdicționale).
RPD poate fi un membru al personalului organizației dvs. sau poate fi o persoană din exterior
angajată pe baza unui contract de servicii. RPD poate fi o persoană fizică sau o organizație.
Exemple
RPD obligatoriu
Este obligatoriu să existe un RPD, de exemplu, atunci când societatea/organizația este:
 un spital care prelucrează seturi mari de date sensibile;
 societate de securitate responsabilă cu monitorizarea unor centre comerciale și spații publice;
 mică firmă de recrutare care creează profiluri ale unor persoane fizice.
RPD neobligatoriu
Nu este obligatoriu să existe un RPD dacă:
 sunteți un medic al unei comunități locale și prelucrați date cu caracter personal ale pacienților dvs.;
 aveți o mică firmă de avocatură și prelucrați date cu caracter personal ale clienților dvs.
Referințe
Orientările Grupului de lucru al articolului 29 privind responsabilii cu protecția datelor, 5 aprilie 2017
(WP 243)
Articolele 37, 38 și 39 și considerentul (97) al RGPD
59. Ce responsabilități are un responsabil cu protecția datelor (RPD)?

Răspuns57
RPD oferă asistență operatorului sau persoanei împuternicite de operator la toate aspectele care
au legătură cu protecția datelor cu caracter personal. În special, RPD trebuie:
 să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajații
acestora, cu privire la obligațiile care le revin în temeiul legii privind protecția datelor;
 să monitorizeze respectarea de către organizație a tuturor legilor referitoare la protecția datelor,
inclusiv prin audituri, prin activități de sensibilizare și prin formarea personalului implicat în
operațiunile de prelucrare;
 să furnizeze consiliere în cazul în care s-a efectuat o EIPD și să monitorizeze funcționarea acesteia;
 să își asume rolul de punct de contact pentru solicitările din partea persoanelor fizice privind
prelucrarea datelor acestora cu caracter personal și exercitarea drepturilor acestora;
 să coopereze cu APD-urile și să își asume rolul de punct de contact pentru APD pentru aspecte
referitoare la prelucrare.
RPD trebuie să fie implicat de organizație în mod corespunzător și în timp util. RPD nu trebuie
să primească niciun fel de instrucțiuni din partea operatorului de date sau a persoanei împuternicite de
55
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers_ro
56
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-
organisation-need-have-data-protection-officer-dpo_ro
57
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/what-are-
responsibilities-data-protection-officer-dpo_ro
32
operator în ceea ce privește îndeplinirea sarcinilor sale. RPD răspunde direct în fața celui mai înalt nivel
al conducerii organizației.
Referință
Articolele 37, 38 și 39 și considerentul (97) al RGPD
60. Ce norme se aplică dacă organizația mea transferă date în afara UE?
Răspuns58
În lumea globalizată actuală, se transferă în plan transfrontalier cantități mari de date cu caracter
personal, care sunt stocate uneori pe servere aflate în țări diferite. Protecția conferită de Regulamentul
general privind protecția datelor (RGPD) însoțește datele în călătoria lor, ceea ce înseamnă că normele
care protejează datele continuă să se aplice indiferent unde ajung aceste date. Acest lucru este valabil și
când datele se transferă într-o țară care nu este membră a UE (denumită în continuare „țară terță”).
RGPD pune la dispoziție diferite instrumente pentru încadrarea transferurilor de date din UE într-
o țară terță:
 Uneori, o țară terță poate fi declarată ca oferind un nivel adecvat de protecție printr-o decizie a
Comisiei Europene („decizie privind caracterul adecvat al nivelului de protecție”), ceea ce
înseamnă că se pot transfera date cu o altă societate în acea țară terță fără ca exportatorul datelor
să aibă obligația de a asigura garanții suplimentare sau să fie supus unor condiții suplimentare.
Cu alte cuvinte, transferurile într-o țară terță cu „un caracter adecvat al nivelului de protecție” va
fi asimilată unei transmiteri de date în interiorul UE.
 În absența unei decizii privind caracterul adecvat al nivelului de protecție, transferul se poate face
prin asigurarea unor garanții adecvate și cu condiția ca persoanele fizice să beneficieze de drepturi
opozabile și de căi de atac eficace. Printre asemenea garanții adecvate se numără:
 în cazul unui grup de întreprinderi sau de societăți implicat într-o activitate economică comună,
societățile pot transfera datele cu caracter personal pe baza unor reguli corporatiste obligatorii;
 acorduri contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele
contractuale standard aprobate de Comisia Europeană;
 aderarea la un cod de conduită sau la un mecanism de certificare, precum și obținerea unor
angajamente obligatorii și executorii din partea destinatarului de a aplica garanții adecvate pentru
protecția datelor transferate.
 În sfârșit, dacă se are în vedere un transfer de date cu caracter personal într-o țară terță care nu
face obiectul unei decizii privind caracterul adecvat al nivelului de protecție și dacă lipsesc
garanțiile adecvate, transferul se poate realiza pe baza mai multor derogări pentru situații
specifice, de exemplu, în cazul în care o persoană fizică și-a exprimat în mod explicit acordul cu
privire la transferul propus după ce a primit toate informațiile necesare privind riscurile asociate
transferului.
Exemplu
Sunteți o societate franceză care intenționează să își extindă serviciile în America de Sud, în special
în Argentina, Uruguay și Brazilia. Primul pas ar fi să verificați dacă țările terțe respective fac obiectul unei
decizii privind caracterul adecvat al nivelului de protecție. În acest caz, atât Argentina, cât și Uruguay au
fost declarate ca având un caracter adecvat. Ați putea transfera date cu caracter personal în aceste două țări
terțe fără nicio garanție suplimentară, dar pentru transferurile în Brazilia, în privința căreia nu s-a emis o
decizie privind caracterul adecvat, va trebui să vă încadrați transferurile asigurând garanții adecvate.
Referințe
Capitolul V, articolele 44-50 și considerentele (101)-(116) ale RGPD
58
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-
transfers-data-outside-eu_ro
33
Cele mai recente documente de lucru ale Grupului de lucru al articolului 29 privind transferurile
internaționale
 Document de lucru privind etalonul caracterului adecvat al nivelului de protecție a datelor
(actualizare a capitolului I din WP 12), WP 254
 Document de lucru de întocmire a unui tabel cu elementele și principiile care trebuie să se regăsească
în regulile corporatiste obligatorii, WP 256
 Document de lucru de întocmire a unui tabel cu elementele și principiile care trebuie să se regăsească
în regulile corporatiste obligatorii pentru persoanele împuternicite de operator, WP 257
Ca referință, consultați și Comunicarea Comisiei Europene privind schimbul de date cu caracter personal
și protecția acestora într-o lume globalizată*, din 10 ianuarie 2017.
* COM(2017)7 final.
61. Cum pot demonstra că organizația mea se conformează la RGPD?

