Documente Academic
Documente Profesional
Documente Cultură
Conținut
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER
PERSONAL ............................................................................................................................................................5
Întrebări Frecvente ............................................................................................................................................5
1. Ce înseamnă operator de date cu caracter personal? .........................................................................5
2. Ce înseamnă operatori asociați? ...........................................................................................................5
3. Ce înseamnă persoană împuternicită de operator? .............................................................................5
4. Este necesar să mai notific prelucrările de date? ................................................................................5
5. Ce înseamnă autorități și organisme publice? .....................................................................................5
6. Ce obligaţii am în calitate de operator potrivit Regulamentului (UE) 2016/679? ............................6
7. Când trebuie să desemnez un responsabil cu protecția datelor (DPO)? ...........................................6
8. Ce înseamnă prelucrare pe scară largă? ..............................................................................................6
9. Ce condiții trebuie să îndeplinească responsabilul cu protecția datelor?..........................................6
10. Se poate desemna un singur responsabil cu protecția datelor pentru un grup de întreprinderi
sau pentru mai multe autorități sau organisme publice?............................................................................7
11. Cum comunic responsabilul cu protecția datelor autorității de supraveghere? ...........................7
12. Când nu se aplică Regulamentul (UE) 2016/679? ............................................................................7
13. Care sunt condițiile legale de prelucrare a datelor cu caracter personal, altele decât cele
speciale? ...........................................................................................................................................................8
14. Care sunt condițiile de prelucrare a categoriilor speciale de date cu caracter personal?............8
15. Dacă prelucrarea este prevăzută de un act normativ, mai este necesar să obțin
consimțământul persoanelor vizate? ............................................................................................................8
16. Care sunt condițiile de acordare și valabilitate a consimțământului? ...........................................8
17. În ce condiții pot prelucra datele cu caracter personal ale copiilor în ceea ce privește oferirea
de servicii ale societății informaționale? .......................................................................................................9
18. Operatorii sunt obligați să țină o evidență a prelucrărilor de date?..............................................9
19. Când este necesară efectuarea evaluării de impact? .................................................................... 10
20. În cât timp notific încălcările de securitate? ................................................................................. 10
21. Care sunt drepturile persoanei vizate? .......................................................................................... 11
1
https://www.dataprotection.ro/?page=IntrebariFrecvente1
2
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_ro
1
22. Cum pot formula o plângere la autoritatea de supraveghere? .................................................... 11
23. Când este admisibilă o plângere? ................................................................................................... 11
24. Cum se realizează transferul de date în străinătate? ................................................................... 12
25. Ce măsuri trebuie să iau pentru asigurarea securităţii prelucrării datelor cu caracter
personal? ...................................................................................................................................................... 12
26. Cât timp pot stoca datele cu caracter personal? ........................................................................... 12
27. Cine acreditează organismele de certificare?................................................................................ 13
28. Ce ghiduri a emis Comitetul European pentru protecția datelor? ............................................. 13
29. Ce ghiduri a emis Autoritatea națională de supraveghere? ........................................................ 13
COMISIA EUROPEANĂ ................................................................................................................................... 14
NORME PENTRU COMPANII ȘI ORGANIZAȚII ....................................................................................... 14
APLICAREA REGULAMENTULUI ........................................................................................................... 14
30. Cui i se aplică Regulamentul privind protecția datelor? ............................................................. 14
31. Se aplică normele în cazul IMM-urilor? ....................................................................................... 14
32. Normele de protecție a datelor se aplică datelor referitoare la societăți? .................................. 15
PRINCIPIILE RGPD ...................................................................................................................................... 15
33. Ce date pot fi prelucrate și în ce condiții? ..................................................................................... 15
SCOPUL PRELUCRĂRII DATELOR ......................................................................................................... 16
34. Pot fi prelucrate datele în orice scop? ............................................................................................ 16
35. Putem folosi date în alt scop?.......................................................................................................... 16
36. Cât de multe date se pot colecta? ................................................................................................... 17
37. Cât timp pot fi păstrate datele și se impune actualizarea lor? .................................................... 17
38. Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate? ........................... 18
TEMEIUL JURIDIC AL PRELUCRĂRII DATELOR .............................................................................. 19
Motivele prelucrării......................................................................................................................................... 19
39. Când pot fi prelucrate date cu caracter personal? ....................................................................... 19
40. Ce înseamnă „temeiul unui interes legitim”? ................................................................................ 20
41. Când este valabil consimțământul?................................................................................................ 20
42. Consimțământul acordat înainte de 25 mai 2018 continuă să fie valabil după această dată,
când RGPD începe să fie aplicat?............................................................................................................... 21
43. Ce se întâmplă dacă o persoană își retrage consimțământul? ..................................................... 22
44. Cum se obține consimțământul pentru prelucrare în cercetări științifice?................................ 22
DATE SENSIBILE .......................................................................................................................................... 23
45. Care date cu caracter personal sunt considerate sensibile? ........................................................ 23
46. În ce condiții poate societatea/organizația mea să prelucreze date sensibile? ........................... 23
2
47. Există garanții specifice pentru datele referitoare la copii? ........................................................ 24
48. Pot fi folosite pentru marketing datele primite de un terț? ......................................................... 25
ADMINISTRAȚIILE PUBLICE ȘI PROTECȚIA DATELOR ................................................................. 25
49. Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD)
pe care ar trebui să le cunoască o administrație publică? ....................................................................... 25
50. Cum tratăm solicitările din partea persoanelor fizice? ................................................................ 26
51. Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor? 27
OBLIGAȚII ..................................................................................................................................................... 27
Operator/persoana împuternicită de operator ............................................................................................. 27
52. Ce este un operator de date sau o persoană împuternicită de operator? ................................... 27
53. Poate altcineva să prelucreze datele în numele organizației mele? ............................................. 28
54. Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează
societatea/organizația mea? ........................................................................................................................ 29
55. Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod
implicit”? ...................................................................................................................................................... 30
56. Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări? . 30
57. Când este necesară o evaluare a impactului asupra protecției datelor (EIPD)? ....................... 31
Responsabilii cu protecția datelor .................................................................................................................. 32
58. Este obligată societatea/organizația mea să aibă un responsabil cu protecția datelor (RPD)? 32
59. Ce responsabilități are un responsabil cu protecția datelor (RPD)? .......................................... 32
60. Ce norme se aplică dacă organizația mea transferă date în afara UE? ...................................... 33
61. Cum pot demonstra că organizația mea se conformează la RGPD? .......................................... 34
RELAȚIILE CU CETĂȚENII ....................................................................................................................... 35
62. Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile
privind protecția datelor? ........................................................................................................................... 35
63. Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere? ............... 35
64. Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere
acest lucru?................................................................................................................................................... 36
65. Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către
societatea mea? ............................................................................................................................................ 36
66. Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație? ......................... 37
67. Există restricții privind utilizarea proceselor decizionale automate? ......................................... 38
APLICAREA LEGII ȘI SANCȚIUNI ........................................................................................................... 39
68. Ce se întâmplă dacă societatea mea prelucrează date în diferite state membre ale UE?.......... 39
69. Ce se întâmplă dacă societatea/organizația mea nu respectă normele privind protecția
datelor? ......................................................................................................................................................... 39
3
70. Ce constituie prelucrare de date?................................................................................................... 40
DREPTURI PENTRU CETĂȚENI ............................................................................................................... 41
Cum îmi sunt protejate datele cu caracter personal? .................................................................................. 41
71. Cum sunt protejate datele privind confesiunea mea religioasă/orientarea mea
sexuală/sănătatea mea/opiniile mele politice? ........................................................................................... 41
72. Pot fi colectate date cu caracter personal despre copii?............................................................... 41
73. Mă poate obliga angajatorul să îmi dau consimțământul pentru utilizarea datelor mele cu
caracter personal?........................................................................................................................................ 42
74. Cum ar trebui solicitat consimțământul meu? ............................................................................. 43
75. Ce se întâmplă dacă datele pe care le-am transmis sunt dezvăluite?.......................................... 43
DREPTURILE MELE .................................................................................................................................... 44
76. Ce drepturi am? ............................................................................................................................... 44
77. Ce informații ar trebui să primesc când furnizez datele mele cu caracter personal? ............... 45
78. Cum pot accesa datele mele cu caracter personal pe care le deține o companie/organizație? . 45
79. Datele mele sunt incorecte: le pot corecta? ................................................................................... 46
80. Pot cere unei societăți/organizații să îmi trimită datele mele cu caracter personal ca să le pot
utiliza în altă parte?..................................................................................................................................... 46
81. Pot cere unei societăți/organizații să nu mai prelucreze datele mele cu caracter personal? .... 47
82. Pot cere unei societăți/organizații să șteargă datele mele cu caracter personal? ....................... 47
83. Când ar trebui să îmi exercit dreptul la restricționarea prelucrării datelor mele cu caracter
personal? ...................................................................................................................................................... 48
84. Pot face obiectul unui proces decizional individual automatizat, inclusiv al creării de profiluri?
49
CĂI DE ATAC ................................................................................................................................................. 50
85. Ce ar trebui să fac în cazul în care cred că nu mi-au fost respectate drepturile privind
protecția datelor cu caracter personal? ..................................................................................................... 50
86. Poate o organizație neguvernamentală (un ONG) să îmi apere drepturile în numele meu? .... 50
87. Pot solicita despăgubiri? ................................................................................................................. 51
4
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU
CARACTER PERSONAL
Întrebări Frecvente
1. Ce înseamnă operator de date cu caracter personal?
Potrivit art. 4 din Regulamentul general privind protecția datelor, „operator” înseamnă persoana
fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele,
stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și
mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile
specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern”.
5
6. Ce obligaţii am în calitate de operator potrivit Regulamentului (UE) 2016/679?
Obligațiile pe care le au operatorii de date cu caracter personal sunt reglementate în Capitolul IV
din Regulamentul 2016/679. Printre principalele obligații ale operatorului în aplicarea Regulamentului
sunt:
desemnarea unui responsabil cu protecția datelor in conditiile art. 37-39 din Regulament;
cartografierea prelucrărilor de date cu caracter personal (art. 30 din Regulament) ;
asigurarea securității datelor (art. 25 și art. 32 din Regulament);
notificarea încalcărilor de securitate în condițiile art. 33 din Regulament;
evaluarea impactului asupra protecției datelor si respectarea drepturilor persoanelor fizice (art. 35 din
Regulament).
Pentru mai multe informații puteți accesa Ghidul orientativ de aplicare a Regulamentului general
privind protecția datelor3 emis de Autoritatea Națională de Supraveghere.
3
https://www.dataprotection.ro/servlet/ViewDocument?id=1425
4
https://www.dataprotection.ro/servlet/ViewDocument?id=1384
5
idem
6
Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor6 emis
de Comitetul european pentru protecția datelor.
6
idem
7
https://www.dataprotection.ro/servlet/ViewDocument?id=1384
7
13. Care sunt condițiile legale de prelucrare a datelor cu caracter personal, altele decât cele
speciale?
Potrivit art 6 din Regulamentul (UE) 2016/679 prelucrarea este legală numai dacă și în masura în
care se aplică cel puțin una din condițiile prevăzute la alin. (1):
a) când persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale pentru unul sau mai multe
scopuri specifice;
b) când prelucrarea este necesară pentru exercitarea unui contract la care persoana vizată este parte sau
pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c) când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
d) când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei
persoane fizice;
e) când prelucrarea este necesară pentru îndeplinira unei sarcini care servește unui interes public sau
care rezultă din exercitarea autorității publice cu care este învestit operatorul;
f) când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau o parte terță, cu
excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei
vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este
un copil.
Litera (f) nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor
lor.
14. Care sunt condițiile de prelucrare a categoriilor speciale de date cu caracter personal?
Prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile
politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de
date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind
sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Prelucrarea acestor categorii de date este permisă numai în condițiile prevăzute la art. 9 alin. (2)
din Regulamentul (UE) 2016/679.
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al
Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea
ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare
a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), prevede la art. 3 alin. (1) că
„prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces
decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al
persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu
instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime
ale persoanei vizate”.
15. Dacă prelucrarea este prevăzută de un act normativ, mai este necesar să obțin
consimțământul persoanelor vizate?
Atunci când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului, nu mai este necesară obținerea consimțământului persoanelor vizate.
8
În cazul în care consimțământul persoanei vizate este dat în contextual unei declarații scrise care
se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o
diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un
limbaj clar și simplu.
Art. 7 alin. (3) din Regulament prevede faptul că retragerea consimțământului se face la fel de
simplu ca și acordarea acestuia.
În situația în care consimțământul este retras, operatorul are obligația de a șterge, fără întârzieri
nejustificate, toate datele cu caracter personal ale persoanei vizate care și-a exercitat dreptul prevăzut la
art. 17 alin. (1) lit. b) din Regulament.
Considerentul 32 din Regulamentul (UE) nr. 2016/679 stabilește următoarele: ”Consimțământul
ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică,
în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter
personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar
putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici
pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în
acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.
Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să
constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate
în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri,
consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei
vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie
clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă
consimțământul.”
Pentru mai multe informații puteți accesa Ghidul privind consimțământul8 emis de Comitetul
european pentru protecția datelor.
17. În ce condiții pot prelucra datele cu caracter personal ale copiilor în ceea ce privește oferirea
de servicii ale societății informaționale?
Prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta
de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura
în care consimțământul este acordat sau autorizat de titularul răspunderii părintești asupra copilului.
Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii
părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile (art. 8 din
Regulamentul (UE) 2016/679).
8
https://www.dataprotection.ro/servlet/ViewDocument?id=1470
9
- o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv
destinatarii din țări terțe sau organizații internaționale;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație
internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul
transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește
existența unor garanții adecvate;
- acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate
menționate la articolul 32 alineatul (1).
9
https://www.dataprotection.ro/servlet/ViewDocument?id=1387
10
https://www.dataprotection.ro/servlet/ViewDocument?id=1425
10
Prin Decizia nr. 128 din 22 iunie 2018 a președintelui Autorității de supraveghere s-a adoptat
formularul tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu
Regulamentul (UE) 2016/679.
Pentru mai multe informații puteți accesa Ghidul privind notificarea încălcărilor de securitate11
emis de Comitetul european pentru protecția datelor.
25. Ce măsuri trebuie să iau pentru asigurarea securităţii prelucrării datelor cu caracter
personal?
Securitatea datelor cu caracter personal este reglementată la art. 25 și art. 32 din Regulamentul
(UE) 2016/679.
În vederea asigurării unui nivel de securitate corespunzător, operatorul implementează măsuri
tehnice și organizatorice adecvate, incluzând printre altele:
- capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale
sistemelor și serviciilor de prelucrare;
- capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util
în cazul în care are loc un incident de natură fizică sau tehnică;
- un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și
organizatorice pentru a garanta securitatea prelucrării.”
- pseudonimizarea și criptarea datelor cu caracter personal, după caz.
12
Perioada de stocare poate fi stabilită prin acte normative ce reglementează domeniile specifice de
activitate. În măsura în care se impune, este necesară modificarea/completarea acestora astfel încât
normele să fie puse în conformitate cu Regulamentul general privind protecția datelor.
13
COMISIA EUROPEANĂ
17
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_ro
18
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation_ro
19
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-
apply_ro
20
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-rules-apply-smes_ro
14
Tot astfel, IMM-urile au obligația de a numi un responsabil cu protecția datelor numai dacă
prelucrarea reprezintă activitatea lor principală și dacă aceasta implică anumite amenințări la adresa
drepturilor și a libertăților persoanelor fizice (cum ar fi monitorizarea persoanelor fizice sau prelucrarea
unor date sensibile ori a unor caziere judiciare), în special pentru că se desfășoară la scară largă.
PRINCIPIILE RGPD22
21
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-
data-about-company_ro
22
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr_ro
23
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/what-data-can-we-process-and-under-
which-conditions_ro
15
ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri
tehnologice adecvate („integritate și confidențialitate”).
Exemplu
Societatea/organizația dvs. administrează o agenție de turism. Când obțineți date cu caracter personal
ale clienților dvs., ar trebui să le explicați într-un limbaj clar și simplu de ce aveți nevoie de datele
respective, cum le veți utiliza și cât timp intenționați să le păstrați. Prelucrarea ar trebui adaptată la
principiile-cheie de protecție a datelor.
Referințe
Articolul 5 alineatul (1) și considerentul (39) al RGPD
Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate de scop (WP 203)
24
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing_ro
25
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-data-be-
processed-any-purpose_ro
26
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-
data-another-purpose_ro
16
Banca informează clientul. Banca poate prelucra din nou datele clientului, deoarece noile scopuri sunt
compatibile cu scopul inițial.
Nu este posibilă prelucrarea ulterioară
Aceeași bancă dorește să transmită datele clientului unor firme de asigurări, în temeiul aceluiași
contract pentru constituirea unui cont bancar și acordarea unui împrumut de nevoi personale. Această
prelucrare nu este permisă fără consimțământul explicit al clientului, deoarece scopul nu este compatibil
cu scopul inițial în care au fost prelucrate datele.
Referințe
Articolul 5 alineatul (1) litera (b), articolul 6 alineatul (4) și articolul 89 alineatul (1); considerentele (39)
și (50) ale RGPD
Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate de scop, 2 aprilie 2013 (WP
203)
27
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/how-much-data-can-be-collected_ro
28
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/how-long-can-data-be-kept-and-it-
necessary-update-it_ro
17
Societatea/organizația dvs. administrează un birou de recrutări și, în acest scop, colectează CV-uri ale
unor persoane dornice de angajare, care, în schimbul serviciilor dvs. de intermediere, vă plătesc o taxă.
Intenționați să păstrați datele timp de 20 de ani și nu aveți măsuri de actualizare a CV-urilor. Perioada de
stocare nu pare proporțională cu scopul de a găsi un loc de muncă pentru o persoană pe termen scurt până
la mediu. Mai mult, faptul că nu cereți actualizări ale CV-urilor la intervale regulate face ca unele căutări
să fie inutile pentru persoana care caută un loc de muncă după o anumită perioadă de timp (de exemplu,
pentru că persoana respectivă a dobândit calificări noi).
Referințe
Articolul 5 alineatul (1) litera (e) și considerentul (39) al RGPD
38. Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate?
Răspuns29
În momentul în care colectați datele, persoanele trebuie clar informate cel puțin despre:
cine este societatea/organizația dvs. (datele de contact ale dvs. și ale eventualului RPD al dvs., dacă
este cazul);
la ce va folosi societatea/organizația dvs. datele cu caracter personal ale acestora (scopurile);
categoriile de date cu caracter personal în cauză;
justificarea juridică a prelucrării datelor;
cât timp vor fi păstrate datele;
cine altcineva le-ar putea primi;
dacă datele cu caracter personal ale acestor oameni vor fi transferate către un destinatar din afara UE;
că aceștia au dreptul la o copie a datelor (dreptul de a accesa datele cu caracter personal) și alte
drepturi de bază în domeniul protecției datelor (consultați lista completă a drepturilor);
dreptul de a depune o plângere în fața unei autorități de protecție a datelor (APD);
dreptul de a-și retrage consimțământul în orice moment;
eventuala existență a unui proces decizional automatizat și logica utilizată, inclusiv consecințele
acestui fapt.
Consultați lista completă a informațiilor care trebuie furnizate (Art. 13 GDPR).
Aceste informații trebuie furnizate în scris, oral la solicitarea persoanei vizate, dacă identitatea
acesteia a fost dovedită prin alte mijloace, sau prin mijloace electronice atunci când este oportun.
Societatea/organizația dvs. trebuie să furnizeze informațiile într-un mod concis, transparent, inteligibil și
ușor accesibil, într-un limbaj clar și simplu și în mod gratuit.
Când datele sunt obținute de la o altă societate/organizație, societatea/organizația dvs. ar trebui
să îi furnizeze persoanei informațiile menționate mai sus în termen de o lună de la momentul la care
societatea/organizația dvs. a obținut datele cu caracter personal; sau, în cazul în care
societatea/organizația dvs. comunică cu persoana fizică, în momentul în care datele sunt utilizate pentru
comunicarea cu aceasta; sau, dacă se intenționează divulgarea datelor către o altă societate, la data la care
datele cu caracter personal au fost divulgate pentru prima oară.
De asemenea, societatea/organizația dvs. are obligația de a informa persoana fizică în legătură cu
categoriile de date și cu sursa din care a obținut datele, inclusiv dacă au fost obținute din surse disponibile
public. În anumite situații enumerate la articolul 13 alineatul (4) și la articolul 14 alineatul (5) din RGPD,
societatea/organizația dvs. poate fi scutită de obligația de a informa persoana fizică. Vă rugăm să
verificați dacă această excepție se aplică societății/organizației dvs.
Referințe
Articolul 12 alineatele (1), (5) și (7), articolele 13 și 14 și considerentele (58)-(62) ale RGPD
Orientările Grupului de lucru al articolului 29 privind transparența
29
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/what-information-must-be-given-
individuals-whose-data-collected_ro
18
TEMEIUL JURIDIC AL PRELUCRĂRII DATELOR30
Motivele prelucrării31
30
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data_ro
31
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing_ro
32
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-
processing/when-can-personal-data-be-processed_ro
19
site-uri (Rețineți că acest lucru nu este posibil în statele membre UE în care legislația națională stabilește
norme mai stricte pentru prelucrarea în contextul legat de forța de muncă.)
Referințe
Articolul 6 și considerentele (40)-(49) ale RGPD
Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de interese legitime ale
operatorului de date în temeiul articolului 7 din Directiva 95/46/CE
33
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-
does-grounds-legitimate-interest-mean_ro
34
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-
processing/when-consent-valid_ro
20
Consimțământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana
fizică și societate/organizație (de exemplu, relația angajator-angajat) sau atunci când o
societate/organizație le solicită persoanelor fizice să aprobe prelucrarea unor date cu caracter personal
care nu sunt necesare ca o condiție pentru executarea unui contract sau a unui serviciu.
Pentru ca o persoană să își dea consimțământul în cunoștință de cauză, acesteia trebuie să i se
ofere cel puțin următoarele informații:
informații privind identitatea organizației care prelucrează datele;
informații privind scopurile în care sunt prelucrate datele;
informații privind tipul de date care se va prelucra;
posibilitatea de retragere a consimțământului dat (exemplu: un link pentru dezabonare la sfârșitul
unui e-mail);
dacă este cazul, informații privind faptul că datele vor fi utilizate pentru luarea de decizii bazate
exclusiv pe prelucrarea automată, inclusiv crearea de profiluri;
în cazul în care consimțământul se referă la un transfer internațional, informații privind riscurile
posibile ale transferurilor de date în țări terțe care nu fac obiectul unei decizii a Comisiei privind
caracterul adecvat și nu există garanții adecvate.
Rețineți: în cazul în care cineva își dă consimțământul privind prelucrarea datelor sale cu caracter
personal, puteți prelucra datele numai în scopurile pentru care a fost dat consimțământul.
Exemplu
Consimțământ liber exprimat
Sunteți o companie aeriană, iar anunțul dvs. referitor la confidențialitate precizează că datele cu
caracter personal ale clienților pot fi prelucrate pentru un concurs organizat de compania aeriană, care oferă
ca premiu un bilet gratuit. Clienții care au bifat căsuța pentru a-și exprima acordul privind participarea la
concurs au semnalat în mod clar dorința ca datele cu caracter personal să fie prelucrate în scopul
concursului. Există astfel un consimțământ pentru prelucrarea datelor în scopul concursului, dar nu în alte
scopuri.
Consimțământ care nu este liber exprimat
Societatea/organizația dvs. oferă servicii de filme online. Când colectați datele necesare pentru acest
contract, solicitați și date suplimentare, cum ar fi orientarea sexuală sau convingerile politice ale unei
persoane. Persoana respectivă poate să creadă că trebuie să își dea consimțământul privind prelucrarea
datelor de acest tip pentru a putea accesa filmele pe care le solicită. În acest caz, consimțământul nu este
liber, ci este un „consimțământ constrâns”.