Răspuns59
Principiul responsabilității reprezintă o piatră de temelie a Regulamentului general privind
protecția datelor (RGPD). Potrivit RGPD, o societate/organizație are responsabilitatea de a respecta toate
principiile privind protecția datelor, precum și de a demonstra această respectare. RGPD pune la
dispoziția societăților/organizațiilor un set de instrumente care să le ajute să demonstreze
responsabilitatea, unele dintre acestea fiind obligatorii.
De exemplu, în anumite cazuri poate fi obligatorie numirea unui RPD sau efectuarea unor
evaluări a impactului asupra protecției datelor (EIPD). Operatorii de date pot alege să utilizeze alte
instrumente, cum ar fi coduri de conduită și mecanisme de certificare, pentru a demonstra
conformitatea cu principiile de protecție a datelor.
Puteți adera la un cod de conduită întocmit de o asociație de afaceri aprobată de o APD. Un cod
de conduită poate fi declarat valid în întreaga UE printr-un act de punere în aplicare al Comisiei.
Puteți adera la un mecanism de certificare operat de către unul dintre organismele de certificare
ce a primit o acreditare din partea unei APD sau a unui organism național de acreditare sau din partea
amândurora, după cum se stabilește în legislația fiecărui stat membru al UE.
Atât codurile de conduită, cât și certificarea sunt instrumente opționale, deci
societatea/organizația dvs. poate decide dacă să aderE la un anumit cod de conduită sau solicită
certificarea. Cu toate că societatea/organizația dvs. are în continuare obligația de a respecta și de a vă
conforma la RGPD, aderarea la asemenea instrumente ar putea fi luată în considerare în cazul unei măsuri
de aplicare a legii luate împotriva dvs. pentru o încălcare a RGPD.
Exemplu
Organismul general de asigurări din statul membru al UE al societății/organizației dvs. a primit aprobarea
unui cod de conduită din partea unei autorități de supraveghere. Mai multe firme de asigurări rivale au
aderat la cod. Deși aderarea la cod este voluntară, aceasta vă ajută să demonstrați conformitatea cu RGPD.
Referințe
Articolele 24, 40-43 și 83 și considerentele (98), (99), (100), (148), (150) și (151) ale RGPD
59
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/how-can-i-demonstrate-my-organisation-
compliant-gdpr_ro
34
RELAȚIILE CU CETĂȚENII60
62. Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile
privind protecția datelor?
Răspuns61
Persoanele fizice pot contacta societatea/organizația dvs. pentru a-și exercita drepturile conferite
de RGPD (dreptul de acces, de rectificare, de ștergere, dreptul la portabilitate etc.). În cazul în care datele
cu caracter personal sunt prelucrate prin mijloace electronice, societatea/organizația dvs. trebuie să facă
posibilă formularea solicitărilor pe cale electronică. Societatea/organizația dvs. trebuie să răspundă
solicitărilor acestora fără întârzieri nejustificate, în principiu, în termen de o lună de la primirea solicitării.
Persoanei care efectuează solicitarea i se pot cere informații suplimentare pentru a-i confirma
identitatea.
Dacă societatea/organizația dvs. respinge solicitarea, persoana vizată trebuie informată cu privire
la motivele respingerii și la dreptul său de a depune o plângere la autoritatea de protecție a datelor, precum
și la dreptul acesteia la o cale de atac.
Tratarea solicitărilor persoanelor fizice ar trebui efectuată gratuit. În cazul în care solicitările sunt
vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, puteți percepe o taxă
rezonabilă sau puteți refuza să le dați curs.
Exemplu
O persoană care și-a accesat toate datele cu caracter personal cu o lună în urmă depune din nou
aceeași solicitare de accesare a acelorași date cu caracter personal. Puteți lua în calcul fie să o informați
că îi respingeți solicitarea, fie să percepeți o taxă rezonabilă.
Referințe
Articolele 12 și 15-22 și considerentele (59) și (63)-(71) ale RGPD
63. Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere?
Răspuns62
Când o persoană solicită acces la datele sale cu caracter personal, societatea/organizația dvs. trebuie:
 să confirme dacă prelucrează sau nu date cu caracter personal care vizează persoana în cauză;
 să îi furnizeze o copie a datelor cu caracter personal pe care le deține în legătură cu aceasta;
 să furnizeze informații privind prelucrarea (cum ar fi scopurile, categoriile de date cu caracter
personal, destinatarii etc.).
Societatea/organizația dvs. trebuie să îi furnizeze persoanei fizice în cauză o copie a datelor sale
cu caracter personal în mod gratuit. Pentru orice copii suplimentare poate percepe însă o taxă rezonabilă.
Exercitarea dreptului de acces este strâns legată de exercitarea dreptului la portabilitatea datelor
– posibilitatea persoanei fizice de a-și transmite datele către o altă organizație.
Este important ca, în anunțul societății/organizației dvs. privind confidențialitatea, să existe o
distincție clară între cele două drepturi. Prin urmare, ambele drepturi trebuie menționate pe scurt în mod
separat.
Exemplu
Societatea/organizația dvs. furnizează un serviciu de rețele sociale online, prin care persoanele fizice
pot face schimb de mesaje și de fotografii. Un utilizator solicită accesul la datele sale cu caracter personal
și să verifice ce date cu caracter personal care îl vizează sunt prelucrate de societatea/organizația dvs.
Societatea/organizația dvs. trebuie să confirme că prelucrează date cu caracter personal care îl vizează și
să îi furnizeze o copie (cum ar fi numele, datele de contact, mesajele și fotografiile transmise). De
60
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens_ro
61
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-
exercising-their-data-protection-rights-be-dealt_ro
62
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/what-personal-data-and-information-
can-individual-access-request_ro
35
asemenea, societatea/organizația dvs. trebuie să îi furnizeze informații privind prelucrarea – de obicei,
acestea sunt cuprinse în anunțul referitor la confidențialitate al serviciului dvs.
Referințe
Articolul 15 și considerentele (63) și (64) ale RGPD
64. Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere
acest lucru?
Răspuns63
Regulamentul general privind protecția datelor (RGPD) le acordă persoanelor fizice dreptul de a
solicita ștergerea datelor proprii, iar organizațiile au obligația de a da curs solicitării, cu excepția
următoarelor cazuri:
 datele cu caracter personal pe care societatea/organizația dvs. le deține sunt necesare pentru
exercitarea dreptului la libertatea de exprimare;
 există o obligație legală care vă impune să păstrați datele;
 din motive de interes public (de exemplu, sănătate publică, scopuri de cercetare științifică, statistică
sau istorică).
Dacă societatea/organizația dvs. a prelucrat date în mod ilegal, trebuie șterse. În cazul unei
solicitări a unei persoane fizice, datele colectate când persoana era încă minoră trebuie șterse.
În ceea ce privește dreptul de a fi uitat online, organizațiile au obligația de a lua măsuri rezonabile
(de exemplu, măsuri tehnice) pentru a informa alte site-uri că o anumită persoană a solicitat ștergerea
datelor sale cu caracter personal.
De asemenea, datele pot fi păstrate dacă au fost supuse unui proces adecvat de anonimizare.
Exemple
Nu este obligatorie ștergerea datelor
Societatea/organizația dvs. administrează un ziar online. Unul dintre jurnaliștii săi publică un articol
despre faptul că un politician a spălat bani în bănci off-shore. Politicianul solicită ștergerea articolului
pentru că se prelucrează datele sale cu caracter personal. Având în vedere că utilizați datele cu caracter
personal pentru a vă exercita dreptul la liberă exprimare, în principiu, societatea/organizația dvs. nu are
obligația de a șterge datele respective. În practică însă, obligația depinde de legislația națională în vigoare.
Este obligatorie ștergerea datelor
Societatea/organizația dvs. administrează o platformă de rețele sociale. Un minor încarcă fotografii;
câțiva ani mai târziu însă, el decide că fotografiile respective i-ar putea afecta negativ perspectivele de
carieră. Pentru că persoana era minoră la momentul încărcării fotografiilor, societatea/organizația dvs. avea
obligația de a le șterge. Mai mult, dacă fotografiile au fost prelucrate și pe alte site-uri,
societatea/organizația dvs. trebuie să ia măsuri rezonabile pentru a le informa că s-a depus o cerere de
ștergere a fotografiilor.
Referințe
Orientările Grupului de lucru al articolului 29 privind punerea în aplicare a Hotărârii Curții de Justiție
din 13 mai 2014, Google Spania și Google, C-131/121, ECLI:EU:C:2014:3171
1 Un sumar al hotărârii a fost publicat în JO C 212, 7.7.2014, p. 4.
65. Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de
către societatea mea?
Răspuns64
63
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/do-we-always-have-delete-personal-
data-if-person-asks_ro
64
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/what-happens-if-someone-objects-my-
company-processing-their-personal-data_ro
36
Persoanele fizice au dreptul de a se opune prelucrării datelor cu caracter personal pentru motive
concrete. Existența unei asemenea situații specifice trebuie examinată de la caz la caz.
Persoana în cauză poate obiecta numai în cazurile în care o administrație publică
prelucrează datele în contextul atribuțiilor sale publice sau în cazul în care o societate prelucrează
datele în temeiul intereselor sale legitime. În asemenea cazuri, societatea/organizația dvs. nu mai are
dreptul de a prelucra datele decât dacă demonstrează că trebuie să fie prelucrate din motive care
prevalează asupra drepturilor și a libertăților persoanei în cauză sau dacă are nevoie de date pentru
constatarea, exercitarea sau apărarea unui drept în instanță.
De asemenea, persoanele fizice au dreptul de a se opune în orice moment prelucrării datelor lor
cu caracter personal în scopuri de marketing direct. În contextul Regulamentului general privind protecția
datelor, marketingul direct este înțeles ca fiind orice acțiune întreprinsă de o societate pentru a
comunica material publicitar sau de marketing și adresată anumitor persoane fizice.
Societatea/organizația dvs. trebuie să informeze persoanele fizice, în anunțul său privind
confidențialitatea sau cel târziu în momentul primei comunicări cu persoanele respective, că le va folosi
datele cu caracter personal pentru marketing direct și că au dreptul de a se opune gratuit. Dacă o persoană
se opune prelucrării în scopuri de marketing direct, societatea/organizația dvs. nu mai poate prelucra
datele acesteia în scopurile respective.
Exemplu
În sectorul asigurărilor sunt necesare foarte frecvent date cu caracter personal pentru apărarea unui
drept în instanță în cazul măsurilor antifraudă sau al măsurilor de combatere a spălării banilor. În acele
cazuri, societățile de asigurări pot refuza să dea curs cererii unei persoane fizice de a obiecta în temeiul
unor motive care prevalează asupra intereselor și a libertăților persoanei respective.
Referințe
66. Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație?
Răspuns65
Da, persoanele fizice au dreptul la portabilitatea datelor, și anume de a primi de la
societatea/organizația dvs. datele cu caracter personal furnizate într-un format structurat, care să poată fi
citit automat, și de a dispune transmiterea acestor date la o altă societate/organizație. Dreptul poate
fi exercitat numai dacă datele cu caracter personal au fost colectate în contextul unui contract sau în
temeiul consimțământului, iar datele respective sunt prelucrate prin mijloace automate.
Exemplu
Un pacient al unei clinici private din Belgia se mută la o altă clinică din Germania. Persoana fizică
solicită clinicii belgiene, care deține înregistrări electronice în privința sa, să îi furnizeze datele cu caracter
personal într-un format structurat, care să poată fi citit automat, pentru a putea transmite datele către
personalul medical relevant din Germania. Clinica belgiană ar trebui să îi ofere datele cu caracter personal
într-un format deschis utilizat în mod frecvent (de exemplu, XML, JSON, CSV etc.). Când selectează
formatul pentru date, organizația ar trebui să ia în considerare modul în care acest format ar putea influența
sau îngreuna dreptul persoanei fizice de a reutiliza datele. De exemplu, dacă îi furnizează persoanei
versiuni PDF ale înregistrărilor sale, s-ar putea ca acest lucru să nu fie suficient pentru a asigura
posibilitatea reutilizării cu ușurință a datelor cu caracter personal.
Referințe
Orientările Grupului de lucru al articolului 29 privind portabilitatea datelor
65
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/can-individuals-ask-have-their-data-
transferred-another-organisation_ro
37
67. Există restricții privind utilizarea proceselor decizionale automate?
Răspuns66
Da, persoanele fizice nu ar trebui să facă obiectul unei decizii bazate exclusiv pe prelucrare
automată (cum sunt algoritmii) dacă decizia este obligatorie din punct de vedere juridic sau o afectează
într-o măsură semnificativă.
Se poate considera că o decizie produce efecte juridice atunci când aceasta influențează drepturile
juridice ale persoanei fizice sau statutul său juridic (de exemplu, dreptul la vot). În plus, prelucrarea poate
afecta semnificativ o persoană fizică dacă influențează circumstanțele personale, comportamentul sau
alegerile sale (de exemplu, o prelucrare automată poate duce la refuzul unei cereri de credit online).
Utilizarea prelucrării automate pentru luarea deciziilor este autorizată numai în următoarele
cazuri:
 dacă decizia bazată pe un algoritm este necesară (adică trebuie să nu existe nicio altă modalitate de a
atinge același obiectiv) pentru încheierea sau derularea unui contract cu persoana fizică ale cărei date
societatea/organizația dvs. le-a prelucrat prin intermediul algoritmului (de exemplu, o cere de credit
online);
 dacă o anumită lege (o lege europeană sau națională) permite utilizarea algoritmilor și prevede
garanții adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei fizice (de
exemplu, regulamentele de combatere a evaziunii fiscale);
 dacă persoana fizică și-a dat în mod explicit consimțământul pentru o decizie bazată pe algoritm.
Cu toate acestea, decizia luată trebuie să protejeze drepturile, libertățile și interesele legitime ale
persoanei fizice prin punerea în aplicare a unor garanții adecvate. Cu excepția cazului în care procesul
decizional respectiv este bazat pe o lege, persoana fizică trebuie cel puțin informată în legătură cu (i)
logica utilizată în procesul decizional, (ii) dreptul său de a obține o intervenție umană, (iii) consecințele
potențiale ale prelucrării și (iv) dreptul său de a contesta decizia. Prin urmare, societatea/organizația dvs.
trebuie să facă demersurile procedurale necesare pentru a-i permite persoanei să își exprime punctul de
vedere și să conteste decizia.
În sfârșit, e nevoie de atenție deosebită dacă algoritmul utilizează categorii speciale de date cu
caracter personal: procesul decizional automat este permis în următoarele condiții:
 dacă persoana fizică și-a dat consimțământul explicit sau
 dacă prelucrarea este necesară din motive de interes public major, în temeiul dreptului UE sau
național.
În plus, dacă persoana fizică în cauză este copil, ar trebui evitată luarea unor decizii, bazate
exclusiv pe procesare automată, care produc efecte juridice sau efecte semnificative similare asupra sa,
deoarece copiii reprezintă un grup mai vulnerabil al societății.
Exemplu
Societatea/organizația dvs. este o bancă online care oferă credite. Clienții își introduc datele, iar un
algorit produce rezultate care vă spun dacă ar trebui să îi fie oferit sau nu un credit clientului și propune o
dobândă. Societatea/organizația dvs. ar trebui să revizuiască decizia respectivă înainte de a fi comunicată
clientului respectiv și să îl informeze că își poate exprima opinia și, eventual, contesta decizia, având în
vedere că persoana fizică are dreptul de a nu face obiectul unei decizii bazate pe algoritmi.
Referințe
Articolul 4 punctul 4 și articolul 22 și considerentele (71) și (72) ale RGPD Orientările Grupului de lucru
al articolului 29 privind procesul decizional individual și crearea de profiluri în ceea ce privește
Regulamentul (UE) 2016/679 (WP 251)
66
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/are-there-restrictions-use-automated-
decision-making_ro
38
APLICAREA LEGII ȘI SANCȚIUNI67
68. Ce se întâmplă dacă societatea mea prelucrează date în diferite state membre ale UE?
Răspuns68
Regulamentul general privind protecția datelor (RGPD) se aplică în întreaga UE – același set de
norme privind protecția datelor pentru toate statele membre ale UE. Astfel, societatea/organizația dvs.
nu este nevoită să se familiarizeze cu mai multe legi diferite. În unele domenii, statele membre UE pot
adăuga precizări privind aplicarea normelor RGPD (de exemplu, norme privind ocuparea forței de
muncă; sectorul sănătății publice; norme privind reconcilierea dintre libertatea de exprimare și protecția
datelor). De asemenea, RGPD introduce așa-numitul mecanism al „ghișeului unic”, care asigură
cooperarea între autoritățile de protecție a datelor (APD) în cazul prelucrării transfrontaliere.
Dacă societatea/organizația dvs. prelucrează date în diferite țări, APD competentă – care va fi
autoritatea principală în relațiile sale cu alte APD-uri din UE – este APD din statele membre ale UE în
care are sediul principal. Aceasta este identificată drept administrația centrală în UE a
societății/organizației dvs., dacă deciziile privind scopurile și mijloacele de prelucrare a datelor cu
caracter personal nu se iau în alt sediu, iar acel sediu are puterea de a pune în aplicare aceste decizii.
Dacă societatea/organizația dvs. prelucrează date pentru a îndeplini o obligație în temeiul
dreptului național al unui stat membru al UE, APD din respectivul stat membru al UE are competență
unică.
Exemplu
Sediul principal (adică sediul central) al unei fabrici de textile este în Italia. Aceasta are magazine-
satelit în țări învecinate, cum ar fi Malta, Grecia, Franța și Austria. În aceste țări învecinate, magazinele
sale satelit creează baze de date care prelucrează date cu caracter personal ale clienților în scopuri de
marketing. Cu toate acestea, deciziile privind „cum” trebuie contactați clienții respectivi, „când” și „de
ce” se iau la sediul central din Italia. Astfel, în acest caz, se consideră că decizia privind prelucrarea
datelor cu caracter personal în scopuri de marketing se ia în Italia. APD din Italia este autoritatea
principală pentru societatea/organizația dvs.
Referințe
Orientările Grupului de lucru al articolului 29 privind autoritatea de supraveghere principală și anexa la
acestea („Întrebări frecvente”), 5 aprilie 2017
Articolul 4 punctul 23 și articolele 55, 56 și 60-70 și considerentele (124)-(140) ale RGPD
69. Ce se întâmplă dacă societatea/organizația mea nu respectă normele privind protecția