Referințe
Articolul 4 punctul 11și articolul 7 și considerentele (32), (42) și (43) ale RGPD
Avizul Grupului de lucru al articolului 29 privind consimțământul, adoptat în 28 noiembrie 2017
42. Consimțământul acordat înainte de 25 mai 2018 continuă să fie valabil după această dată,
când RGPD începe să fie aplicat?
Răspuns35
În cazul în care consimțământul acordat de către o persoană anterior Regulamentului general
privind protecția datelor (RGPD) întrunește condițiile RGPD, nu este necesar să solicitați din nou
consimțământul persoanei fizice. Societatea/organizația dvs. trebuie să se asigure că acel consimțământ
acordat înainte de aplicarea RGPD întrunește condițiile stabilite în RGPD.
Exemple
Nu este necesar un consimțământ nou
RGPD va începe să se aplice la 25 mai 2018. Societatea/organizația dvs. și-a revizuit de curând politica
privind confidențialitatea. Ați verificat dacă consimțământul a fost obținut în scris în cadrul organizației
35
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/does-
consent-given-25-may-2018-continue-be-valid-once-gdpr-starts-apply-25-may-2018_ro
21
dvs. și dacă a respectat toate cerințele RGPD. În acest caz, nu este nevoie să solicitați din nou
consimțământul clienților dvs. în mai 2018.
Este necesară obținerea unui nou consimțământ
Societatea/organizația dvs. a obținut consimțământul clienților cu câțiva ani în urmă, folosind un
sistem de căsuțe bifate în prealabil online. Acum este clar că acest mod de a obține consimțământul nu va
fi valabil începând cu data de 25 mai 2018. Societatea/organizația dvs. va trebui să obțină din nou
consimțământul dacă dorește să prelucreze în continuare datele.
Referințe
Articolul 4 punctul 11 și articolul 7 și considerentul (171) al RGPD
Avizul Grupului de lucru al articolului 29 privind consimțământul, adoptat în 28 noiembrie 2017
36
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-
if-somebody-withdraws-their-consent_ro
37
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/how-
consent-processing-scientific-research-obtained_ro
22
Un grup de cercetători dorește să studieze o anumită formă de cancer, dar sunt conștienți de
posibilele implicații pentru alte forme de cancer. În acest caz, aceștia pot solicita consimțământul unei
persoane pentru prelucrarea datelor în legătură cu cercetarea în domeniul cancerului.
Referință
Considerentul (33) al RGPD
DATE SENSIBILE38
38
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data_ro
39
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/what-
personal-data-considered-sensitive_ro
40
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/under-
what-conditions-can-my-company-organisation-process-sensitive-data_ro
23
datele sunt prelucrate din motive de interes public în domeniul sănătății publice în temeiul dreptului
UE sau al dreptului național;
datele sunt prelucrate în scopuri de arhivare sau de cercetare științifică ori istorică sau în scopuri
statistice, în baza dreptului UE sau a dreptului național.
Dreptul intern poate impune și alte condiții privind prelucrarea datelor genetice, a datelor
biometrice sau a datelor privind sănătatea. Consultați autoritatea națională de protecție a datelor.
Exemplu
Puteți prelucra date sensibile
Un medic consultă mai mulți pacienți la clinica sa. Acesta înregistrează consultația într-o bază de date
care include câmpuri precum prenumele/numele de familie al pacientului, descrierea simptomelor și
medicamentele prescrise. Acestea sunt considerate date sensibile. Prelucrarea de către clinică a datelor
privind sănătatea este permisă în temeiul legii privind protecția datelor, deoarece este necesară pentru a
trata persoana și este efectuată sub responsabilitatea unui medic, care face obiectul unei obligații de secret
profesional.
Nu puteți prelucra date sensibile
Sunteți o societate care vinde rochii online. Pentru a adapta serviciile la interesele specifice ale
clienților dvs., le solicitați să vă furnizeze informații privind mărimile, culoarea preferată, modalitatea de
plată, numele și adresa, în vederea livrării produsului. În plus, societatea dvs. solicită informații privind
opiniile politice ale clienților dvs. Aveți nevoie de majoritatea informațiilor pentru a vă îndeplini partea
dvs. de contract. Opiniile politice ale clienților dvs. nu sunt însă necesare pentru producerea și livrarea
rochiilor. Societatea dvs. nu poate solicita aceste informații în temeiul acestui contract.
Referințe
Articolul 9 și considerentele (51)-(56) ale RGPD
41
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/are-there-any-specific-
safeguards-data-about-children_ro
24
48. Pot fi folosite pentru marketing datele primite de un terț?
Răspuns42
Înainte de a dobândi de la o altă organizație o listă de date de contact sau o bază de date cu datele
de contact ale unor persoane fizice, organizația respectivă trebuie să poată demonstra că datele au fost
obținute în conformitate cu Regulamentul general privind protecția datelor și că are dreptul de a le utiliza
în scopuri publicitare. De exemplu, dacă organizația le-a dobândit pe baza unui consimțământ,
consimțământul trebuia să includă posibilitatea de transmitere a datelor către alți destinatari pentru
marketingul direct al acestora.
În plus, societatea/organizația dvs. trebuie să se asigure că lista sau baza de date este actualizată
și că nu trimiteți reclame unor persoane fizice care s-au opus prelucrării datelor lor cu caracter personal
în scopuri de marketing direct. De asemenea, societatea/organizația dvs. trebuie să se asigure că, dacă
sunt folosite mijloace de comunicare precum e-mailul în scopuri de marketing direct, sunt respectate
normele stabilite în Directiva privind confidențialitatea în mediul electronic (Directiva 2002/58/CE*).
Asemenea liste vor fi prelucrate în temeiul intereselor dvs. legitime, iar persoanele fizice vor avea
dreptul de a se opune prelucrării de acest tip. În plus, societatea/organizația dvs. trebuie să informeze
persoanele fizice, cel târziu în momentul primei comunicări cu acestea, că le-a colectat datele cu caracter
personal și că le va prelucra pentru a le trimite reclame.
* Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea
datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra
confidențialității și comunicațiilor electronice) (OJ L 201, 31.07.2002 p.37, Ediție specială, 13/vol. 36,
p. 63).
Exemplu
Doi prieteni, dna A și dl B, au o sală de sport, respectiv o librărie. Fiecare dintre ei colectează date de
la clienții săi. Librăria dlui B nu merge bine. Baza sa de date cu clienți are foarte puține înregistrări, iar în
magazinul său nu intră mulți oameni. El îi povestește dnei A că are o nouă biografie a unui atlet renumit
și întreabă dacă clienții dnei A ar fi interesați să primească o reclamă despre carte. Termenele din
notificarea dnei A privind confidențialitatea au informat clienții acesteia că ea ar putea partaja datele cu
parteneri care oferă produse în domeniul sănătății și al fitnessului. În măsura în care s-a acordat
consimțământul specific în scopul transmiterii datelor către alți destinatari în scopul marketingului direct
al acestora, dna A îi poate trimite dlui B lista clienților. Nu pot fi trimise date despre o persoană vizată care
s-a opus prelucrării datelor sale cu caracter personal.
Referințe
Articolul 4 punctul 10 și articolele 5, 6, 14 și 21
Avizul Grupului de lucru al articolului 29 privind transparența
Normele privind marketingul direct stabilite în Directiva 2002/58/CE privind confidențialitatea în mediul
electronic, în special în articolul 13
42
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/can-data-received-third-
party-be-used-marketing_ro
43
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/public-administrations-and-data-protection_ro
44
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/public-administrations-and-data-protection/what-are-
main-aspects-general-data-protection-regulation-gdpr-public-administration-should-be-aware_ro
25
Cele mai multe date cu caracter personal deținute de administrațiile publice sunt prelucrate în
mod obișnuit în temeiul unei obligații legale sau în măsura în care acest lucru este necesar pentru
îndeplinirea unor atribuții de interes public sau în exercitarea autorității publice cu care este învestită
organismul.
Când prelucrează date cu caracter personal, o administrație publică trebuie să respecte principii-
cheie cum sunt:
prelucrare echitabilă și legală;
limitarea scopului;
reducerea la minimum a datelor și păstrarea datelor.
În cazul prelucrării în temeiul legii, această lege ar trebui să asigure deja respectarea acestor principii
(spre exemplu, tipuri de date, perioada de stocare și măsuri de protecție corespunzătoare).
Înainte de a prelucra date cu caracter personal, persoanele fizice trebuie informate cu privire la
prelucrare, cum ar fi scopurile acesteia, tipurile de date colectate, destinatarii și drepturile care le revin
în ceea ce privește protecția datelor.
O administrație publică trebuie să numească un responsabil cu protecția datelor (RPD), cu toate
acestea un responsabil cu protecția datelor poate fi numit pentru mai multe organisme publice și prin
urmare acesta să fie comun, sau există posibilitatea externalizării acestei activități unui RPD extern De
asemenea, trebuie să se asigure că a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a
securiza datele cu caracter personal. Dacă se externalizează unele părți ale prelucrării către o organizație
externă (o așa-numită „persoană împuternicită de operator”), trebuie să existe un contract sau un alt act
juridic care să garanteze faptul că persoana împuternicită de operator oferă garanții suficiente pentru
punerea în aplicare a unor măsuri tehnice și organizatorice adecvate care întrunesc standardele RGPD.
În cazurile în care datele cu caracter personal deținute sunt dezvăluite în mod accidental sau ilegal
către destinatari neautorizați sau sunt indisponibile temporar ori suferă modificări, autoritatea de protecție
a datelor (APD) trebuie înștiințată cu privire la încălcare fără întârzieri nejustificate, în termen de cel
mult 72 de ore de la momentul la care ați luat cunoștință de încălcare. Poate fi necesar ca administrația
publică să informeze și persoanele fizice cu privire la încălcare.
Referințe
Capitolele II și IV din RGPD
OBLIGAȚII47
Operator/persoana împuternicită de operator48
52. Ce este un operator de date sau o persoană împuternicită de operator?
Răspuns49
Operatorul de date stabilește scopurile și mijloacele prelucrării datelor cu caracter personal.
Așadar, dacă societatea/organizația dvs. decide „de ce” și „cum” ar trebui prelucrate datele cu caracter
personal, aceasta este operatorul de date. Angajații care prelucrează date cu caracter personal în cadrul
organizației dvs. fac acest lucru pentru a îndeplini sarcinile dvs. în calitate de operator de date.
Societatea/organizația dvs. este operator asociat în cazul în care, împreună cu una sau mai multe
organizații, stabilește în comun „de ce” și „cum” ar trebui prelucrate datele cu caracter personal.
Operatorii asociați trebuie să încheie un acord care să stabilească responsabilitățile fiecăruia în ceea ce
privește îndeplinirea normelor cuprinse în RGPD. Principalele aspecte ale acordului trebuie comunicate
persoanelor fizice ale căror date se prelucrează.
Persoana împuternicită de operator prelucrează date cu caracter personal numai în numele
operatorului. De obicei, persoana împuternicită de operator este un terț din afara societății. Cu toate
acestea, în cazul grupurilor de întreprinderi, o întreprindere poate îndeplini rolul de persoană
împuternicită de operator pentru o altă întreprindere.
46
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/public-administrations-and-data-protection/what-if-
public-administration-fails-comply-data-protection-rules_ro
47
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations_ro
48
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor_ro
49
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-
data-processor_ro
27
Atribuțiile persoanei împuternicite de operator în raport cu operatorul trebuie precizate într-un
contract sau într-un alt act juridic. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele
cu caracter personal în momentul încetării contractului. O activitate tipică a persoanelor împuternicite de
operatori este furnizarea de soluții informatice, inclusiv de stocare în cloud. Persoana împuternicită de
operator poate subcontracta o parte a sarcinii sale la o altă persoană împuternicită de operator sau poate
numi o persoană asociată împuternicită de operator numai dacă a primit în prealabil o autorizație scrisă
din partea operatorului de date.
Există situații în care o entitate poate fi operator de date, persoană împuternicită de operator sau
ambele.
Exemple
Operator și persoană împuternicită de operator
O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare
a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de
administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește
o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea
de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica
de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită
de operator.
Operatori asociați
Societatea/organizația dvs. oferă servicii de babysitting printr-o platformă online. În același timp,
societatea/organizația dvs. are un contract cu o altă societate, care vă permite să oferiți servicii cu valoare
adăugată. Aceste servicii includ posibilitatea ca părinții nu doar să aleagă ce babysitter doresc, ci și să
închirieze jocuri și DVD-uri pe care să le aducă babysitterul. Ambele societăți sunt implicate în organizarea
tehnică a site-ului. În acest caz, cele două societăți au decis să utilizeze platforma în ambele scopuri
(servicii de babysitting și închirierea de DVD-uri/jocuri) și vor partaja foarte frecvent numele clienților.
Prin urmare, cele două societăți sunt operatori asociați, pentru că ele nu doar că au convenit să ofere
posibilitatea unor „servicii combinate”, ci și proiectează și utilizează o platformă comună.
Referințe
Articolul 4 punctele 7 și 8, articolele 24, 26, 28 și 29 și considerentele (74), (79) și (81) ale RGPD
Avizul 1/2010 al Grupului de lucru al articolului 29 privind conceptele de „operator” și „persoană
împuternicită de operator” (WP 169)
50
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/can-someone-else-
process-data-my-organisations-behalf_ro
28
asigurarea de către persoana împuternicită de operator a faptului că persoanele autorizate să
prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație
statutară adecvată de confidențialitate;
obligația persoanei împuternicite de operator de a oferi un nivel de securitate minim definit de către
operator;
obligația persoanei împuternicite de operator de a vă ajuta să asigurați respectarea RGPD.
Exemple
O firmă de construcții folosește serviciile unui subcontractant pentru anumite lucrări de construcții și
îi furnizează acestuia datele de contact ale clienților la care trebuie desfășurate lucrările de construcții.
Subcontractantul utilizează mai departe datele pentru a le trimite clienților materiale de marketing. În acest
caz, subcontractantul nu este considerat doar „persoană împuternicită de operator” în temeiul RGPD,
deoarece subcontractantul nu numai că prelucrează date cu caracter personal în numele firmei de
construcții, ci și prelucrează mai departe datele respective în scopuri proprii. Prin urmare, subcontractantul
acționează ca „operator de date”.
Sunteți o societate de vânzări cu amănuntul și decideți să stocați pe un server din cloud o versiune de
rezervă a bazei de date cu clienții dvs. În acest scop, încheiați un contract cu un furnizor de servicii de
cloud cunoscut pentru standardele sale de protecție a datelor și care deține, de asemenea, un sistem
certificat de criptare a datelor. Furnizorul de servicii de cloud este persoana împuternicită de dvs. ca
operator, deoarece, stocând datele cu caracter personal ale clienților dvs. pe serverele sale, va prelucra în
numele dvs. date cu caracter personal.
Referințe
Articolul 28 și considerentul (81) al RGPD
51
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/are-obligations-same-regardless-amount-
data-my-company-organisation-handles_ro
29
55. Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod
implicit”?
Răspuns52
Societățile/organizațiile sunt încurajate să pună în aplicare măsuri tehnice și organizatorice încă
din primele etape ale proiectării operațiilor de prelucrare, astfel încât să garanteze principiul
confidențialității și al protecției datelor chiar de la început („protecția datelor începând cu momentul
conceperii”). În mod implicit, societățile/organizațiile ar trebui să se asigure că datele cu caracter personal
sunt prelucrate cu cel mai ridicat nivel de protecție (adică numai datele necesare, perioadă scurtă de
stocare, accesibilitate limitată), astfel încât, în mod implicit, datele cu caracter personal să nu poată fi
accesate de un număr nelimitat de persoane („protecția datelor în mod implicit”).
Exemple
Protecția datelor începând cu momentul conceperii
Utilizarea pseudonimizării (înlocuirea materialului identificabil personal cu identificatori artificiali) și
a criptării (codificarea mesajelor astfel încât numai persoanele autorizate să le poată citi).
Protecția datelor în mod implicit
O platformă de rețele sociale ar trebui încurajată să stabilească setările de profil ale utilizatorilor în
modul cel mai favorabil confidențialității, de exemplu, limitând de la început accesibilitatea profilului
utilizatorilor, astfel încât acesta să nu poată fi accesat în mod implicit de un număr nelimitat de persoane.
Referințe
Articolul 25 și considerentul (78) al RGPD
56. Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări?
Răspuns53
O încălcare a securității datelor se produce atunci când datele pentru care societatea/organizația
dvs. este responsabilă suferă un incident de securitate care duce la compromiterea confidențialității, a
disponibilității sau a integrității. Dacă se întâmplă acest lucru și există probabilitatea ca încălcarea să
prezinte un risc pentru drepturile și libertățile unei persoane fizice, societatea/organizația dvs. trebuie să
înștiințeze autoritatea de supraveghere fără întârzieri nejustificate, în termen de cel mult 72 de ore de la
momentul la care ați luat cunoștință de încălcare. Dacă societatea/organizația dvs. este persoana
împuternicită de operator, trebuie să înștiințați operatorul cu privire la fiecare încălcare a securității
datelor.
Dacă încălcarea securității datelor prezintă un risc ridicat pentru persoanele fizice afectate, atunci
trebuie să fie informate și toate aceste persoane (cu excepția cazului în care s-au aplicat măsuri de
protecție tehnice și organizatorice eficace sau alte măsuri care asigură faptul că riscul nu mai este
susceptibil să se materializeze).
Ca organizație, este vital să puneți în aplicare măsuri tehnice și organizatorice adecvate pentru a
evita posibile încălcări ale securității datelor.
Exemple
Organizația trebuie să înștiințeze APD și persoanele fizice
Datele angajaților unei fabrici de textile au fost dezvăluite. Datele includeau adresele personale,
componența familiei, salariul lunar și cererile medicale ale fiecărui angajat. În acest caz, fabrica de textile
trebuie să informeze autoritatea de supraveghere cu privire la încălcarea securității datelor. Deoarece datele
cu caracter personal includ date sensibile, cum sunt cele referitoare la sănătate, fabrica trebuie să înștiințeze
și angajații.
52
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-
default-mean_ro
53
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-
case-data-breach_ro
30
Un angajat al unui spital decide să copieze datele pacienților pe un CD și le publică online. Spitalul
află câteva zile mai târziu. Din momentul în care află, spitalul are la dispoziție 72 de ore pentru a informa
autoritatea de supraveghere și, pentru că datele cu caracter personal conțin informații sensibile, cum ar fi
dacă un pacient are cancer, dacă o pacientă este însărcinată etc., acesta trebuie să informeze și pacienții. În
acest caz, este puțin probabil ca spitalul să fi pus în aplicare măsuri de protecție tehnice și organizatorice
– dacă ar fi pus în aplicare măsuri de protecție adecvate (de exemplu, criptarea datelor), riscul nu ar fi
susceptibil să se materializeze, iar spitalul ar putea fi scutit de la înștiințarea pacienților.
Societatea trebuie să înștiințeze clienții, iar aceștia pot avea obligația de a înștiința apoi APD și
persoanele fizice
Un serviciu de cloud pierde mai multe hard diskuri care conțin date cu caracter personal ale mai multor
clienți ai săi. Societatea trebuie să înștiințeze clienții respectivi de îndată ce ia cunoștință de încălcarea
securității. Clienții săi trebuie să anunțe APD și persoanele fizice, în funcție de natura datelor pe care le
prelucra persoana împuternicită de operator.
Referințe
Orientările Grupului de lucru al articolului 29 privind notificarea încălcării securității datelor în temeiul
Regulamentului 2016/679, 3 octombrie 2017 (WP 250)
Articolul 4 punctul 12, articolele 33 și 34 și considerentele (85), (86), (87) și (88) ale RGPD
57. Când este necesară o evaluare a impactului asupra protecției datelor (EIPD)?
Răspuns54
O EIPD este necesară ori de câte ori prelucrarea este susceptibilă de a genera un risc ridicat pentru
drepturile și libertățile persoanelor fizice. Este necesară o EIPD cel puțin în următoarele cazuri:
evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică, inclusiv
crearea de profiluri;
prelucrarea pe scară largă a unor date sensibile;
monitorizarea sistematică pe scară largă a unor zone accesibile publicului.
Autoritățile naționale de protecție a datelor, acționând în coordonare cu Comitetul european
pentru protecția datelor, pot furniza liste cu situațiile în care ar fi necesară o EIPD. EIPD ar trebui
efectuată înainte de prelucrare și ar trebui considerată un instrument viu, nu doar un exercițiu izolat. În
cazul în care există riscuri reziduale care nu pot fi atenuate prin măsurile puse în aplicare, este necesară
consultarea APD înainte de începerea prelucrării.
Exemple
Este necesară EIPD
O bancă își selectează clienții dintr-o bază de date cu informații privind creditele; un spital este pe
punctul să implementeze o nouă bază de date cu informații despre sănătate, care conține date privind
sănătatea pacienților; un operator de autobuz urmează să instaleze camere la bord pentru a monitoriza
comportamentul șoferilor și al călătorilor.
Nu este necesară o EIPD
Medicul unei comunități prelucrează date cu caracter personal ale pacienților săi. În acest caz nu este
necesară o EIPD, deoarece prelucrarea de către medicul comunității nu se face la scară largă în cazurile în
care numărul de pacienți este limitat.
Referințe
Orientările Grupului de lucru al articolului 29 privind evaluarea impactului asupra protecției datelor
(EIPD) și determinarea susceptibilității ca prelucrarea „să genereze un risc ridicat” în sensul
Regulamentului (UE) 2016/679, 4 aprilie 2017
Articolele 35 și 36 și considerentele (89)-(96) ale RGPD
54
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-
dpia-required_ro
31
Responsabilii cu protecția datelor55
58. Este obligată societatea/organizația mea să aibă un responsabil cu protecția datelor (RPD)?
Răspuns56
Societatea/organizația dvs. trebuie să numească un RPD, indiferent dacă este operator de date sau
persoană împuternicită de operator, dacă activitățile sale principale implică prelucrarea de date sensibile
pe scară largă sau implică o monitorizare regulată și sistematică pe scară largă a persoanelor fizice. În
acest sens, monitorizarea comportamentului persoanelor vizate include toate formele de urmărire și de
creare de profiluri pe internet, inclusiv în scopuri de publicitate comportamentală.
Administrațiile publice au mereu obligația de a numi un RPD (cu excepția instanțelor care
acționează în exercițiul funcției lor jurisdicționale).
RPD poate fi un membru al personalului organizației dvs. sau poate fi o persoană din exterior
angajată pe baza unui contract de servicii. RPD poate fi o persoană fizică sau o organizație.
Exemple
RPD obligatoriu
Este obligatoriu să existe un RPD, de exemplu, atunci când societatea/organizația este:
un spital care prelucrează seturi mari de date sensibile;
societate de securitate responsabilă cu monitorizarea unor centre comerciale și spații publice;
mică firmă de recrutare care creează profiluri ale unor persoane fizice.
RPD neobligatoriu
Nu este obligatoriu să existe un RPD dacă:
sunteți un medic al unei comunități locale și prelucrați date cu caracter personal ale pacienților dvs.;
aveți o mică firmă de avocatură și prelucrați date cu caracter personal ale clienților dvs.
Referințe
Orientările Grupului de lucru al articolului 29 privind responsabilii cu protecția datelor, 5 aprilie 2017
(WP 243)
Articolele 37, 38 și 39 și considerentul (97) al RGPD
55
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers_ro
56
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-
organisation-need-have-data-protection-officer-dpo_ro
57
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/what-are-
responsibilities-data-protection-officer-dpo_ro
32
operator în ceea ce privește îndeplinirea sarcinilor sale. RPD răspunde direct în fața celui mai înalt nivel
al conducerii organizației.
Referință
Articolele 37, 38 și 39 și considerentul (97) al RGPD
60. Ce norme se aplică dacă organizația mea transferă date în afara UE?
Răspuns58
În lumea globalizată actuală, se transferă în plan transfrontalier cantități mari de date cu caracter
personal, care sunt stocate uneori pe servere aflate în țări diferite. Protecția conferită de Regulamentul
general privind protecția datelor (RGPD) însoțește datele în călătoria lor, ceea ce înseamnă că normele
care protejează datele continuă să se aplice indiferent unde ajung aceste date. Acest lucru este valabil și
când datele se transferă într-o țară care nu este membră a UE (denumită în continuare „țară terță”).