datelor?
Răspuns69
Regulamentul general privind protecția datelor (RGPD) pune la dispoziția autorităților de
protecție a datelor diferite instrumente în caz de nerespectare a normelor de protecție a datelor :
 posibilă încălcare – se poate emite un avertisment;
 încălcare: printre posibilități se numără o mustrare, interzicerea temporară sau definitivă a prelucrării
și o amendă de până la 20 de milioane EUR sau 4 % din totalul global al cifrei de afaceri anuale a
societății.
Trebuie menționat că, în cazul unei încălcări, APD poate impune o amendă pecuniară în locul sau
în completarea mustrării și/sau a interzicerii prelucrării.
67
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions_ro
68
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions/enforcement/what-happens-
if-my-company-processes-data-different-eu-member-states_ro
69
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions/sanctions/what-if-my-
company-organisation-fails-comply-data-protection-rules_ro
39
Autoritatea trebuie să se asigure că amenzile impuse în fiecare caz individual sunt eficace,
proporționale și disuasive. Aceasta va lua în considerare mai mulți factori, cum ar fi natura, gravitatea
și durata încălcării, dacă încălcarea a fost comisă intenționat sau din neglijență, precum și orice acțiuni
întreprinse pentru a reduce prejudiciul suferit de către persoanele fizice, gradul de cooperare cu
organizația etc.
Exemplu
O societate vinde online produse pentru gospodărie. Prin intermediul site-ului său, consumatorii
pot cumpăra aparatură de bucătărie, mese, scaune și alte produse de uz casnic, introducându-și datele
bancare. Site-ul a suferit un atac cibernetic în urma căruia atacatorul a intrat în posesia unor date cu
caracter personal. În acest caz, lipsa unor măsuri tehnice adecvate luate de societate pare să fi fost cauza
pierderii datelor.
În această situație, autoritatea de supraveghere va lua în considerare diverși factori înainte de a
decide ce instrument corectiv să aplice. Factori precum: cât de gravă a fost deficiența din sistemul
informatic? Cât timp a fost expusă infrastructura informatică la un asemenea risc? S-au efectuat în trecut
teste pentru prevenirea unui astfel de atac? Datele câtor clienți au fost furate/dezvăluite? Ce tip de date
cu caracter personal a fost afectat – au existat și date sensibile? Toate aceste considerente și altele vor fi
luate în calcul de către autoritatea de supraveghere.
Referințe
Articolele 58, 60, 83 și 84 și considerentele (129), (148), (150) și (151) ale RGPD
Orientările Grupului de lucru al articolului 29 privind aplicarea și stabilirea amenzilor administrative în
scopul Regulamentului 2016/679, 3 octombrie 2017
70. Ce constituie prelucrare de date?