RGPD pune la dispoziție diferite instrumente pentru încadrarea transferurilor de date din UE într-
o țară terță:
Uneori, o țară terță poate fi declarată ca oferind un nivel adecvat de protecție printr-o decizie a
Comisiei Europene („decizie privind caracterul adecvat al nivelului de protecție”), ceea ce
înseamnă că se pot transfera date cu o altă societate în acea țară terță fără ca exportatorul datelor
să aibă obligația de a asigura garanții suplimentare sau să fie supus unor condiții suplimentare.
Cu alte cuvinte, transferurile într-o țară terță cu „un caracter adecvat al nivelului de protecție” va
fi asimilată unei transmiteri de date în interiorul UE.
În absența unei decizii privind caracterul adecvat al nivelului de protecție, transferul se poate face
prin asigurarea unor garanții adecvate și cu condiția ca persoanele fizice să beneficieze de drepturi
opozabile și de căi de atac eficace. Printre asemenea garanții adecvate se numără:
în cazul unui grup de întreprinderi sau de societăți implicat într-o activitate economică comună,
societățile pot transfera datele cu caracter personal pe baza unor reguli corporatiste obligatorii;
acorduri contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele
contractuale standard aprobate de Comisia Europeană;
aderarea la un cod de conduită sau la un mecanism de certificare, precum și obținerea unor
angajamente obligatorii și executorii din partea destinatarului de a aplica garanții adecvate pentru
protecția datelor transferate.
În sfârșit, dacă se are în vedere un transfer de date cu caracter personal într-o țară terță care nu
face obiectul unei decizii privind caracterul adecvat al nivelului de protecție și dacă lipsesc
garanțiile adecvate, transferul se poate realiza pe baza mai multor derogări pentru situații
specifice, de exemplu, în cazul în care o persoană fizică și-a exprimat în mod explicit acordul cu
privire la transferul propus după ce a primit toate informațiile necesare privind riscurile asociate
transferului.
Exemplu
Sunteți o societate franceză care intenționează să își extindă serviciile în America de Sud, în special
în Argentina, Uruguay și Brazilia. Primul pas ar fi să verificați dacă țările terțe respective fac obiectul unei
decizii privind caracterul adecvat al nivelului de protecție. În acest caz, atât Argentina, cât și Uruguay au
fost declarate ca având un caracter adecvat. Ați putea transfera date cu caracter personal în aceste două țări
terțe fără nicio garanție suplimentară, dar pentru transferurile în Brazilia, în privința căreia nu s-a emis o
decizie privind caracterul adecvat, va trebui să vă încadrați transferurile asigurând garanții adecvate.
Referințe
Capitolul V, articolele 44-50 și considerentele (101)-(116) ale RGPD
58
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-
transfers-data-outside-eu_ro
33
Cele mai recente documente de lucru ale Grupului de lucru al articolului 29 privind transferurile
internaționale
Document de lucru privind etalonul caracterului adecvat al nivelului de protecție a datelor
(actualizare a capitolului I din WP 12), WP 254
Document de lucru de întocmire a unui tabel cu elementele și principiile care trebuie să se regăsească
în regulile corporatiste obligatorii, WP 256
Document de lucru de întocmire a unui tabel cu elementele și principiile care trebuie să se regăsească
în regulile corporatiste obligatorii pentru persoanele împuternicite de operator, WP 257
Ca referință, consultați și Comunicarea Comisiei Europene privind schimbul de date cu caracter personal
și protecția acestora într-o lume globalizată*, din 10 ianuarie 2017.
* COM(2017)7 final.
59
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/how-can-i-demonstrate-my-organisation-
compliant-gdpr_ro
34
RELAȚIILE CU CETĂȚENII60
62. Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile
privind protecția datelor?
Răspuns61
Persoanele fizice pot contacta societatea/organizația dvs. pentru a-și exercita drepturile conferite
de RGPD (dreptul de acces, de rectificare, de ștergere, dreptul la portabilitate etc.). În cazul în care datele
cu caracter personal sunt prelucrate prin mijloace electronice, societatea/organizația dvs. trebuie să facă
posibilă formularea solicitărilor pe cale electronică. Societatea/organizația dvs. trebuie să răspundă
solicitărilor acestora fără întârzieri nejustificate, în principiu, în termen de o lună de la primirea solicitării.
Persoanei care efectuează solicitarea i se pot cere informații suplimentare pentru a-i confirma
identitatea.
Dacă societatea/organizația dvs. respinge solicitarea, persoana vizată trebuie informată cu privire
la motivele respingerii și la dreptul său de a depune o plângere la autoritatea de protecție a datelor, precum
și la dreptul acesteia la o cale de atac.
Tratarea solicitărilor persoanelor fizice ar trebui efectuată gratuit. În cazul în care solicitările sunt
vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, puteți percepe o taxă
rezonabilă sau puteți refuza să le dați curs.
Exemplu
O persoană care și-a accesat toate datele cu caracter personal cu o lună în urmă depune din nou
aceeași solicitare de accesare a acelorași date cu caracter personal. Puteți lua în calcul fie să o informați
că îi respingeți solicitarea, fie să percepeți o taxă rezonabilă.
Referințe
Articolele 12 și 15-22 și considerentele (59) și (63)-(71) ale RGPD
63. Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere?
Răspuns62
Când o persoană solicită acces la datele sale cu caracter personal, societatea/organizația dvs. trebuie:
să confirme dacă prelucrează sau nu date cu caracter personal care vizează persoana în cauză;
să îi furnizeze o copie a datelor cu caracter personal pe care le deține în legătură cu aceasta;
să furnizeze informații privind prelucrarea (cum ar fi scopurile, categoriile de date cu caracter
personal, destinatarii etc.).
Societatea/organizația dvs. trebuie să îi furnizeze persoanei fizice în cauză o copie a datelor sale
cu caracter personal în mod gratuit. Pentru orice copii suplimentare poate percepe însă o taxă rezonabilă.
Exercitarea dreptului de acces este strâns legată de exercitarea dreptului la portabilitatea datelor
– posibilitatea persoanei fizice de a-și transmite datele către o altă organizație.
Este important ca, în anunțul societății/organizației dvs. privind confidențialitatea, să existe o
distincție clară între cele două drepturi. Prin urmare, ambele drepturi trebuie menționate pe scurt în mod
separat.
Exemplu
Societatea/organizația dvs. furnizează un serviciu de rețele sociale online, prin care persoanele fizice
pot face schimb de mesaje și de fotografii. Un utilizator solicită accesul la datele sale cu caracter personal
și să verifice ce date cu caracter personal care îl vizează sunt prelucrate de societatea/organizația dvs.
Societatea/organizația dvs. trebuie să confirme că prelucrează date cu caracter personal care îl vizează și
să îi furnizeze o copie (cum ar fi numele, datele de contact, mesajele și fotografiile transmise). De
60
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens_ro
61
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-
exercising-their-data-protection-rights-be-dealt_ro
62
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/what-personal-data-and-information-
can-individual-access-request_ro
35
asemenea, societatea/organizația dvs. trebuie să îi furnizeze informații privind prelucrarea – de obicei,
acestea sunt cuprinse în anunțul referitor la confidențialitate al serviciului dvs.
Referințe
Articolul 15 și considerentele (63) și (64) ale RGPD
64. Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere
acest lucru?
Răspuns63
Regulamentul general privind protecția datelor (RGPD) le acordă persoanelor fizice dreptul de a
solicita ștergerea datelor proprii, iar organizațiile au obligația de a da curs solicitării, cu excepția
următoarelor cazuri:
datele cu caracter personal pe care societatea/organizația dvs. le deține sunt necesare pentru
exercitarea dreptului la libertatea de exprimare;
există o obligație legală care vă impune să păstrați datele;
din motive de interes public (de exemplu, sănătate publică, scopuri de cercetare științifică, statistică
sau istorică).
Dacă societatea/organizația dvs. a prelucrat date în mod ilegal, trebuie șterse. În cazul unei
solicitări a unei persoane fizice, datele colectate când persoana era încă minoră trebuie șterse.
În ceea ce privește dreptul de a fi uitat online, organizațiile au obligația de a lua măsuri rezonabile
(de exemplu, măsuri tehnice) pentru a informa alte site-uri că o anumită persoană a solicitat ștergerea
datelor sale cu caracter personal.
De asemenea, datele pot fi păstrate dacă au fost supuse unui proces adecvat de anonimizare.
Exemple
Nu este obligatorie ștergerea datelor
Societatea/organizația dvs. administrează un ziar online. Unul dintre jurnaliștii săi publică un articol
despre faptul că un politician a spălat bani în bănci off-shore. Politicianul solicită ștergerea articolului
pentru că se prelucrează datele sale cu caracter personal. Având în vedere că utilizați datele cu caracter
personal pentru a vă exercita dreptul la liberă exprimare, în principiu, societatea/organizația dvs. nu are
obligația de a șterge datele respective. În practică însă, obligația depinde de legislația națională în vigoare.
Este obligatorie ștergerea datelor
Societatea/organizația dvs. administrează o platformă de rețele sociale. Un minor încarcă fotografii;
câțiva ani mai târziu însă, el decide că fotografiile respective i-ar putea afecta negativ perspectivele de
carieră. Pentru că persoana era minoră la momentul încărcării fotografiilor, societatea/organizația dvs. avea
obligația de a le șterge. Mai mult, dacă fotografiile au fost prelucrate și pe alte site-uri,
societatea/organizația dvs. trebuie să ia măsuri rezonabile pentru a le informa că s-a depus o cerere de
ștergere a fotografiilor.
Referințe
Articolul 17 și considerentele (65) și (66) ale RGPD
Orientările Grupului de lucru al articolului 29 privind punerea în aplicare a Hotărârii Curții de Justiție
din 13 mai 2014, Google Spania și Google, C-131/121, ECLI:EU:C:2014:3171
1 Un sumar al hotărârii a fost publicat în JO C 212, 7.7.2014, p. 4.
65. Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de
către societatea mea?
Răspuns64
63
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/do-we-always-have-delete-personal-
data-if-person-asks_ro
64
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/what-happens-if-someone-objects-my-
company-processing-their-personal-data_ro
36
Persoanele fizice au dreptul de a se opune prelucrării datelor cu caracter personal pentru motive
concrete. Existența unei asemenea situații specifice trebuie examinată de la caz la caz.
Persoana în cauză poate obiecta numai în cazurile în care o administrație publică
prelucrează datele în contextul atribuțiilor sale publice sau în cazul în care o societate prelucrează
datele în temeiul intereselor sale legitime. În asemenea cazuri, societatea/organizația dvs. nu mai are
dreptul de a prelucra datele decât dacă demonstrează că trebuie să fie prelucrate din motive care
prevalează asupra drepturilor și a libertăților persoanei în cauză sau dacă are nevoie de date pentru
constatarea, exercitarea sau apărarea unui drept în instanță.
De asemenea, persoanele fizice au dreptul de a se opune în orice moment prelucrării datelor lor
cu caracter personal în scopuri de marketing direct. În contextul Regulamentului general privind protecția
datelor, marketingul direct este înțeles ca fiind orice acțiune întreprinsă de o societate pentru a
comunica material publicitar sau de marketing și adresată anumitor persoane fizice.
Societatea/organizația dvs. trebuie să informeze persoanele fizice, în anunțul său privind
confidențialitatea sau cel târziu în momentul primei comunicări cu persoanele respective, că le va folosi
datele cu caracter personal pentru marketing direct și că au dreptul de a se opune gratuit. Dacă o persoană
se opune prelucrării în scopuri de marketing direct, societatea/organizația dvs. nu mai poate prelucra
datele acesteia în scopurile respective.
Exemplu
În sectorul asigurărilor sunt necesare foarte frecvent date cu caracter personal pentru apărarea unui
drept în instanță în cazul măsurilor antifraudă sau al măsurilor de combatere a spălării banilor. În acele
cazuri, societățile de asigurări pot refuza să dea curs cererii unei persoane fizice de a obiecta în temeiul
unor motive care prevalează asupra intereselor și a libertăților persoanei respective.
Referințe
Articolul 21 și considerentele (69) și (70) ale RGPD
Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de interese legitime ale
operatorului de date în temeiul articolului 7 din Directiva 95/46/CE
66. Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație?