Răspuns70
„Prelucrarea” acoperă o varietate amplă de operații efectuate asupra datelor cu caracter personal,
inclusiv prin mijloace manuale sau automate. Aceasta include colectarea, înregistrarea, organizarea,
structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin
transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea,
restricționarea, ștergerea sau distrugerea datelor cu caracter personal.
Regulamentul general privind protecția datelor (RGPD) se aplică prelucrării datelor cu caracter
personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin mijloace
neautomatizate, dacă aceasta face parte dintr-un sistem structurat de evidență a datelor.
Exemple de prelucrare
 managementul personalului și administrarea statelor de plată;
 accesarea/consultarea unei baze de date cu persoane de contact care conține date cu caracter personal;
 trimiterea de e-mailuri promoționale*;
 distrugerea de documente care conțin date cu caracter personal;
 postarea/plasarea fotografiei unei persoane pe un site web;
 stocarea adreselor IP sau a adreselor MAC;
 înregistrarea video (CCTV).
*Vă rugăm să rețineți că pentru a trimite e-mailuri de marketing direct trebuie să respectați și normele
privind marketingul stabilite în Directiva privind confidențialitatea în mediul electronic.
Referințe
Articolul 4 punctele 2 și 6 din RGPD
70
https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-constitutes-data-processing_ro
40
DREPTURI PENTRU CETĂȚENI71
Cum îmi sunt protejate datele cu caracter personal?72

71. Cum sunt protejate datele privind confesiunea mea religioasă/orientarea mea
sexuală/sănătatea mea/opiniile mele politice?73
Răspuns
Următoarele categorii speciale de date cu caracter personal sunt considerate „sensibile” și
beneficiază de protecție specifică în temeiul Regulamentului general privind protecția datelor (RGPD):
 originea etnică sau rasială;
 opiniile politice;
 confesiunea religioasă sau convingerile filozofice;
 apartenența la sindicate;
 prelucrarea de date genetice;
 prelucrarea de date biometrice pentru identificarea unică a unei persoane fizice;
 sănătatea;
 viața sexuală sau orientarea sexuală.
Regula generală este că prelucrarea datelor menționate este interzisă. Pe baza anumitor derogări,
o societate/organizație ar putea, însă, să prelucreze date cu caracter personal sensibile, atunci când, de
exemplu:
 v-ați făcut publice în mod manifest propriile date sensibile;
 v-ați dat consimțământul explicit;
 există o lege care reglementează un anumit tip de prelucrare de date într-un anumit scop legat de
interesul public sau de sănătate;
 lege care include garanții adecvate prevede prelucrarea datelor cu caracter personal sensibile în
domenii precum sănătatea publică, ocuparea forței de muncă și protecția socială.
Exemplu
Oficiul Național de Statistică (o entitate de stat) organizează un recensământ o dată la cinci ani. Primiți
un link la un chestionar pe care aveți obligația să îl completați. Acesta include câmpuri precum sexul și
originea rasială sau etnică. În această situație, deoarece chestionarul este bazat pe o lege care servește unui
interes public și conține garanții pentru protejarea datelor dvs. sensibile (de exemplu, datele sunt accesate
numai de către destinatarii autorizați care lucrează la recensământ), Oficiul Național de Statistică are
dreptul de a prelucra datele dvs. cu caracter personal.
Referințe
72. Pot fi colectate date cu caracter personal despre copii?

Răspuns74
Pentru acest tip de date cu caracter personal s-au instituit măsuri de protecție suplimentare,
deoarece copiii sunt mai puțin conștienți de riscurile și consecințele transmiterii datelor, precum și de
drepturile proprii. Orice informații adresate în mod specific unui copil ar trebui adaptate pentru a fi ușor
accesibile, formulate într-un limbaj simplu și clar.
Pentru majoritatea serviciilor online este necesar consimțământul unui părinte sau al unui tutore
legal pentru prelucrarea datelor cu caracter personal ale unui copil pe bază de consimțământ până la o
71
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens_ro
72
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected_ro
73
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-data-my-religious-beliefs-sexual-
orientation-health-political-views-protected_ro
74
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/can-personal-data-about-children-be-
collected_ro
41
anumită vârstă. Acest lucru este valabil pentru site-urile de rețele sociale, precum și pentru platformele
pentru descărcarea de muzică și cumpărarea de jocuri online.
Limita de vârstă pentru obținerea consimțământului părinților este stabilită de fiecare stat membru
al UE și poate fi între 13 și 16 ani. Consultați autoritatea națională de protecție a datelor.
Societățile trebuie să depună eforturi rezonabile, ținând seama de tehnologiile disponibile, pentru
a se asigura că respectivul consimțământ a fost într-adevăr acordat în conformitate cu prevederile legii.
Aceste eforturi pot cuprinde implementarea unor măsuri de verificare a vârstei (de exemplu, o întrebare
la care un copil mediu nu ar ști să răspundă sau solicitarea ca minorul să comunice adresa de e-mail a
părintelui său pentru a face posibilă acordarea consimțământului scris).
Serviciile de prevenire sau de consiliere oferite direct copiilor sunt scutite de obligația de a obține
consimțământul unui părinte, deoarece ele urmăresc protejarea intereselor copiilor.
Exemple
Este necesar consimțământul unui părinte
Aveți o fiică în vârstă de 12 ani. Aceasta ar dori să se înscrie într-o rețea socială cunoscută și i se
solicită consimțământul pentru prelucrarea informațiilor privind religia sa. Ar trebui să vă dați
consimțământul dacă doriți ca ea să se înscrie în rețeaua socială respectivă.
Nu este necesar consimțământul unui părinte
Fiul dvs. în vârstă de 17 ani se gândește să participe la un sondaj online referitor la preferințele sale
vestimentare. Site-ul solicită consimțământul pentru prelucrarea datelor sale. Deoarece are peste 16 ani,
fiul dvs. își poate da consimțământul fără a-l cere pe al dvs.
Referințe
73. Mă poate obliga angajatorul să îmi dau consimțământul pentru utilizarea datelor mele cu
caracter personal?
Răspuns75
Situația angajator-angajat este considerată, în general, o relație dezechilibrată, în care angajatorul
dispune de mai multă putere decât angajatul. Deoarece consimțământul trebuie să fie liber și având în
vedere caracterul dezechilibrat al relației, angajatorul nu poate, în majoritatea cazurilor, să se bazeze pe
consimțământul dvs. pentru a vă utiliza datele.
S-ar putea să existe situații în care este legală prelucrarea datelor cu caracter personal ale unui
angajat pe baza consimțământului acestuia, în special dacă prelucrarea se face în interesul angajatului.
De exemplu, dacă o companie acordă beneficii angajatului sau membrilor familiei acestuia (cum ar fi
reduceri la serviciile oferite de companie), prelucrarea datelor cu caracter personal ale unui angajat este
permisă și legală, dacă s-a acordat consimțământul prealabil în cunoștință de cauză.
Exemplu
Consimțământul nu este valid
Angajatorul dvs. consideră că trebuie crescută productivitatea muncii. În acest scop, intenționează să
instaleze camere de televiziune cu circuit închis (CCTV) pe coridoare și la intrarea băilor. Vă solicită
consimțământul pentru a vă putea monitoriza mișcările și timpul petrecut în afara biroului. Chiar dacă vă
dați consimțământul, acesta ar fi considerat nevalid, iar angajatorul dvs. nu are voie să instaleze CCTV pe
baza acestui consimțământ.
Referințe
Articolele 7 și 88 și considerentul (43) al RGPD
Orientările Grupului de lucru al articolului 29 privind consimțământul în cadrul Regulamentului (UE)
2016/679 (WP 259)
75
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/can-my-employer-require-me-give-my-
consent-use-my-personal-data_ro
42
Avizul 2/2017 al Grupului de lucru al articolului 29 privind prelucrarea datelor la locul de muncă (WP
249)
74. Cum ar trebui solicitat consimțământul meu?

Răspuns76
Cererea privind consimțământul trebuie prezentată într-o formă clară și concisă, într-un limbaj
ușor de înțeles, și trebuie să se diferențieze în mod clar de alte informații, cum ar fi termenele și condițiile.
Cererea trebuie să precizeze cum vor fi utilizate datele dvs. cu caracter personal și să includă datele de
contact ale companiei care prelucrează datele. Consimțământul trebuie să fie o manifestare liber
exprimată, specifică, în cunoștință de cauză și clară. Consimțământul „în cunoștință de cauză” înseamnă
că trebuie să vi se ofere informații cu privire la prelucrarea datelor dvs. cu caracter personal, inclusiv cel
puțin:
 identitatea organizației care prelucrează datele;
 scopurile în care sunt prelucrate datele;
 tipul de date care se vor prelucra;
 posibilitatea de retragere a consimțământului (de exemplu prin trimiterea unui e-mail pentru a vă
retrage consimțământul);
 dacă este cazul, faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea
automată, inclusiv crearea de profiluri;
 în cazul în care consimțământul se referă la un transfer internațional al datelor dvs., riscurile posibile
ale transferurilor de date în țări din afara UE dacă nu există o decizie privind caracterul adecvat al
nivelului de protecție sau garanții adecvate în privința acestor țări.
Exemple
Consimțământ nesolicitat conform legii
Vă înscrieți la o școală de muzică pentru a lua lecții de pian. Formularul de înscriere conține un
document lung scris mărunt, cu termeni juridici și tehnici avansați, care include posibilitatea ca școala să
transmită datele dvs. cu caracter personal unor comercianți cu amănuntul de instrumente muzicale. Școala
încalcă legea, deoarece nu vi s-a prezentat o cerere de consimțământ prevăzută de lege pentru primirea de
materiale de marketing (eventual din partea comercianților cu amănuntul de instrumente muzicale).
Deschideți un cont bancar online și doriți să vă confirmați solicitarea. Vi se afișează o pagină cu două
căsuțe de bifat, cu textele „Accept termenele și condițiile” și „Sunt de acord ca decizia dacă am sau nu
dreptul la un card de credit să fie bazată exclusiv pe crearea de profiluri fără nicio intervenție umană”.
Ambele căsuțe sunt activate (bifate) în mod implicit. Trebuie să dezactivați căsuța dacă nu doriți să faceți
obiectul unei decizii privind eliberarea unui card de credit bazate exclusiv pe crearea de profiluri. Chiar
dacă nu dezactivați căsuța, consimțământul obținut de bancă nu ar fi valabil, deoarece căsuțele bifate în
prealabil nu sunt considerate valabile în temeiul RGPD.
Referințe
Orientările Grupului de lucru al articolului 29 privind consimțământul în cadrul Regulamentului (UE)
2016/679 (WP 259)
75. Ce se întâmplă dacă datele pe care le-am transmis sunt dezvăluite?