Răspuns65
Da, persoanele fizice au dreptul la portabilitatea datelor, și anume de a primi de la
societatea/organizația dvs. datele cu caracter personal furnizate într-un format structurat, care să poată fi
citit automat, și de a dispune transmiterea acestor date la o altă societate/organizație. Dreptul poate
fi exercitat numai dacă datele cu caracter personal au fost colectate în contextul unui contract sau în
temeiul consimțământului, iar datele respective sunt prelucrate prin mijloace automate.
Exemplu
Un pacient al unei clinici private din Belgia se mută la o altă clinică din Germania. Persoana fizică
solicită clinicii belgiene, care deține înregistrări electronice în privința sa, să îi furnizeze datele cu caracter
personal într-un format structurat, care să poată fi citit automat, pentru a putea transmite datele către
personalul medical relevant din Germania. Clinica belgiană ar trebui să îi ofere datele cu caracter personal
într-un format deschis utilizat în mod frecvent (de exemplu, XML, JSON, CSV etc.). Când selectează
formatul pentru date, organizația ar trebui să ia în considerare modul în care acest format ar putea influența
sau îngreuna dreptul persoanei fizice de a reutiliza datele. De exemplu, dacă îi furnizează persoanei
versiuni PDF ale înregistrărilor sale, s-ar putea ca acest lucru să nu fie suficient pentru a asigura
posibilitatea reutilizării cu ușurință a datelor cu caracter personal.
Referințe
Articolul 20 și considerentul (68) al RGPD
Orientările Grupului de lucru al articolului 29 privind portabilitatea datelor
65
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/can-individuals-ask-have-their-data-
transferred-another-organisation_ro
37
67. Există restricții privind utilizarea proceselor decizionale automate?
Răspuns66
Da, persoanele fizice nu ar trebui să facă obiectul unei decizii bazate exclusiv pe prelucrare
automată (cum sunt algoritmii) dacă decizia este obligatorie din punct de vedere juridic sau o afectează
într-o măsură semnificativă.
Se poate considera că o decizie produce efecte juridice atunci când aceasta influențează drepturile
juridice ale persoanei fizice sau statutul său juridic (de exemplu, dreptul la vot). În plus, prelucrarea poate
afecta semnificativ o persoană fizică dacă influențează circumstanțele personale, comportamentul sau
alegerile sale (de exemplu, o prelucrare automată poate duce la refuzul unei cereri de credit online).
Utilizarea prelucrării automate pentru luarea deciziilor este autorizată numai în următoarele
cazuri:
dacă decizia bazată pe un algoritm este necesară (adică trebuie să nu existe nicio altă modalitate de a
atinge același obiectiv) pentru încheierea sau derularea unui contract cu persoana fizică ale cărei date
societatea/organizația dvs. le-a prelucrat prin intermediul algoritmului (de exemplu, o cere de credit
online);
dacă o anumită lege (o lege europeană sau națională) permite utilizarea algoritmilor și prevede
garanții adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei fizice (de
exemplu, regulamentele de combatere a evaziunii fiscale);
dacă persoana fizică și-a dat în mod explicit consimțământul pentru o decizie bazată pe algoritm.
Cu toate acestea, decizia luată trebuie să protejeze drepturile, libertățile și interesele legitime ale
persoanei fizice prin punerea în aplicare a unor garanții adecvate. Cu excepția cazului în care procesul
decizional respectiv este bazat pe o lege, persoana fizică trebuie cel puțin informată în legătură cu (i)
logica utilizată în procesul decizional, (ii) dreptul său de a obține o intervenție umană, (iii) consecințele
potențiale ale prelucrării și (iv) dreptul său de a contesta decizia. Prin urmare, societatea/organizația dvs.
trebuie să facă demersurile procedurale necesare pentru a-i permite persoanei să își exprime punctul de
vedere și să conteste decizia.
În sfârșit, e nevoie de atenție deosebită dacă algoritmul utilizează categorii speciale de date cu
caracter personal: procesul decizional automat este permis în următoarele condiții:
dacă persoana fizică și-a dat consimțământul explicit sau
dacă prelucrarea este necesară din motive de interes public major, în temeiul dreptului UE sau
național.
În plus, dacă persoana fizică în cauză este copil, ar trebui evitată luarea unor decizii, bazate
exclusiv pe procesare automată, care produc efecte juridice sau efecte semnificative similare asupra sa,
deoarece copiii reprezintă un grup mai vulnerabil al societății.
Exemplu
Societatea/organizația dvs. este o bancă online care oferă credite. Clienții își introduc datele, iar un
algorit produce rezultate care vă spun dacă ar trebui să îi fie oferit sau nu un credit clientului și propune o
dobândă. Societatea/organizația dvs. ar trebui să revizuiască decizia respectivă înainte de a fi comunicată
clientului respectiv și să îl informeze că își poate exprima opinia și, eventual, contesta decizia, având în
vedere că persoana fizică are dreptul de a nu face obiectul unei decizii bazate pe algoritmi.
Referințe
Articolul 4 punctul 4 și articolul 22 și considerentele (71) și (72) ale RGPD Orientările Grupului de lucru
al articolului 29 privind procesul decizional individual și crearea de profiluri în ceea ce privește
Regulamentul (UE) 2016/679 (WP 251)
66
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/are-there-restrictions-use-automated-
decision-making_ro
38
APLICAREA LEGII ȘI SANCȚIUNI67
68. Ce se întâmplă dacă societatea mea prelucrează date în diferite state membre ale UE?
Răspuns68
Regulamentul general privind protecția datelor (RGPD) se aplică în întreaga UE – același set de
norme privind protecția datelor pentru toate statele membre ale UE. Astfel, societatea/organizația dvs.
nu este nevoită să se familiarizeze cu mai multe legi diferite. În unele domenii, statele membre UE pot
adăuga precizări privind aplicarea normelor RGPD (de exemplu, norme privind ocuparea forței de
muncă; sectorul sănătății publice; norme privind reconcilierea dintre libertatea de exprimare și protecția
datelor). De asemenea, RGPD introduce așa-numitul mecanism al „ghișeului unic”, care asigură
cooperarea între autoritățile de protecție a datelor (APD) în cazul prelucrării transfrontaliere.
Dacă societatea/organizația dvs. prelucrează date în diferite țări, APD competentă – care va fi
autoritatea principală în relațiile sale cu alte APD-uri din UE – este APD din statele membre ale UE în
care are sediul principal. Aceasta este identificată drept administrația centrală în UE a
societății/organizației dvs., dacă deciziile privind scopurile și mijloacele de prelucrare a datelor cu
caracter personal nu se iau în alt sediu, iar acel sediu are puterea de a pune în aplicare aceste decizii.
Dacă societatea/organizația dvs. prelucrează date pentru a îndeplini o obligație în temeiul
dreptului național al unui stat membru al UE, APD din respectivul stat membru al UE are competență
unică.
Exemplu
Sediul principal (adică sediul central) al unei fabrici de textile este în Italia. Aceasta are magazine-
satelit în țări învecinate, cum ar fi Malta, Grecia, Franța și Austria. În aceste țări învecinate, magazinele
sale satelit creează baze de date care prelucrează date cu caracter personal ale clienților în scopuri de
marketing. Cu toate acestea, deciziile privind „cum” trebuie contactați clienții respectivi, „când” și „de
ce” se iau la sediul central din Italia. Astfel, în acest caz, se consideră că decizia privind prelucrarea
datelor cu caracter personal în scopuri de marketing se ia în Italia. APD din Italia este autoritatea
principală pentru societatea/organizația dvs.
Referințe
Orientările Grupului de lucru al articolului 29 privind autoritatea de supraveghere principală și anexa la
acestea („Întrebări frecvente”), 5 aprilie 2017
Articolul 4 punctul 23 și articolele 55, 56 și 60-70 și considerentele (124)-(140) ale RGPD
67
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions_ro
68
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions/enforcement/what-happens-
if-my-company-processes-data-different-eu-member-states_ro
69
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions/sanctions/what-if-my-
company-organisation-fails-comply-data-protection-rules_ro
39
Autoritatea trebuie să se asigure că amenzile impuse în fiecare caz individual sunt eficace,
proporționale și disuasive. Aceasta va lua în considerare mai mulți factori, cum ar fi natura, gravitatea
și durata încălcării, dacă încălcarea a fost comisă intenționat sau din neglijență, precum și orice acțiuni
întreprinse pentru a reduce prejudiciul suferit de către persoanele fizice, gradul de cooperare cu
organizația etc.
Exemplu
O societate vinde online produse pentru gospodărie. Prin intermediul site-ului său, consumatorii
pot cumpăra aparatură de bucătărie, mese, scaune și alte produse de uz casnic, introducându-și datele
bancare. Site-ul a suferit un atac cibernetic în urma căruia atacatorul a intrat în posesia unor date cu
caracter personal. În acest caz, lipsa unor măsuri tehnice adecvate luate de societate pare să fi fost cauza
pierderii datelor.
În această situație, autoritatea de supraveghere va lua în considerare diverși factori înainte de a
decide ce instrument corectiv să aplice. Factori precum: cât de gravă a fost deficiența din sistemul
informatic? Cât timp a fost expusă infrastructura informatică la un asemenea risc? S-au efectuat în trecut
teste pentru prevenirea unui astfel de atac? Datele câtor clienți au fost furate/dezvăluite? Ce tip de date
cu caracter personal a fost afectat – au existat și date sensibile? Toate aceste considerente și altele vor fi
luate în calcul de către autoritatea de supraveghere.
Referințe
Articolele 58, 60, 83 și 84 și considerentele (129), (148), (150) și (151) ale RGPD
Orientările Grupului de lucru al articolului 29 privind aplicarea și stabilirea amenzilor administrative în
scopul Regulamentului 2016/679, 3 octombrie 2017
70
https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-constitutes-data-processing_ro
40
DREPTURI PENTRU CETĂȚENI71
71
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens_ro
72
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected_ro
73
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-data-my-religious-beliefs-sexual-
orientation-health-political-views-protected_ro
74
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/can-personal-data-about-children-be-
collected_ro
41
anumită vârstă. Acest lucru este valabil pentru site-urile de rețele sociale, precum și pentru platformele
pentru descărcarea de muzică și cumpărarea de jocuri online.
Limita de vârstă pentru obținerea consimțământului părinților este stabilită de fiecare stat membru
al UE și poate fi între 13 și 16 ani. Consultați autoritatea națională de protecție a datelor.
Societățile trebuie să depună eforturi rezonabile, ținând seama de tehnologiile disponibile, pentru
a se asigura că respectivul consimțământ a fost într-adevăr acordat în conformitate cu prevederile legii.
Aceste eforturi pot cuprinde implementarea unor măsuri de verificare a vârstei (de exemplu, o întrebare
la care un copil mediu nu ar ști să răspundă sau solicitarea ca minorul să comunice adresa de e-mail a
părintelui său pentru a face posibilă acordarea consimțământului scris).
Serviciile de prevenire sau de consiliere oferite direct copiilor sunt scutite de obligația de a obține
consimțământul unui părinte, deoarece ele urmăresc protejarea intereselor copiilor.
Exemple
Este necesar consimțământul unui părinte
Aveți o fiică în vârstă de 12 ani. Aceasta ar dori să se înscrie într-o rețea socială cunoscută și i se
solicită consimțământul pentru prelucrarea informațiilor privind religia sa. Ar trebui să vă dați
consimțământul dacă doriți ca ea să se înscrie în rețeaua socială respectivă.
Nu este necesar consimțământul unui părinte
Fiul dvs. în vârstă de 17 ani se gândește să participe la un sondaj online referitor la preferințele sale
vestimentare. Site-ul solicită consimțământul pentru prelucrarea datelor sale. Deoarece are peste 16 ani,
fiul dvs. își poate da consimțământul fără a-l cere pe al dvs.
Referințe
Articolul 8 și considerentele (38) și (58) ale RGPD
73. Mă poate obliga angajatorul să îmi dau consimțământul pentru utilizarea datelor mele cu
caracter personal?
Răspuns75
Situația angajator-angajat este considerată, în general, o relație dezechilibrată, în care angajatorul
dispune de mai multă putere decât angajatul. Deoarece consimțământul trebuie să fie liber și având în
vedere caracterul dezechilibrat al relației, angajatorul nu poate, în majoritatea cazurilor, să se bazeze pe
consimțământul dvs. pentru a vă utiliza datele.