Răspuns77
Se produce o încălcare a securității datelor cu caracter personal atunci când există o încălcare a
securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea
neautorizată a datelor cu caracter personal prelucrate sau la accesul neautorizat la acestea. Dacă se
76
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-should-my-consent-be-requested_ro
77
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/what-happens-if-data-i-have-shared-
leaked_ro
43
întâmplă acest lucru, organizația care deține datele cu caracter personal trebuie să anunțe autoritatea de
supraveghere fără întârzieri nejustificate. Dacă încălcarea securității datelor cu caracter personal este
susceptibilă de a genera un risc ridicat pentru drepturile și libertățile dvs., iar riscul nu a fost atenuat,
atunci trebuie să fiți informat(ă) și dvs., ca persoană fizică.
Exemplu
Ați rezervat un taxi printr-o aplicație online. Compania de taxi a suferit o încălcare de proporții a
securității datelor cu caracter personal și s-au furat date privind șoferii și utilizatorii. Se pare că nu exista
nicio măsură de securitate specifică pentru protejarea datelor cu caracter personal. Compania ar fi trebuit
să vă informeze în legătură cu încălcarea securității. În acest caz puteți depune o plângere împotriva
companiei de taxi la autoritatea de protecție a datelor („APD”).
Referințe
Articolele 32, 33 și 34 și considerentele (85)- (88) ale RGPD
DREPTURILE MELE78
76. Ce drepturi am?
Răspuns79
Aveți dreptul:
 să primiți informații privind prelucrarea datelor dvs. cu caracter personal;
 să obțineți acces la datele cu caracter personal deținute în legătură cu dvs.;
 să solicitați corectarea datelor cu caracter personal incorecte, inexacte sau incomplete;
 să solicitați ștergerea datelor cu caracter personal când acestea nu mai sunt necesare sau dacă
prelucrarea acestora este ilegală;
 să vă opuneți prelucrării datelor dvs. cu caracter personal în scopuri de marketing sau din motive
legate de situația particulară în care vă aflați;
 să solicitați restricționarea prelucrării datelor dvs. cu caracter personal în anumite cazuri;
 să primiți datele dvs. cu caracter personal într-un format care poate fi citit automat și să le trimiteți
altui operator („portabilitatea datelor”);
 să solicitați ca deciziile bazate pe prelucrarea automată a datelor dvs. cu caracter personal care vă
privesc sau care vă afectează într-o măsură semnificativă să fie luate de către persoane fizice, nu
exclusiv de computere. În acest caz, aveți și dreptul de a vă exprima punctul de vedere și de a contesta
decizia.
Pentru a vă exercita drepturile, ar trebui să contactați societatea sau organizația care vă
prelucrează datele (adică operatorul de date). În cazul în care societatea/organizația are un responsabil
cu protecția datelor (RPD), îi puteți adresa cererea acestui RPD. Societatea/organizația trebuie să
răspundă cererilor fără întârzieri nejustificate și cel târziu în termen de o lună. Dacă nu intenționează să
se conformeze la cererea dvs., societatea/organizația trebuie să motiveze refuzul. Vi se poate cere să
furnizați informații pentru a vă confirma identitatea (de exemplu, să faceți clic pe un link de verificare,
să introduceți un nume de utilizator sau o parolă) pentru a vă exercita drepturile.
Aceste drepturi se aplică în întreaga UE, indiferent unde se prelucrează datele și unde își are
sediul societatea. Aceste drepturi se aplică și când cumpărați produse și servicii de la societăți din afara
UE care își desfășoară activitatea în UE.
Referință
Capitolul III din RGPD
78
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights_ro
79
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/what-are-my-rights_ro
44
77. Ce informații ar trebui să primesc când furnizez datele mele cu caracter personal?
Răspuns80
Când vă comunicați datele cu caracter personal, trebuie să primiți, printre altele, informații
despre:
 denumirea companiei sau a organizației care prelucrează datele dvs. (inclusiv datele de contact ale
RPD, dacă există unul);
 scopurile în care compania/organizația va utiliza datele dvs.;
 categoriile de date cu caracter personal în cauză;
 temeiul juridic al prelucrării datelor dvs. cu caracter personal;
 perioada de timp pentru care datele dvs. vor fi stocate;
 alte societăți/organizații care vor primi datele dvs.;
 eventuală transferare a datelor în afara UE;
 drepturile de bază pe care le aveți în ceea ce privește prelucrarea datelor (de exemplu, dreptul de a
accesa și transfera datele sau de a dispune ștergerea acestora);
 dreptul de a depune o plângere în fața unei autorități de protecție a datelor (APD);
 dreptul de a vă retrage consimțământul în orice moment;
 existența unui proces decizional automatizat și logica utilizată, inclusiv consecințele.
Informațiile ar trebui prezentate într-o formă concisă, transparentă și inteligibilă și redactate într-
un limbaj clar și simplu.
Referințe
Articolele 12 și 13 și considerentele (60), (61) și (62) ale RGPD.
Orientările Grupului de lucru al articolului 29 privind transparența în cadrul Regulamentului 2016/679
(WP 260)
78. Cum pot accesa datele mele cu caracter personal pe care le deține o companie/organizație?
Răspuns81
Aveți dreptul de a obține din partea societății/organizației o confirmare că se prelucrează sau nu
date cu caracter personal care vă privesc.
În cazul în care societatea/organizația are datele dvs. cu caracter personal, aveți dreptul să accesați
datele respective, să primiți o copie și să obțineți orice informații suplimentare relevante (cum ar fi
motivul prelucrării datelor dvs. cu caracter personal, categoriile de date cu caracter personal utilizate
etc.).
Acest drept de acces ar trebui să poată fi exercitat cu ușurință și să fie posibil la „intervale de timp
rezonabile”. Societatea/organizația ar trebui să vă furnizeze gratuit o copie a datelor dvs. cu caracter
personal. Eventualele copii suplimentare pot fi supuse unei taxe rezonabile. Dacă efectuați cererea prin
mijloace electronice (de exemplu, printr-un e-mail) și nu solicitați un alt format, informațiile ar trebui
furnizate într-un format electronic utilizat în mod curent.
Acest drept nu este unul absolut: exercitarea dreptului de acces la datele dvs. cu caracter personal
nu ar trebui să afecteze drepturile și libertățile altora, inclusiv secretele comerciale sau proprietatea
intelectuală.
Exemple
Dreptul de acces
Împrumutați cărți de la o bibliotecă. Puteți solicita bibliotecii să vă furnizeze datele cu caracter
personal pe care le deține în legătură cu dvs. În acest caz, biblioteca ar trebui să vă furnizeze toate
informațiile stocate cu privire la dvs., cum ar fi: data la care ați început să utilizați serviciile bibliotecii;
80
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/what-information-should-i-receive-when-i-provide-my-personal-
data_ro
81
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/how-can-i-access-my-personal-data-held-company-
organisation_ro
45
cărțile pe care le-ați împrumutat; dacă ați întârziat vreodată cu înapoierea cărților și eventualele penalități
care vi s-au aplicat.
V-ați înscris la un program de fidelitate al unui lanț de supermarketuri cu magazine în diferite locuri
din oraș și din țară. Dacă vă exercitați dreptul de a solicita informații și de a obține datele cu caracter
personal stocate în sistemul de carduri de fidelitate, ar trebui să primiți informații precum: cât de des ați
utilizat cardul; la ce supermarketuri ați făcut cumpărături; dacă ați primit vreo reducere și dacă (și cum) ați
fost vizat(ă) prin utilizarea tehnicilor de creare de profiluri; dacă supermarketul, care face parte dintr-un
lanț multinațional de companii, a comunicat datele dvs. companiei înrudite care comercializează parfumuri
și produse cosmetice.
Referințe
79. Datele mele sunt incorecte: le pot corecta?

Răspuns82
În cazul în care considerați că datele dvs. cu caracter personal ar putea fi incorecte, incomplete
sau inexacte, puteți cere societății sau organizației să vă corecteze datele. Societatea/organizația trebuie
să facă acest lucru fără întârzieri nejustificate (în principiu, în termen de o lună) sau să explice în scris
motivele pentru care nu poate da curs cererii.
Exemplu
Un birou de credite prelucrează niște informații furnizate de către fostul dvs. locator, potrivit
cărora îi datorați acestuia chiria pe trei luni. Tocmai ați câștigat un proces în justiție, iar revendicarea de
către acesta a chiriei pe trei luni a fost respinsă ca fiind nefondată. Puteți cere biroului de credite să
corecteze datele pe care le deține în legătură cu dvs., astfel încât să nu fiți dezavantajat(ă) în viitor, la
prelucrarea unor cereri de credit.
Referințe
Articolele 12, 16, 19 și 23 și considerentul (65) al RGPD
80. Pot cere unei societăți/organizații să îmi trimită datele mele cu caracter personal ca să le
pot utiliza în altă parte?
Răspuns83
Dacă o societate prelucrează datele dvs. cu caracter personal pe baza consimțământului dvs. sau
a unui contract, puteți cere societății respective să vă transfere datele dvs. cu caracter personal.
De asemenea, puteți solicita ca datele dvs. cu caracter personal să fie transferate direct la o altă
societate ale cărei servicii ați dori să le utilizați, dacă acest lucru este fezabil din punct de vedere tehnic.
Exemplu
Sunteți membru (membră) a(l) unei rețele sociale online. Decideți că o nouă rețea socială concurentă
este mai potrivită pentru obiectivele și grupa dvs. de vârstă. Puteți solicita rețelei sociale online pe care o
utilizați în prezent să transfere datele dvs. cu caracter personal, inclusiv fotografiile dvs., la noua rețea
socială.
Referințe
Orientările Grupului de lucru al articolului 29 privind dreptul la portabilitatea datelor, adoptate în data
de 13 decembrie 2016, revizuite și adoptate cel mai recent la 5 aprilie 2017 (WP 242 rev.01)
82
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/my-data-incorrect-can-i-correct-it_ro
83
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-organisation-send-me-my-personal-data-so-i-
can-use-it-somewhere-else_ro
46
81. Pot cere unei societăți/organizații să nu mai prelucreze datele mele cu caracter personal?
Răspuns84
Aveți dreptul de a vă opune prelucrării datelor dvs. cu caracter personal și de a cere unei
societăți/organizații să nu le mai prelucreze în cazul datele dvs. cu caracter personal sunt prelucrate:
 în scopuri de marketing direct;
 pentru cercetare științifică/istorică și realizarea de statistici;
 în propriul său interes legitim sau în cadrul îndeplinirii unei sarcini în interes public/pentru o
autoritate oficială.
Dacă vă opuneți marketingului direct, societatea trebuie să înceteze a mai utiliza datele dvs. cu
caracter personal și să vă respecte cererea fără a percepe nicio taxă.
Cu toate acestea, o societate/organizație poate continua să prelucreze datele dvs. cu caracter
personal în pofida obiecțiilor dvs. dacă:
 în cazul prelucrării în scopuri de cercetare științifică/istorică și în scopuri statistice, prelucrarea este
necesară pentru îndeplinirea unei sarcini executate în interes public;
 în cazul prelucrării bazate pe interese legitime sau pe îndeplinirea unei sarcini în interes
public/exercitarea autorității oficiale, societatea poate demonstra că are motive legitime și imperioase
care prevalează asupra intereselor, a drepturilor și a libertăților dvs. Prin urmare, este necesar un
exercițiu de asigurare a echilibrului.
Când vă contactează pentru prima dată, societatea ar trebui să vă informeze cu privire la dreptul
dvs. de a vă opune.
Exemplu
Ați cumpărat două bilete la un concert al formației dvs. preferate prin intermediul unei societăți de
vânzări de bilete online. După aceea sunteți bombardat(ă) cu reclame la concerte și evenimente care nu vă
interesează. Informați compania de vânzări de bilete că nu doriți să mai primiți material publicitar.
Compania ar trebui să înceteze a mai prelucra datele dvs. cu caracter personal pentru marketing direct și,
în scurt timp, ar trebui să nu mai primiți e-mailuri de la aceasta. Societatea nu ar trebui să perceapă nicio
taxă în acest scop.
Referințe
Articolele 7, 12 și 21 și considerentele (69) și (70) ale RGPD
82. Pot cere unei societăți/organizații să șteargă datele mele cu caracter personal?
Răspuns85
Da, puteți solicita ștergerea datelor dvs. cu caracter personal, de exemplu, atunci când datele pe
care le deține societatea cu privire la dvs. nu mai sunt necesare sau dacă datele dvs. au fost utilizate ilegal.
Datele cu caracter personal furnizate când erați copil pot fi șterse în orice moment.
Acest drept se aplică și online și este denumit adesea „dreptul de a fi uitat(ă)”. În anumite situații,
puteți cere societăților care au pus la dispoziție online datele dvs. cu caracter personal să le șteargă. Acele
societăți au și obligația de a lua măsuri rezonabile pentru a informa alte societăți (alți operatori) care
prelucrează datele cu caracter personal că subiectul datelor a cerut ștergerea oricăror linkuri către datele
respective sau a oricăror copii sau reproduceri ale acelor date cu caracter personal.
Este demn de reținut faptul că acest drept nu este unul absolut, ceea ce înseamnă că sunt protejate
și alte drepturi, cum ar fi libertatea de exprimare și cercetarea științifică.
Exemple
Datele ar trebui șterse
84
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-organisation-send-me-my-personal-data-so-i-
can-use-it-somewhere-else_ro
85
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-organisation-stop-processing-my-personal-
data_ro
47
V-ați înscris pe un site de rețele sociale. După o perioadă, decideți să părăsiți site-ul. Aveți dreptul de
a-i cere societății să șteargă datele cu caracter personal care vă aparțin.
Datele nu pot fi șterse imediat
O bancă nouă oferă credite ipotecare avantajoase. Vă cumpărați o casă nouă și decideți să treceți la
noua bancă. Solicitați „vechii” bănci să vă închidă toate conturile și să șteargă toate datele dvs. cu caracter
personal. Vechea bancă trebuie să respecte însă o lege care obligă băncile să păstreze timp de 10 ani toate
datele clienților. Vechea bancă nu poate șterge pur și simplu datele dvs. cu caracter personal. În acest caz,
ați putea cere restricționarea prelucrării datelor dvs. cu caracter personal. În acest caz, banca va putea păstra
datele numai pentru perioada de timp impusă de lege și nu poate efectua nicio altă operație de prelucrare
asupra lor.
Datele ar trebui șterse
Faceți o căutare online folosind numele și prenumele dvs., iar printre rezultate apare un link la un
articol de ziar. Informațiile din ziar sunt de acum câțiva ani și se referă la o chestiune – o licitație imobiliară
legată de niște proceduri de recuperare a unei datorii – rezolvată cu mult timp în urmă, în prezent irelevantă.
Dacă nu sunteți o personalitate publică, iar interesul dvs. privind ștergerea articolului primează în fața
interesului publicului general privind accesul la informație, motorul de căutare este obligat să șteargă din
rezultate linkurile la paginile web care conțin numele și prenumele dvs.
Referințe
Articolele 12, 17 și 23 și considerentele (65) și (66) ale RGPD
Orientările Grupului de lucru al articolului 29 privind punerea în aplicare a Hotărârii Curții de Justiție
din 13 mai 2014, Google Spania și Google, C-131/121, ECLI:EU:C:2014:3171 (WP 225)
1 Un sumar al hotărârii a fost publicat în JO C 212, 7.7.2014, p. 4.
83. Când ar trebui să îmi exercit dreptul la restricționarea prelucrării datelor mele cu caracter
personal?
Răspuns86
În general, în cazurile în care nu este clar dacă și când vor trebui șterse datele cu caracter personal,
vă puteți exercita dreptul la restricționarea prelucrării. Acest drept poate fi exercitat când:
 este contestată exactitatea datelor în cauză;

 nu doriți să fie șterse datele;
 datele nu mai sunt necesare în scopul inițial, dar nu pot fi șterse încă din motive juridice;
 se așteaptă o decizie cu privire la obiecția dvs.
„Restricționare” înseamnă că – exceptând stocarea – datele dvs. cu caracter personal pot fi
prelucrate numai cu consimțământul dvs. pentru constatarea, exercitarea sau apărarea unui drept în
justiție, pentru protecția drepturilor altei persoane fizice sau juridice sau din motive de interes public al
UE sau al unui stat membru al UE. Trebuie să fiți informat(ă) înainte de ridicarea restricției.
Exemplu
O bancă nouă pe piața internă oferă credite ipotecare avantajoase. Vă cumpărați o casă nouă și decideți
să schimbați banca. Solicitați „vechii” bănci să vă închidă toate conturile și să șteargă toate datele dvs. cu
caracter personal. Vechea bancă trebuie să respecte însă o lege care obligă băncile să păstreze timp de 10
ani toate datele clienților. Vechea bancă are obligația juridică de a păstra datele dvs., dar puteți totuși
solicita restricționarea datelor, pentru a vă asigura că acestea nu sunt utilizate în mod „accidental” în
scopuri nedorite.
Referințe
86
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/when-should-i-exercise-my-right-restriction-processing-my-
personal-data_ro
48
84. Pot face obiectul unui proces decizional individual automatizat, inclusiv al creării de
profiluri?
Răspuns87
Crearea de profiluri are loc atunci când se evaluează aspectele dvs. personale pentru a face
previziuni în legătură cu dvs., chiar dacă nu se ia nicio decizie. De exemplu, dacă o companie sau
organizație vă evaluează caracteristicile (cum ar fi vârsta, sexul, înălțimea) sau vă încadrează într-o
categorie, acest lucru înseamnă că vi se creează un profil.
Procesul decizional exclusiv automatizat are loc atunci când se iau decizii în privința dvs. prin
mijloace tehnologice și fără nicio implicare umană: aceste decizii se pot lua chiar și fără crearea de
profiluri.
Legea privind protecția datelor stabilește că aveți dreptul de a nu face obiectul unei decizii bazate
exclusiv pe mijloace automatizate dacă decizia produce efecte juridice care vă privesc sau afectează în
mod similar într-o măsură semnificativă. O decizie produce efecte juridice atunci când are un impact
asupra drepturilor dvs. juridice (cum ar fi dreptul de vot). În plus, prelucrarea vă poate afecta într-o
măsură semnificativă dacă vă influențează circumstanțele, comportamentul sau alegerile. De exemplu,
prelucrarea automatizată poate duce la refuzul unei cereri de credit online.
Crearea de profiluri și procesul decizional automatizat sunt practici obișnuite în diferite sectoare,
cum ar fi sectorul bancar și cel financiar, sectorul fiscal și al sănătății. Aceste practici pot fi mai eficiente,
dar și mai puțin transparente și vă pot restricționa alegerea.
Deși, de regulă, nu puteți face obiectul unei decizii bazate exclusiv pe prelucrare automată, acest
tip de proces decizional poate fi permis, în mod excepțional, dacă legea permite utilizarea algoritmilor și
prevede garanții adecvate.
Deciziile bazate exclusiv pe mijloace automatizate sunt permise, de asemenea:
 dacă decizia este necesară (mai precis, trebuie să nu existe nicio altă modalitate de a atinge același
obiectiv) pentru încheierea sau derularea unui contract cu dvs.;
 dacă v-ați dat consimțământul explicit.
În ambele situații, decizia luată trebuie să vă protejeze drepturile și libertățile prin punerea în
aplicare a unor garanții adecvate. Compania sau organizația trebuie cel puțin să vă informeze cu privire
la dreptul dvs. de a obține intervenție umană și de a face demersurile procedurale necesare; în plus,
compania sau organizația ar trebui să vă permită să vă exprimați punctul de vedere și să vă informeze că
puteți contesta decizia.
Deciziile bazate pe algoritmi nu pot utiliza categorii speciale de date decât dacă v-ați dat
consimțământul sau dacă prelucrarea este permisă de dreptul UE sau de dreptul național (a se vedea mai
sus).
Exemplu
Apelați la o bancă online pentru un împrumut. Vi se cere să vă introduceți datele, iar algoritmul băncii
vă spune dacă banca vă va acorda sau nu împrumutul și vă prezintă rata dobânzii propusă. Trebuie să fiți
informat(ă) că puteți: să vă exprimați opinia, să contestați decizia și să solicitați ca decizia luată pe baza
algoritmului să fie verificată de o persoană.
Referințe
Orientările Grupului de lucru al articolului 29 privind procesul decizional individual automatizat și
crearea de profiluri în scopurile stabilite de Regulamentul (UE) 2016/679 (WP 251)
87
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject-automated-individual-decision-making-
including-profiling_ro
49
CĂI DE ATAC88
85. Ce ar trebui să fac în cazul în care cred că nu mi-au fost respectate drepturile privind
protecția datelor cu caracter personal?
Răspuns89
În cazul în care credeți că v-au fost încălcate drepturile privind protecția datelor, aveți trei opțiuni:
 depunerea unei plângeri la autoritatea de protecție a datelor (APD) din țara dvs.
Autoritatea efectuează investigații și vă informează cu privire la progresele sau la soluționarea plângerii
dvs. în termen de trei luni.
 acționarea în justiție a APD
În cazul în care considerați că APD nu a tratat corect plângerea dvs. sau dacă nu sunteți mulțumit(ă) de
răspunsul acesteia ori dacă aceasta nu vă informează cu privire la progresele sau la soluționarea plângerii
în termen de trei luni de la data depunerii puteți introduce direct o acțiune în justiție împotriva APD.
 acționarea în justiție a unei societăți/organizații
Introduceți direct o acțiune în justiție împotriva unei companii în cazul în care considerați că aceasta v-a
încălcat drepturile privind protecția datelor. Acest lucru nu vă împiedică să depuneți o plângere la APD
dacă doriți.
Uneori, compania împotriva căreia a fost depusă plângerea prelucrează date în diferite state
membre ale UE. În acest caz, APD competentă tratează plângerea în cooperare cu APD-urile din celelalte
state membre ale UE. Acest sistem, denumit „mecanismul ghișeului unic”, asigură tratarea mai eficientă
a plângerilor. De exemplu, vă poate ajuta să puneți în legătură plângerea dvs. cu plângeri similare depuse
în alte state membre ale UE. APD la care ați depus plângerea este principalul dvs. punct de contact.
Exemplu
Vă place să alergați. Ați cumpărat un ceas care vă calculează pulsul și viteza per kilometru, vă
înregistrează ruta și culege alte date relevante. Încărcați toate datele dvs. pe site-ul web. Vă dați seama că
datele dvs. au fost amestecate cu ale altcuiva. Puteți depune o plângere împotriva site-ului la APD din țara
dvs.
Referințe
Articolele 60 și 77-80 și considerentele (141), (143) și (145) ale RGPD
86. Poate o organizație neguvernamentală (un ONG) să îmi apere drepturile în numele meu?
Răspuns90
Aveți dreptul de a mandata un ONG să depună o plângere în numele dvs. dacă sunt întrunite
următoarele condiții:
 ONG-ul este constituit în conformitate cu legislația;
 ONG-ul urmărește un obiectiv de interes public (de exemplu, îmbunătățirea vieții cetățenilor în
aspectele care țin de consum);
 ONG-ul este activ în domeniul protecției datelor.
 Plângerea se poate depune atât la autoritatea de protecție a datelor relevantă, cât și la o autoritate
judiciară, dacă este cazul. În anumite state membre ale UE, legislația națională permite unui ONG
să depună o cerere fără ca dvs. să îl mandatați în acest scop.
Referințe
88
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress_ro
89
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/what-should-i-do-if-i-think-my-personal-data-protection-rights-
havent-been-respected_ro
90
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/can-non-governmental-organisation-ngo-make-claims-my-
behalf_ro
50
87. Pot solicita despăgubiri?
Răspuns91
Puteți pretinde despăgubiri dacă o societate sau o organizație nu a respectat legea privind protecția
datelor, iar dvs. ați suferit prejudicii materiale (de exemplu, pierderi financiare) sau prejudicii morale (de
exemplu, stres sau compromitere a reputației). Vă puteți apăra drepturile adresându-vă companiei sau
organizației în cauză ori instanțelor naționale. Puteți pretinde despăgubire adresându-vă instanțelor din
statul membru al UE în care își are un sediu operatorul sau persoana împuternicită de operator. Ca
alternativă, acțiunile de acest tip pot fi aduse în fața instanțelor din țara UE în care aveți reședința
obișnuită.
Exemplu
Plasați o comandă pe un site web. Site-ul suferă un atac cibernetic pentru că nu este securizat în
mod adecvat. Datele cardului dvs. de credit au fost introduse pe un alt site web și folosite pentru
cumpărarea unor produse pe care nu le-ați comandat dvs. Puteți solicita despăgubiri de la site-ul web
pentru prejudiciul financiar, deoarece site-ul a încălcat legea privind protecția datelor prin neasigurarea
unui nivel adecvat de securitate la prelucrarea datelor.
Referințe
Întocmit,
Daniela Simionovici
Ultima actualizare: 20.01.2019
91
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/can-i-claim-compensation_ro
51