S-ar putea să existe situații în care este legală prelucrarea datelor cu caracter personal ale unui
angajat pe baza consimțământului acestuia, în special dacă prelucrarea se face în interesul angajatului.
De exemplu, dacă o companie acordă beneficii angajatului sau membrilor familiei acestuia (cum ar fi
reduceri la serviciile oferite de companie), prelucrarea datelor cu caracter personal ale unui angajat este
permisă și legală, dacă s-a acordat consimțământul prealabil în cunoștință de cauză.
Exemplu
Consimțământul nu este valid
Angajatorul dvs. consideră că trebuie crescută productivitatea muncii. În acest scop, intenționează să
instaleze camere de televiziune cu circuit închis (CCTV) pe coridoare și la intrarea băilor. Vă solicită
consimțământul pentru a vă putea monitoriza mișcările și timpul petrecut în afara biroului. Chiar dacă vă
dați consimțământul, acesta ar fi considerat nevalid, iar angajatorul dvs. nu are voie să instaleze CCTV pe
baza acestui consimțământ.
Referințe
Articolele 7 și 88 și considerentul (43) al RGPD
Orientările Grupului de lucru al articolului 29 privind consimțământul în cadrul Regulamentului (UE)
2016/679 (WP 259)
75
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/can-my-employer-require-me-give-my-
consent-use-my-personal-data_ro
42
Avizul 2/2017 al Grupului de lucru al articolului 29 privind prelucrarea datelor la locul de muncă (WP
249)
76
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-should-my-consent-be-requested_ro
77
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/what-happens-if-data-i-have-shared-
leaked_ro
43
întâmplă acest lucru, organizația care deține datele cu caracter personal trebuie să anunțe autoritatea de
supraveghere fără întârzieri nejustificate. Dacă încălcarea securității datelor cu caracter personal este
susceptibilă de a genera un risc ridicat pentru drepturile și libertățile dvs., iar riscul nu a fost atenuat,
atunci trebuie să fiți informat(ă) și dvs., ca persoană fizică.
Exemplu
Ați rezervat un taxi printr-o aplicație online. Compania de taxi a suferit o încălcare de proporții a
securității datelor cu caracter personal și s-au furat date privind șoferii și utilizatorii. Se pare că nu exista
nicio măsură de securitate specifică pentru protejarea datelor cu caracter personal. Compania ar fi trebuit
să vă informeze în legătură cu încălcarea securității. În acest caz puteți depune o plângere împotriva
companiei de taxi la autoritatea de protecție a datelor („APD”).
Referințe
Articolele 32, 33 și 34 și considerentele (85)- (88) ale RGPD
DREPTURILE MELE78
76. Ce drepturi am?
Răspuns79
Aveți dreptul:
să primiți informații privind prelucrarea datelor dvs. cu caracter personal;
să obțineți acces la datele cu caracter personal deținute în legătură cu dvs.;
să solicitați corectarea datelor cu caracter personal incorecte, inexacte sau incomplete;
să solicitați ștergerea datelor cu caracter personal când acestea nu mai sunt necesare sau dacă
prelucrarea acestora este ilegală;
să vă opuneți prelucrării datelor dvs. cu caracter personal în scopuri de marketing sau din motive
legate de situația particulară în care vă aflați;
să solicitați restricționarea prelucrării datelor dvs. cu caracter personal în anumite cazuri;
să primiți datele dvs. cu caracter personal într-un format care poate fi citit automat și să le trimiteți
altui operator („portabilitatea datelor”);
să solicitați ca deciziile bazate pe prelucrarea automată a datelor dvs. cu caracter personal care vă
privesc sau care vă afectează într-o măsură semnificativă să fie luate de către persoane fizice, nu
exclusiv de computere. În acest caz, aveți și dreptul de a vă exprima punctul de vedere și de a contesta
decizia.
Pentru a vă exercita drepturile, ar trebui să contactați societatea sau organizația care vă
prelucrează datele (adică operatorul de date). În cazul în care societatea/organizația are un responsabil
cu protecția datelor (RPD), îi puteți adresa cererea acestui RPD. Societatea/organizația trebuie să
răspundă cererilor fără întârzieri nejustificate și cel târziu în termen de o lună. Dacă nu intenționează să
se conformeze la cererea dvs., societatea/organizația trebuie să motiveze refuzul. Vi se poate cere să
furnizați informații pentru a vă confirma identitatea (de exemplu, să faceți clic pe un link de verificare,
să introduceți un nume de utilizator sau o parolă) pentru a vă exercita drepturile.
Aceste drepturi se aplică în întreaga UE, indiferent unde se prelucrează datele și unde își are
sediul societatea. Aceste drepturi se aplică și când cumpărați produse și servicii de la societăți din afara
UE care își desfășoară activitatea în UE.
Referință
Capitolul III din RGPD
78
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights_ro
79
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/what-are-my-rights_ro
44
77. Ce informații ar trebui să primesc când furnizez datele mele cu caracter personal?
Răspuns80
Când vă comunicați datele cu caracter personal, trebuie să primiți, printre altele, informații
despre:
denumirea companiei sau a organizației care prelucrează datele dvs. (inclusiv datele de contact ale
RPD, dacă există unul);
scopurile în care compania/organizația va utiliza datele dvs.;
categoriile de date cu caracter personal în cauză;
temeiul juridic al prelucrării datelor dvs. cu caracter personal;
perioada de timp pentru care datele dvs. vor fi stocate;
alte societăți/organizații care vor primi datele dvs.;
eventuală transferare a datelor în afara UE;
drepturile de bază pe care le aveți în ceea ce privește prelucrarea datelor (de exemplu, dreptul de a
accesa și transfera datele sau de a dispune ștergerea acestora);
dreptul de a depune o plângere în fața unei autorități de protecție a datelor (APD);
dreptul de a vă retrage consimțământul în orice moment;
existența unui proces decizional automatizat și logica utilizată, inclusiv consecințele.
Informațiile ar trebui prezentate într-o formă concisă, transparentă și inteligibilă și redactate într-
un limbaj clar și simplu.
Referințe
Articolele 12 și 13 și considerentele (60), (61) și (62) ale RGPD.
Orientările Grupului de lucru al articolului 29 privind transparența în cadrul Regulamentului 2016/679
(WP 260)
78. Cum pot accesa datele mele cu caracter personal pe care le deține o companie/organizație?
Răspuns81
Aveți dreptul de a obține din partea societății/organizației o confirmare că se prelucrează sau nu
date cu caracter personal care vă privesc.
În cazul în care societatea/organizația are datele dvs. cu caracter personal, aveți dreptul să accesați
datele respective, să primiți o copie și să obțineți orice informații suplimentare relevante (cum ar fi
motivul prelucrării datelor dvs. cu caracter personal, categoriile de date cu caracter personal utilizate
etc.).
Acest drept de acces ar trebui să poată fi exercitat cu ușurință și să fie posibil la „intervale de timp
rezonabile”. Societatea/organizația ar trebui să vă furnizeze gratuit o copie a datelor dvs. cu caracter
personal. Eventualele copii suplimentare pot fi supuse unei taxe rezonabile. Dacă efectuați cererea prin
mijloace electronice (de exemplu, printr-un e-mail) și nu solicitați un alt format, informațiile ar trebui
furnizate într-un format electronic utilizat în mod curent.
Acest drept nu este unul absolut: exercitarea dreptului de acces la datele dvs. cu caracter personal
nu ar trebui să afecteze drepturile și libertățile altora, inclusiv secretele comerciale sau proprietatea
intelectuală.
Exemple
Dreptul de acces
Împrumutați cărți de la o bibliotecă. Puteți solicita bibliotecii să vă furnizeze datele cu caracter
personal pe care le deține în legătură cu dvs. În acest caz, biblioteca ar trebui să vă furnizeze toate
informațiile stocate cu privire la dvs., cum ar fi: data la care ați început să utilizați serviciile bibliotecii;
80
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/what-information-should-i-receive-when-i-provide-my-personal-
data_ro
81
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/how-can-i-access-my-personal-data-held-company-
organisation_ro
45
cărțile pe care le-ați împrumutat; dacă ați întârziat vreodată cu înapoierea cărților și eventualele penalități
care vi s-au aplicat.
V-ați înscris la un program de fidelitate al unui lanț de supermarketuri cu magazine în diferite locuri
din oraș și din țară. Dacă vă exercitați dreptul de a solicita informații și de a obține datele cu caracter
personal stocate în sistemul de carduri de fidelitate, ar trebui să primiți informații precum: cât de des ați
utilizat cardul; la ce supermarketuri ați făcut cumpărături; dacă ați primit vreo reducere și dacă (și cum) ați
fost vizat(ă) prin utilizarea tehnicilor de creare de profiluri; dacă supermarketul, care face parte dintr-un
lanț multinațional de companii, a comunicat datele dvs. companiei înrudite care comercializează parfumuri
și produse cosmetice.
Referințe
Articolul 15 și considerentele (63) și (64) ale RGPD
80. Pot cere unei societăți/organizații să îmi trimită datele mele cu caracter personal ca să le
pot utiliza în altă parte?
Răspuns83
Dacă o societate prelucrează datele dvs. cu caracter personal pe baza consimțământului dvs. sau
a unui contract, puteți cere societății respective să vă transfere datele dvs. cu caracter personal.
De asemenea, puteți solicita ca datele dvs. cu caracter personal să fie transferate direct la o altă
societate ale cărei servicii ați dori să le utilizați, dacă acest lucru este fezabil din punct de vedere tehnic.
Exemplu
Sunteți membru (membră) a(l) unei rețele sociale online. Decideți că o nouă rețea socială concurentă
este mai potrivită pentru obiectivele și grupa dvs. de vârstă. Puteți solicita rețelei sociale online pe care o
utilizați în prezent să transfere datele dvs. cu caracter personal, inclusiv fotografiile dvs., la noua rețea
socială.
Referințe
Articolul 20 și considerentul (68) al RGPD
Orientările Grupului de lucru al articolului 29 privind dreptul la portabilitatea datelor, adoptate în data
de 13 decembrie 2016, revizuite și adoptate cel mai recent la 5 aprilie 2017 (WP 242 rev.01)
82
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/my-data-incorrect-can-i-correct-it_ro
83
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-organisation-send-me-my-personal-data-so-i-
can-use-it-somewhere-else_ro
46
81. Pot cere unei societăți/organizații să nu mai prelucreze datele mele cu caracter personal?
Răspuns84
Aveți dreptul de a vă opune prelucrării datelor dvs. cu caracter personal și de a cere unei
societăți/organizații să nu le mai prelucreze în cazul datele dvs. cu caracter personal sunt prelucrate:
în scopuri de marketing direct;
pentru cercetare științifică/istorică și realizarea de statistici;
în propriul său interes legitim sau în cadrul îndeplinirii unei sarcini în interes public/pentru o
autoritate oficială.
Dacă vă opuneți marketingului direct, societatea trebuie să înceteze a mai utiliza datele dvs. cu
caracter personal și să vă respecte cererea fără a percepe nicio taxă.
Cu toate acestea, o societate/organizație poate continua să prelucreze datele dvs. cu caracter
personal în pofida obiecțiilor dvs. dacă:
în cazul prelucrării în scopuri de cercetare științifică/istorică și în scopuri statistice, prelucrarea este
necesară pentru îndeplinirea unei sarcini executate în interes public;
în cazul prelucrării bazate pe interese legitime sau pe îndeplinirea unei sarcini în interes
public/exercitarea autorității oficiale, societatea poate demonstra că are motive legitime și imperioase
care prevalează asupra intereselor, a drepturilor și a libertăților dvs. Prin urmare, este necesar un
exercițiu de asigurare a echilibrului.
Când vă contactează pentru prima dată, societatea ar trebui să vă informeze cu privire la dreptul
dvs. de a vă opune.
Exemplu
Ați cumpărat două bilete la un concert al formației dvs. preferate prin intermediul unei societăți de
vânzări de bilete online. După aceea sunteți bombardat(ă) cu reclame la concerte și evenimente care nu vă
interesează. Informați compania de vânzări de bilete că nu doriți să mai primiți material publicitar.