Intrebari Frecvente - ANSPDCP - CE

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Intrebari Frecvente - ANSPDCP - CE

Încărcat de

Drepturi de autor:

Formate disponibile

INTRODUCERE

Prezentul material este o colecție de întrebări și răspunsuri colectate de pe site-ul Autorității

2. Ce înseamnă operatori asociați?

3. Ce înseamnă persoană împuternicită de operator?

4. Este necesar să mai notific prelucrările de date?

5. Ce înseamnă autorități și organisme publice?

7. Când trebuie să desemnez un responsabil cu protecția datelor (DPO)?

8. Ce înseamnă prelucrare pe scară largă?

9. Ce condiții trebuie să îndeplinească responsabilul cu protecția datelor?

10. Se poate desemna un singur responsabil cu protecția datelor pentru un grup de

11. Cum comunic responsabilul cu protecția datelor autorității de supraveghere?

12. Când nu se aplică Regulamentul (UE) 2016/679?

16. Care sunt condițiile de acordare și valabilitate a consimțământului?

18. Operatorii sunt obligați să țină o evidență a prelucrărilor de date?

19. Când este necesară efectuarea evaluării de impact?

20. În cât timp notific încălcările de securitate?

21. Care sunt drepturile persoanei vizate?

22. Cum pot formula o plângere la autoritatea de supraveghere?

23. Când este admisibilă o plângere?

24. Cum se realizează transferul de date în străinătate?

26. Cât timp pot stoca datele cu caracter personal?

27. Cine acreditează organismele de certificare?

28. Ce ghiduri a emis Comitetul European pentru protecția datelor?

29. Ce ghiduri a emis Autoritatea națională de supraveghere?

NORME PENTRU COMPANII ȘI ORGANIZAȚII17

30. Cui i se aplică Regulamentul privind protecția datelor?

31. Se aplică normele în cazul IMM-urilor?

32. Normele de protecție a datelor se aplică datelor referitoare la societăți?

33. Ce date pot fi prelucrate și în ce condiții?

SCOPUL PRELUCRĂRII DATELOR24

35. Putem folosi date în alt scop?

36. Cât de multe date se pot colecta?

37. Cât timp pot fi păstrate datele și se impune actualizarea lor?

39. Când pot fi prelucrate date cu caracter personal?

40. Ce înseamnă „temeiul unui interes legitim”?

41. Când este valabil consimțământul?

43. Ce se întâmplă dacă o persoană își retrage consimțământul?

44. Cum se obține consimțământul pentru prelucrare în cercetări științifice?

45. Care date cu caracter personal sunt considerate sensibile?

46. În ce condiții poate societatea/organizația mea să prelucreze date sensibile?

47. Există garanții specifice pentru datele referitoare la copii?

ADMINISTRAȚIILE PUBLICE ȘI PROTECȚIA DATELOR43

50. Cum tratăm solicitările din partea persoanelor fizice?

51. Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția

53. Poate altcineva să prelucreze datele în numele organizației mele?

54. Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează

59. Ce responsabilități are un responsabil cu protecția datelor (RPD)?

61. Cum pot demonstra că organizația mea se conformează la RGPD?

69. Ce se întâmplă dacă societatea/organizația mea nu respectă normele privind protecția

70. Ce constituie prelucrare de date?

Cum îmi sunt protejate datele cu caracter personal?72

72. Pot fi colectate date cu caracter personal despre copii?

74. Cum ar trebui solicitat consimțământul meu?

75. Ce se întâmplă dacă datele pe care le-am transmis sunt dezvăluite?

79. Datele mele sunt incorecte: le pot corecta?

 este contestată exactitatea datelor în cauză;

S-ar putea să vă placă și