Compania ar trebui să înceteze a mai prelucra datele dvs. cu caracter personal pentru marketing direct și,
în scurt timp, ar trebui să nu mai primiți e-mailuri de la aceasta. Societatea nu ar trebui să perceapă nicio
taxă în acest scop.
Referințe
Articolele 7, 12 și 21 și considerentele (69) și (70) ale RGPD
82. Pot cere unei societăți/organizații să șteargă datele mele cu caracter personal?
Răspuns85
Da, puteți solicita ștergerea datelor dvs. cu caracter personal, de exemplu, atunci când datele pe
care le deține societatea cu privire la dvs. nu mai sunt necesare sau dacă datele dvs. au fost utilizate ilegal.
Datele cu caracter personal furnizate când erați copil pot fi șterse în orice moment.
Acest drept se aplică și online și este denumit adesea „dreptul de a fi uitat(ă)”. În anumite situații,
puteți cere societăților care au pus la dispoziție online datele dvs. cu caracter personal să le șteargă. Acele
societăți au și obligația de a lua măsuri rezonabile pentru a informa alte societăți (alți operatori) care
prelucrează datele cu caracter personal că subiectul datelor a cerut ștergerea oricăror linkuri către datele
respective sau a oricăror copii sau reproduceri ale acelor date cu caracter personal.
Este demn de reținut faptul că acest drept nu este unul absolut, ceea ce înseamnă că sunt protejate
și alte drepturi, cum ar fi libertatea de exprimare și cercetarea științifică.
Exemple
Datele ar trebui șterse
84
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-organisation-send-me-my-personal-data-so-i-
can-use-it-somewhere-else_ro
85
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-organisation-stop-processing-my-personal-
data_ro
47
V-ați înscris pe un site de rețele sociale. După o perioadă, decideți să părăsiți site-ul. Aveți dreptul de
a-i cere societății să șteargă datele cu caracter personal care vă aparțin.
Datele nu pot fi șterse imediat
O bancă nouă oferă credite ipotecare avantajoase. Vă cumpărați o casă nouă și decideți să treceți la
noua bancă. Solicitați „vechii” bănci să vă închidă toate conturile și să șteargă toate datele dvs. cu caracter
personal. Vechea bancă trebuie să respecte însă o lege care obligă băncile să păstreze timp de 10 ani toate
datele clienților. Vechea bancă nu poate șterge pur și simplu datele dvs. cu caracter personal. În acest caz,
ați putea cere restricționarea prelucrării datelor dvs. cu caracter personal. În acest caz, banca va putea păstra
datele numai pentru perioada de timp impusă de lege și nu poate efectua nicio altă operație de prelucrare
asupra lor.
Datele ar trebui șterse
Faceți o căutare online folosind numele și prenumele dvs., iar printre rezultate apare un link la un
articol de ziar. Informațiile din ziar sunt de acum câțiva ani și se referă la o chestiune – o licitație imobiliară
legată de niște proceduri de recuperare a unei datorii – rezolvată cu mult timp în urmă, în prezent irelevantă.
Dacă nu sunteți o personalitate publică, iar interesul dvs. privind ștergerea articolului primează în fața
interesului publicului general privind accesul la informație, motorul de căutare este obligat să șteargă din
rezultate linkurile la paginile web care conțin numele și prenumele dvs.
Referințe
Articolele 12, 17 și 23 și considerentele (65) și (66) ale RGPD
Orientările Grupului de lucru al articolului 29 privind punerea în aplicare a Hotărârii Curții de Justiție
din 13 mai 2014, Google Spania și Google, C-131/121, ECLI:EU:C:2014:3171 (WP 225)
1 Un sumar al hotărârii a fost publicat în JO C 212, 7.7.2014, p. 4.
83. Când ar trebui să îmi exercit dreptul la restricționarea prelucrării datelor mele cu caracter
personal?
Răspuns86
În general, în cazurile în care nu este clar dacă și când vor trebui șterse datele cu caracter personal,
vă puteți exercita dreptul la restricționarea prelucrării. Acest drept poate fi exercitat când:
86
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/when-should-i-exercise-my-right-restriction-processing-my-
personal-data_ro
48
84. Pot face obiectul unui proces decizional individual automatizat, inclusiv al creării de
profiluri?
Răspuns87
Crearea de profiluri are loc atunci când se evaluează aspectele dvs. personale pentru a face
previziuni în legătură cu dvs., chiar dacă nu se ia nicio decizie. De exemplu, dacă o companie sau
organizație vă evaluează caracteristicile (cum ar fi vârsta, sexul, înălțimea) sau vă încadrează într-o
categorie, acest lucru înseamnă că vi se creează un profil.
Procesul decizional exclusiv automatizat are loc atunci când se iau decizii în privința dvs. prin
mijloace tehnologice și fără nicio implicare umană: aceste decizii se pot lua chiar și fără crearea de
profiluri.
Legea privind protecția datelor stabilește că aveți dreptul de a nu face obiectul unei decizii bazate
exclusiv pe mijloace automatizate dacă decizia produce efecte juridice care vă privesc sau afectează în
mod similar într-o măsură semnificativă. O decizie produce efecte juridice atunci când are un impact
asupra drepturilor dvs. juridice (cum ar fi dreptul de vot). În plus, prelucrarea vă poate afecta într-o
măsură semnificativă dacă vă influențează circumstanțele, comportamentul sau alegerile. De exemplu,
prelucrarea automatizată poate duce la refuzul unei cereri de credit online.
Crearea de profiluri și procesul decizional automatizat sunt practici obișnuite în diferite sectoare,
cum ar fi sectorul bancar și cel financiar, sectorul fiscal și al sănătății. Aceste practici pot fi mai eficiente,
dar și mai puțin transparente și vă pot restricționa alegerea.
Deși, de regulă, nu puteți face obiectul unei decizii bazate exclusiv pe prelucrare automată, acest
tip de proces decizional poate fi permis, în mod excepțional, dacă legea permite utilizarea algoritmilor și
prevede garanții adecvate.
Deciziile bazate exclusiv pe mijloace automatizate sunt permise, de asemenea:
dacă decizia este necesară (mai precis, trebuie să nu existe nicio altă modalitate de a atinge același
obiectiv) pentru încheierea sau derularea unui contract cu dvs.;
dacă v-ați dat consimțământul explicit.
În ambele situații, decizia luată trebuie să vă protejeze drepturile și libertățile prin punerea în
aplicare a unor garanții adecvate. Compania sau organizația trebuie cel puțin să vă informeze cu privire
la dreptul dvs. de a obține intervenție umană și de a face demersurile procedurale necesare; în plus,
compania sau organizația ar trebui să vă permită să vă exprimați punctul de vedere și să vă informeze că
puteți contesta decizia.
Deciziile bazate pe algoritmi nu pot utiliza categorii speciale de date decât dacă v-ați dat
consimțământul sau dacă prelucrarea este permisă de dreptul UE sau de dreptul național (a se vedea mai
sus).
Exemplu
Apelați la o bancă online pentru un împrumut. Vi se cere să vă introduceți datele, iar algoritmul băncii
vă spune dacă banca vă va acorda sau nu împrumutul și vă prezintă rata dobânzii propusă. Trebuie să fiți
informat(ă) că puteți: să vă exprimați opinia, să contestați decizia și să solicitați ca decizia luată pe baza
algoritmului să fie verificată de o persoană.
Referințe
Articolele 21 și 22 și considerentele (71) și (72) ale RGPD
Orientările Grupului de lucru al articolului 29 privind procesul decizional individual automatizat și
crearea de profiluri în scopurile stabilite de Regulamentul (UE) 2016/679 (WP 251)
87
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject-automated-individual-decision-making-
including-profiling_ro
49
CĂI DE ATAC88
85. Ce ar trebui să fac în cazul în care cred că nu mi-au fost respectate drepturile privind
protecția datelor cu caracter personal?
Răspuns89
În cazul în care credeți că v-au fost încălcate drepturile privind protecția datelor, aveți trei opțiuni:
depunerea unei plângeri la autoritatea de protecție a datelor (APD) din țara dvs.
Autoritatea efectuează investigații și vă informează cu privire la progresele sau la soluționarea plângerii
dvs. în termen de trei luni.
acționarea în justiție a APD
În cazul în care considerați că APD nu a tratat corect plângerea dvs. sau dacă nu sunteți mulțumit(ă) de
răspunsul acesteia ori dacă aceasta nu vă informează cu privire la progresele sau la soluționarea plângerii
în termen de trei luni de la data depunerii puteți introduce direct o acțiune în justiție împotriva APD.
acționarea în justiție a unei societăți/organizații
Introduceți direct o acțiune în justiție împotriva unei companii în cazul în care considerați că aceasta v-a
încălcat drepturile privind protecția datelor. Acest lucru nu vă împiedică să depuneți o plângere la APD
dacă doriți.
Uneori, compania împotriva căreia a fost depusă plângerea prelucrează date în diferite state
membre ale UE. În acest caz, APD competentă tratează plângerea în cooperare cu APD-urile din celelalte
state membre ale UE. Acest sistem, denumit „mecanismul ghișeului unic”, asigură tratarea mai eficientă
a plângerilor. De exemplu, vă poate ajuta să puneți în legătură plângerea dvs. cu plângeri similare depuse
în alte state membre ale UE. APD la care ați depus plângerea este principalul dvs. punct de contact.
Exemplu
Vă place să alergați. Ați cumpărat un ceas care vă calculează pulsul și viteza per kilometru, vă
înregistrează ruta și culege alte date relevante. Încărcați toate datele dvs. pe site-ul web. Vă dați seama că
datele dvs. au fost amestecate cu ale altcuiva. Puteți depune o plângere împotriva site-ului la APD din țara
dvs.
Referințe
Articolele 60 și 77-80 și considerentele (141), (143) și (145) ale RGPD
86. Poate o organizație neguvernamentală (un ONG) să îmi apere drepturile în numele meu?
Răspuns90
Aveți dreptul de a mandata un ONG să depună o plângere în numele dvs. dacă sunt întrunite
următoarele condiții:
ONG-ul este constituit în conformitate cu legislația;
ONG-ul urmărește un obiectiv de interes public (de exemplu, îmbunătățirea vieții cetățenilor în
aspectele care țin de consum);
ONG-ul este activ în domeniul protecției datelor.
Plângerea se poate depune atât la autoritatea de protecție a datelor relevantă, cât și la o autoritate
judiciară, dacă este cazul. În anumite state membre ale UE, legislația națională permite unui ONG
să depună o cerere fără ca dvs. să îl mandatați în acest scop.
Referințe
Articolul 80 și considerentul (142) al RGPD
88
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress_ro
89
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/what-should-i-do-if-i-think-my-personal-data-protection-rights-
havent-been-respected_ro
90
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/can-non-governmental-organisation-ngo-make-claims-my-
behalf_ro
50
87. Pot solicita despăgubiri?
Răspuns91
Puteți pretinde despăgubiri dacă o societate sau o organizație nu a respectat legea privind protecția
datelor, iar dvs. ați suferit prejudicii materiale (de exemplu, pierderi financiare) sau prejudicii morale (de
exemplu, stres sau compromitere a reputației). Vă puteți apăra drepturile adresându-vă companiei sau
organizației în cauză ori instanțelor naționale. Puteți pretinde despăgubire adresându-vă instanțelor din
statul membru al UE în care își are un sediu operatorul sau persoana împuternicită de operator. Ca
alternativă, acțiunile de acest tip pot fi aduse în fața instanțelor din țara UE în care aveți reședința
obișnuită.
Exemplu
Plasați o comandă pe un site web. Site-ul suferă un atac cibernetic pentru că nu este securizat în
mod adecvat. Datele cardului dvs. de credit au fost introduse pe un alt site web și folosite pentru
cumpărarea unor produse pe care nu le-ați comandat dvs. Puteți solicita despăgubiri de la site-ul web
pentru prejudiciul financiar, deoarece site-ul a încălcat legea privind protecția datelor prin neasigurarea
unui nivel adecvat de securitate la prelucrarea datelor.
Referințe
Articolul 82 și considerentele (146) și (147) ale RGPD
Întocmit,
Daniela Simionovici
Ultima actualizare: 20.01.2019
91
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/can-i-claim-compensation_ro
51